- Шаг 0. Анализ и описание ИСПДн.
Определение границ, состава элементов и основных характеристик ИСПДн.
- Шаг 1. Разработка модели угроз
Оценка вреда, который может быть причинен субъектам ПДн, определение перечня актуальных угроз и их тип (по ПП1119), оценка уровня защищенности ПДн.
- Шаг 2. Определение базового набора мер
"Определение базового набора мер по обеспечению безопасности персональных данных в соответствии с перечнем мер, приведенным в приложении к настоящему документу (SOISO)для соответствующего уровня защищенности персональных данных."
- Шаг 3. Адаптация набора мер
"Адаптация базового набора мер по обеспечению безопасности персональных данных применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы (в том числе предусматривающую исключение из базового набора мер по обеспечению безопасности персональных данных, мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе оператора, или структурно-функциональными характеристиками, не свойственными информационной системе)."
- Шаг 4. Уточнение перечня мер с учетом актуальных угрох
"Уточнение адаптированного базового набора мер по обеспечению безопасности персональных с целью обеспечения защиты персональных данных от всех актуальных угроз безопасности персональных данных."
+"10.При невозможности (в том числе экономической) реализации отдельных выбранных мер по обеспечению безопасности персональных данных в рамках системы защиты персональных данных на этапах адаптации базового набора мер по обеспечению безопасности персональных данных и (или) уточнения адаптированного базового набора мер по обеспечению безопасности персональных могут разрабатываться иные (компенсирующие) меры, обеспечивающие нейтрализацию актуальных угроз безопасности персональных данных.
+"14. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа(SOISO)."
- Шаг 5. Дополнение требований
"Дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области защиты информации."
Но если мы ясно представляем тип актуальных угроз и уровень защищенности ПДн, то я бы рекомендовал шаги 2 и 3 делать до шага 1. При этом можно уже начинать разрабатывать документ " Положение о применимости базовых мер по обеспечению безопасности ПДн ", в котором для каждой базовой меры указывается каким образом она реализована или обоснование отказа от нее.
P.S. Даже если в итоговой версии текст SOISO чуть поменяется, то общая логика и перечень шагов останутся такими же.
Дополнительно можете посмотреть:
