Главная цель данной работы — определить меры (организационные, технические), которые обеспечат безопасность ПДн в системе первого уровня защищенности.

Чтобы достигнуть заданную цель, необходимо прежде всего собрать и проанализировать нормативно-методические документы по безопасности ПДн.

В данном разделе должен быть приведён список использованных нормативных документов вместе с их кратким анализом, раскрывающим область их применения.

Здесь также рассматривается список нормативной документации, которая относится к теме практической работы. К нормативной документации могут относиться такие базовые материалы, как федеральные законы, приказы ФС и ФСТЭК, межгосударственные и национальные стандарты (ГОСТ) и т. д.

В ходе анализа нормативной документации требуется рассмотреть основные положения, функции и требования рассматриваемых документов, на которые опирается тема практической работы. Рекомендуется рассмотреть также документы, касающиеся типовых материалов проектирования и эксплуатации объектов информатизации. Кроме этого, необходимо учесть, на какие нормативные документы ссылается предложенная документация.

Рекомендуется обратить особое внимание на следующие документы:

Федеральный закон № 149 «Об информационных технологиях и защите информации» (вступил в силу 27.07.2006);

Закон «О государственной тайне» (№ 5485-1 от 21.07.1993);

Федеральный закон № 152 «О персональных данных» (вступил в силу 27.07.2006);

Федеральный закон № 187 «О безопасности критической ин-формационной инфраструктуры Российской Федерации» (вступил в силу 26.07.2017);

«Положение по аттестации объектов информатизации по требованиям безопасности информации» (утв. председателем Гостехкомиссии 25.11.1994);

«Состав и содержание организационно-технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн» (утв. 18.02.2013 приказом № 21 ФСТЭК России);

«Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (утв. 06.07.2015 постановлением Правительства Российской Федерации № 676);

«Требования к обеспечению защиты информации в авто-матизированных системах управления производственными и технологическими процессами на критически важных и потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей, для окружающей природной среды» (утв. 14.03.2014 приказом № 31 ФСТЭК России);

«Требования о защите информации, не составляющей государственную тайну, в государственных информационных системах» (утв. 11.02.2013 приказом № 17 ФСТЭК России);

«Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (утв. 25.12.2017 приказом № 239 ФСТЭК России);

«Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утв. председателем Гостехкомиссии 30.03.1992).

«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);

«Требования к защите персональных данных при их обработке в ИСПДн» (утв. 01.11.2012 постановлением Правительства Российской Федерации № 1119);

«Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (утв. 15.09.2008 постановлением Правительства Российской Федерации № 687);

«Состав и содержание организационно-технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием СКЗИ, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (утв. 10.07.2014 приказом № 378 ФСБ России);

«Методический документ. Методика оценки угроз безопасности информации» (утв. 05.02.2021 ФСТЭК России).

Пример

Порядок обеспечения безопасности персональных данных определен Федеральным законом «О персональных данных» № 152-ФЗ (вступил в силу 27.07.2006), который описывает общие требования по обработке и защите персональных данных, а также техническое задание и тех. проект на систему защиты ПДн, модель угроз по методике ФСБ и ФСТЭК, программу-методику оценки эффективности принимаемых мер и организационно-распорядительную документацию по защите ИСПДн.