Лицензирование деятельности по защите персональных данных

Технические меры защиты информации предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов организации.

Технические средства защиты информации делятся на два основных класса:

• средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации, антивирусная защита, межсетевые экраны, средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
• средства защиты информации от утечки по техническим каналам (использование экранированных кабелей, установка высокочастотных фильтров на линии связи, установка активных систем зашумления и т.д.).

В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

• для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности (техническая защита конфиденциальной информации);
• требуется тщательное обследование информационных ресурсов организации в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите, определение состава и структуры каждой информационной системы ПДн (ИСПДн), анализ уязвимых звеньев и возможных угроз безопасности ПДн, оценка ущерба от реализации угроз безопасности ПДн, анализ имеющихся в распоряжении мер и средств защиты ПДн).

На основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн, определение класса информационных систем ПДн, при необходимости обосновывается использование средств шифрования).
Далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн, согласование документов с регуляторами, разработка технического задания на создание системы защиты ПДн, развертывание и ввод в эксплуатацию системы защиты ПДн), аттестация информационных систем ПДн по требованиям безопасности информации. Работы по аттестации выполняются при наличии соответствующей лицензий ФСТЭК (на техническую защиту конфиденциальной информации).