Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Разработка Техического проекта Системы защиты ПДн (СЗПДн) ИСПДн *******
Здравствуйте форумчане.
Интересует вопрос правильного составления ТП на СЗПДн ИСПДн.
Как я понимаю техническим решением защиты каждой ИСПДн должен являться законченный ТП, который в свою очередь реализуется (внедрением) на одном из последнем этапе работ по защите ПДн. Отсюда много вопросов (так как я первый раз его делаю) вытекает.
Что конкретно должно входить в ТП ?
Что он должен из себя представлять ?
Какие требования/рекомендации он должен реализовывать?
Такое содержание могу предложить как вариант:
- обоснование разработки;
- исходные данные модернизируемого объекта информатизации в техническом, программном, информационном и организационном аспектах;
- класс защищенности автоматизированной системы осуществляющей обработку конфиденциальной информации, в том числе персональных данных;
- ссылка на нормативно-методические документы, с учетом которых будет разрабатываться комплексная система защиты информации, и приниматься в эксплуатацию объект информатизации;
- модель нарушителя;
- частная модель угроз;
- конкретные требования к комплексной системе защиты информации на основе нормативно-методических документов и установленного класса защищенности автоматизированной системы, осуществляющей обработку конфиденциальной информации, в том числе персональных данных (специальная информационная система персональных данных первого класса);
- перечень предлагаемых к использованию сертифицированных средств защиты информации;
- состав, содержание и сроки проведения работ по этапам разработки и внедрения.
Отличный список, не хвататет только тех задания и графических схем наверное.
Образец оформления техического задания и технического проекта посмотреть бы .Хочу проверить себя,правильно ли все делаю.
Изменено: Михаил Батурицкий - 29.10.2010 11:36:01
Цитата
Отличный список, не хвататет только тех задания и графических схем наверное.
Спасибо=) Графические схемы предполагается размещать в пункте "исходные данные модернизируемого объекта информатизации в техническом, программном, информационном и организационном аспектах". А под техзаданием что подразумеваете поконкретнее, Oleg?
Цитата
Ирина пишет:
Такое содержание могу предложить как вариант:

- обоснование разработки;

- исходные данные модернизируемого объекта информатизации в техническом, программном, информационном и организационном аспектах;

- класс защищенности автоматизированной системы осуществляющей обработку конфиденциальной информации, в том числе персональных данных;

- ссылка на нормативно-методические документы, с учетом которых будет разрабатываться комплексная система защиты информации, и приниматься в эксплуатацию объект информатизации;

- модель нарушителя;

- частная модель угроз;

- конкретные требования к комплексной системе защиты информации на основе нормативно-методических документов и установленного класса защищенности автоматизированной системы, осуществляющей обработку конфиденциальной информации, в том числе персональных данных (специальная информационная система персональных данных первого класса);

- перечень предлагаемых к использованию сертифицированных средств защиты информации;

- состав, содержание и сроки проведения работ по этапам разработки и внедрения.

Спасибо Ирина за столь развернутый ответ.
А не было ли у вас опыта, в разработке частной (отраслевой) модели угроз по "БР ИББС-2.4-2010 ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПДн ПРИ ИХ ОБРАБОТКЕ В ИСПДн ОРГАНИЗАЦИЙ БС РФ" ?
Техническое задание на создание системы защиты ПДн составляется по модели угроз, туда включается требования к СЗПДн, а тех проект это уже конечный документ, в котором вы расписываете с помощью чего вы закрыли то или иное требование и с помощью каких СЗИ или оргнанизационно-технических мероприятий.
Изменено: Александр Масленников - 29.10.2010 11:49:50
Цитата
А не было ли у вас опыта, в разработке частной (отраслевой) модели угроз по "БР ИББС-2.4-2010 ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПДн ПРИ ИХ ОБРАБОТКЕ В ИСПДн ОРГАНИЗАЦИЙ БС РФ" ?
нет, с этой отраслью не связывалась.
Ирина , Алексей Масленников дал хороший ответ по поводу тех задания)
Форму и состав технического задания можно брать из гостов

ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы
или
ГОСТ 19.201-78 Единая система программной документации. Техническое задание. Требования к содержанию и оформлению

Наверника есть и свой гост для техического проекта.

Но впринц в большинстве коммерческих структур требований к содержанию и форме ТЗ и ТП нет.
Уважаемые коллеги, выложите пожалуйста куда-нибудь типовой технорабочий проект для ознакомления.
Типового не существует. Прежде чем сделать ТП, нужно обследовать систему, все слишком индивидуально.
Отдельного ГОСТ на технический проект для СЗПДн нет.
Есть РД 50-34.698-90, в котором упоминается содержание проекта.

Описание того, что должно быть в хорошем проекте можно посмотреть тут
http://sborisov.blogspot.com/2011/12/blog-post_13.html

Всё это проектируешь, забиваешь и оп-ля проект готов.
Отдельного ГОСТ на технический проект для СЗПДн нет.
Есть РД 50-34.698-90, в котором упоминается содержание проекта.

Описание того, что должно быть в хорошем проекте можно посмотреть тут
http://sborisov.blogspot.com/2011/12/blog-post_13.html

Всё это проектируешь, забиваешь и оп-ля проект готов.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку