1. РостестУрал
  2. Разрешительные документы
  3. Прочее
  4. Разработка документации по защите информации

Разработка документации по защите информации

Разработка документации по защите информации
Оказываем услуги по разработке документации по защите информации. Подготовка комплектов документов и сопровождение внедрения.

Разработка документации по защите информации — это формирование обязательного пакета внутренних актов, регламентов, положений, направленных на обеспечение безопасности сведений в организации. Защита информации означает установление правил, мер, технических средств, которые сохраняют конфиденциальность, целостность, доступность данных на всех этапах работы с ними.

Информационные массивы подвергаются угрозам как со стороны внешних источников, так вследствие внутренних ошибок. Без оформленной документации система охраны не считается завершенной. Законодательство требует не только применять технические средства, но также закреплять порядок их использования в официальных документах.

Что включает документация по охране массивов данных

Разработка документации по охране массивов данных предполагает создание комплекса документов, каждый из которых отвечает за отдельный элемент информационной безопасности.

В пакет входят:

  • политика информационной безопасности;

  • положение о защите персональных данных;

  • регламент обработки конфиденциальных сведений;

  • порядок реагирования на инциденты;

  • инструкции по использованию технических средств защиты;

  • модель угроз безопасности;

  • перечень организационных мер.

ВАЖНО. Даже микробизнес, имеющий сайт с формой обратной связи, обязан иметь документ о политике обработки персональных данных, форму согласия субъекта.

Важно учитывать, что документация должна соответствовать реальной практике. ФСТЭК, Роскомнадзор проверяют не только наличие положений, но их фактическое исполнение. Документы утверждаются руководителем, доводятся до сотрудников, обновляются при изменении законодательства, программного обеспечения, структуры компании.

Разработка требований по защите данных

Разработка требований начинается с определения, какие сведения подлежат защите. Учитываются персональные данные, коммерческий тайна, служебная информация, иные конфиденциальные сведения.

Требования формируются на основе законодательства, отраслевых стандартов, рекомендаций ФСТЭК. В документе фиксируются:

  • перечень защищаемых объектов;

  • модель угроз;

  • уровень защищенности информационной системы;

  • перечень обязательных технических средств;

  • меры по обеспечению безопасности.

Требования должны соответствовать реальным процессам работы. Недопустимо разрабатывать формальный документ без внедрения мер на практике. Каждое положение должно быть реализуемо, проверяемо, подтверждаться внутренними актами.

При обработке персональных данных учитываются положения статьи 19 Федерального закона № 152-ФЗ. Закон обязывает определять угрозы, применять организационные меры, использовать сертифицированные средства защиты, вести учет носителей, фиксировать инциденты, восстанавливать данные при утрате.

Разработка положений и внутренних документов по защите информации

На основе установленных требований разрабатываются внутренние нормативные акты. Каждый документ закрепляет порядок действий сотрудников, регламентирует доступ к сведениям.

В состав входят:

  • положение о защите конфиденциальных массивов данных;

  • регламент обработки персональных данных;

  • инструкция по обеспечению информационной безопасности;

  • приказ о назначении ответственного лица;

  • положение о контроле доступа к информационным ресурсам.

Документация должна определять порядок хранения, передачи, уничтожения сведений. Устанавливаются уровни доступа, ответственность за нарушение режима.

Документы утверждаются руководителем, вводятся в действие приказом. Сотрудники знакомятся с положениями под подпись. Несоблюдение установленных правил может повлечь административную ответственность по статье 13.11 КоАП РФ, уголовную ответственность по статье 183 УК РФ либо 272.1 УК РФ.

Разработка рекомендаций по защите информации

Разработка рекомендаций направлена на практическое внедрение требований в ежедневную работу. Анализируется законодательство, отраслевые нормативные акты, рекомендации регуляторов. На основании анализа формируется перечень организационных, технических мер.

СПРАВКА. Цель — минимизация риска утраты, искажения, несанкционированного доступа к сведениям. Рекомендации закрепляют порядок действий сотрудников, выбор средств обеспечения безопасности, правила эксплуатации информационных систем.

Организационные меры включают:

  • регламентацию доступа к информационным ресурсам с установлением уровней допуска;

  • распределение ролей, зон ответственности в сфере информационной безопасности;

  • утверждение политики доступа, порядка предоставления, изменения, прекращения прав;

  • обеспечение физической защиты серверных помещений, архивов, рабочих мест;

  • обучение персонала вопросам защиты конфиденциальных данных.

В рекомендациях фиксируется необходимость регулярного анализа угроз, обновления технических средств, контроля соблюдения внутренних положений. Такой подход формирует устойчивую систему, в которой каждое средство дополняет другое.

