Документ «Техническое задание на создание системы защиты персональных данных в ИСПДн» создается с целью формирования списка организационных и технических мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных. Список мер формируется на основании установленного уровня защищенности персональных данных и актуальных угроз безопасности персональных данных.
Исходными данными для технического задания на создание системы защиты персональных данных являются уровень защищенности персональных данных и модель угроз безопасности персональных данных в ИСПДн.
Исходя из уровня защищенности персональных данных определяется базовый набор мер по обеспечению безопасности персональных данных. Список мер приводится в нормативном документе «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены приказом ФСТЭК России № 21 от 18 февраля 2013 года).
После формирования базового набора мер осуществляется адаптация базового набора мер по обеспечению безопасности персональных данных. На этом этапе учитываются структурно-функциональные характеристики ИСПДн и на основании этого исключаются некоторые меры. Например, из базового набора мер исключаются меры по защите виртуальных средств, если в ИСПДн не применяются технологии виртуализации.
Следующий этап – уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных, является одним из самых трудоемких. На этом этапе специалисту необходимо проанализировать адаптированный базовый набор мер на предмет его достаточности для нейтрализации актуальных угроз безопасности информации. В случае, если адаптированный набор мер не позволяет нейтрализовать все угрозы, специалисту нужно дополнить этот набор дополнительными мерами из списка, либо разработать дополнительные меры самостоятельно.
Последний этап формирования списка мер – дополнение уточненного адаптированного базового набора мер. На этом этапе список мер дополняется мерами, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных.
Поскольку разработка технического задания на создание системы защиты персональных данных является этапом проектирования системы защиты персональных данных, то при передаче этих работ сторонней организации, такая организация должна иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации с возможностью оказывать услуги на проектирование в защищенном исполнении средств и систем информатизации.