После принятия Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и определения ФСТЭК и ФСБ России требований, в соответствии с которыми необходимо защищать персональные данные, особую актуальность приобрела задача выбора средств их защиты, отвечающих этим требованиям.
Руководящими документами ФСТЭК России определено, что мероприятия по защите персональных данных реализуются в рамках следующих подсистем:
обнаружение вторжений.
Внедрение криптосредств для защиты персональных данных
Следует отметить, что использование криптографии при защите персональных данных возможно только после проведения сертификации комплексов или оценки корректности встраивания криптографических функций в комплексы в соответствии с техническими заданиями, согласованными с ФСБ России.
На первом этапе осуществляется поставка согласованного количества клиентских мест и инсталляция их на рабочих местах выделенного фрагмента документооборота, а также обучение сотрудников правилам пользования крип-тосредствами.
На втором этапе идет разворачивание серверных частей комплексов в службах заказчика и проведение опытной эксплуатации пилотного района с использованием регламентов.
На третьем этапе идет полномасштабное развертывание технологии: дооснащение системы клиентскими АРМ до полного развертывания, обучение сотрудников, доработка регламентов под конкретные условия, ввод системы в эксплуатацию, разработка требований по автоматизации использования средств защиты в электронном документообороте (ЭДО).
Четвертый этап представляет собой автоматизацию использования средств защиты в ЭДО (при необходимости). На этом этапе разрабатывается и согласовывается с ФСБ России ТЗ на сопряжение ЭДО со средствами защиты и проводятся работы в соответствии с ТЗ по оценке встраивания криптосредств.
Работы первого этапа проводятся, как правило, в течение двух месяцев от момента заключения контракта, стоимость определяется в зависимости от выбранного комплекса защиты. Сроки последующих этапов зависят от степени участия заказчика в процессе разворачивания системы и взаимодействия разработчика ЭДО и разработчика криптографии.