Нормативные требования к документации по защите информации

Пакет документов должен соответствовать действующему законодательству РФ. Базовыми актами являются:

  • ФЗ № 152-ФЗ — определяет порядок обработки, требования к безопасности персональных данных;

  • ФЗ № 149-ФЗ — устанавливает правовые основы информационных отношений;

  • ФЗ № 98-ФЗ — регулирует режим коммерческой тайны;

  • нормативные акты ФСТЭК по технической защите охраняемых данных.

СПРАВКА. ГОСТ Р 50922-2006 закрепляет основные термины, определения в области защиты информации.
ГОСТ Р 56939-2024 устанавливает общие требования к разработке безопасного программного обеспечения.

Часть 2 статьи 19 ФЗ № 152-ФЗ предусматривает обязательные меры: 

  • определение угроз;

  • внедрение организационных и технических мер защиты;

  • проверку результативности охранных мер до начала эксплуатации системы; 

  • ведение учета информационных носителей;

  • выявление случаев неправомерного доступа;

  • восстановление данных после инцидента;

  • контроль уровня защищенности.

ВАЖНО. Несоблюдение требований влечет административные штрафы по статье 13.11 КоАП РФ, уголовную ответственность по статьям 183, 272.1 УК РФ, а также гражданско-правовое возмещение ущерба.

Порядок разработки и внедрения документов по охране информации

Разработка осуществляется поэтапно. Каждый этап фиксируется внутренними актами, утверждается руководством.

Первый шаг — анализ деятельности организации. Определяется, какие сведения обрабатываются, какие информационные системы используются, какие данные относятся к категории персональных либо конфиденциальных. Оцениваются уязвимые места, существующие технические средства защиты, уровень охраны.

Второй этап — оценка угроз. Формируется модель угроз, определяется вероятность утечки, несанкционированного доступа, уничтожения данных. Учитываются внешние, внутренние факторы.

Третий шаг — создание плана мер. Определяются организационные меры, технические средства, порядок контроля. Разрабатываются положения, инструкции, политика информационной охраны.

Четвертый этап — внедрение системы. Документы вводятся приказом. Персонал проходит обучение. Регламентируется порядок работы с конфиденциальными сведениями, устанавливаются уровни доступа.

Пятый этап — контроль, актуализация. Документация должна обновляться при изменении законодательства, внедрении нового программного обеспечения, расширении структуры компании. Обязательно наличие плана реагирования на инциденты.

Что еще может потребоваться предприятию

Помимо базовой документации может потребоваться дополнительный комплекс мероприятий.

К ним относятся:

  • разработка требований по охране информации в соответствии с приказами ФСТЭК № 17, № 21, № 31;

  • аттестация объектов информатизации на соответствие требованиям информационной охраны;

  • сертификация средств защиты информации по техрегламентам (ТР ТС/ЕАЭС);

  • лицензирование деятельности по технической защите конфиденциальной информации;

  • получение лицензии ФСТЭК;

  • внедрение модели менеджмента качества по ГОСТ Р ИСО 9001-2015;

  • внедрение модели управления экологической обстановкой по ГОСТ Р ИСО 14001-2016;

  • внедрение системы охраны персонала по ГОСТ Р ИСО 45001-2020.

Все перечисленные процедуры, включая разработку документации по защите информации, можно провести в Центре сертификации «Ростест Урал». Эксперты сопровождают процесс от подачи заявки до получения готового документа. Изучение сложной нормативной базы со стороны заявителя не требуется, консультации бесплатные.

С какой периодичностью следует проводить аудит системы информационной безопасности?

Частота проведения аудита определяется уровнем рисков, масштабом бизнеса, значимостью информационной охраны для деятельности компании. Для организаций с повышенными рисками либо подлежащих регулярным проверкам аудит рекомендуется проводить не реже одного раза в год. В иных случаях допустима проверка раз в один–два года либо при существенных изменениях в ИТ-инфраструктуре. Внутренний аудит может выполняться с разной периодичностью в зависимости от утвержденной политики безопасности. Внешнюю проверку информационной безопасности целесообразно организовывать ежегодно, при необходимости — раз в полгода.

В каком порядке оформляется акт определения уровня защищенности информационной системы?

Акт определения уровня защищенности информационной системы оформляется на основании требований ПП РФ № 1119 от 01.11.2012 — для информационных систем персональных данных. Для иных систем применяются аналогичные нормативные требования ФСТЭК России. Документ составляется по результатам анализа категории обрабатываемых данных, оценки угроз, определения уровня защищенности, после чего утверждается руководителем организации.

По вопросам получения услуг в рассрочку обращайтесь к консультанту

ЗАКАЖИТЕ РАСЧЕТ СТОИМОСТИ НЕОБХОДИМОГО ВАМ ДОКУМЕНТА

Введите только цифры. Пример: 88003020956

pointer
Узнайте на сколько Ваш бизнес соответствует
требованиям законодательства