Структура, состав и основные функции систем защиты персональных данных определяются исходя из класса ИСПДн. СЗПДн включает в себя организационные меры, средства защиты информации, а  также  используемые  в  информационной системе информационные технологии.

Обеспечение безопасности персональных данных при их обработке в ИСПДн должно предусматривать:

• Общий анализ ситуации с ЗПДн;
• обоснование требований по обеспечению безопасности ПДн и формулирование задач их защиты;
• определение стратегии обеспечения безопасности ПДн;
• выбор целесообразных способов (мер и средств) защиты ПДн в соответствии со стратегией обеспечения безопасности;
• решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты;
• планирование мероприятий по защите ПДн и обеспечение реализации принятой стратегии защиты;
• организацию и проведение работ по созданию системы защиты персональных данных  в рамках разработки (модернизации) ИСПДн, разработка и развертывание СЗПДн или ее элементов в ИСПДн, решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации информационных систем;
• разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн;
• установка и ввод в эксплуатацию Средств Защиты ПДн в информационных системах персональных данных;
• доработку СЗПДн по результатам опытной эксплуатации.

Этапы создания СЗПДн

Рекомендуются следующие этапы создания систем защиты персональных данных:

• предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн;
• стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации.

Предпроекное обследование

На этапе предпроектного обследования рекомендуются следующие мероприятия:

• устанавливается необходимость обработки данных в ИСПДн;
• определяется перечень ПДн, подлежащих защите от несанкционированного доступа;
• определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ);
• определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
• определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах;
• определяется класс ИСПДн;
• уточняется степень участия персонала в обработке данных, характер их взаимодействия между собой;
• определяются (уточняются) угрозы безопасности ПДн в конкретных условиях функционирования (разработка частной модели угроз).

Разработка технического задания

По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности данных, включаемые в техническое (частное техническое) задание на разработку системы защиты.
Техническое (частное техническое) задание на разработку СЗПДн должно содержать:

• обоснование разработки СЗПДн;
• исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию информационная система; конкретизацию мероприятий и требований к СЗПДн;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

Проектирование СЗПДн

На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:

• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
• разработка раздела технического проекта на ИСПДн в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией;
• использование серийно выпускаемых технических средств обработки, передачи и хранения информации;
• разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка;
• сертификация программных средств защиты информации по требованиям безопасности данных в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;
• разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;
• определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПДн;
• разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
• выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности персональных данных.

Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании IT OS GROUP проводят работы с учетом следующих факторов:

• совместимости средств защиты со штатным программным обеспечением ИСПДн;
• степени снижения производительности функционирования ИСПДн по основному назначению;
• наличия подробной документации по эксплуатации средств защиты;
• возможность осуществления периодического тестирования или самотестирования средств защиты ПДн;
• возможность наращивания состава средств защиты новыми дополнительными средствами без осуществления ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты;
• гармонизации средств защиты информации с уже существующими в информационной системе;
• масштабирование (распространение) применяемых решений по защите ПДн на остальные информационные системы.

Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации