Проектирование (разработка проектов) и реализация СЗПДн проводится на основании требований, изложенных в техническом (частном техническом) задании на разработку СЗПДн, а также в соответствии с требованиями приказа Росреестра от 14 июня 2011 г. N П/217 "Об утверждении порядка организации процессов жизненного цикла программных средств информационных систем и информационных технологий Федеральной службы государственной регистрации, кадастра и картографии".
При разработке СЗПДн в составе ИСПДн проводятся следующие мероприятия:
разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
разработка раздела технического проекта на ИСПДн в части ЗИ;
проведение строительно-монтажных работ в соответствии с проектной документацией;
использование серийно выпускаемых ТС обработки, передачи и хранения информации;
разработка мероприятий по ЗИ в соответствии с предъявляемыми требованиями;
использование сертифицированных технических, программных и программно-технических СрЗИ и их установка;
сертификация по требованиям безопасности информации программных СрЗИ в случае, если на рынке отсутствуют требуемые сертифицированные СрЗИ;
разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;
определение подразделений и назначение лиц, ответственных за эксплуатацию СрЗИ, с их обучением по направлению безопасности ПДн;
определение лиц, ответственных за выявление инцидентов и реагирование на них;
разработка рабочей, эксплуатационной документации на СЗПДн, а также организационно-распорядительной документации по ЗИ (приказов, инструкций и других документов);
выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.
Проектная документация подлежит согласованию с начальником подразделения ИБ ЦА/ТО Росреестра.
Согласно пункту 20 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и пункту 8 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, в зависимости от угроз безопасности информации, используемых ИТ и структурно-функциональных характеристик ИСПДн, СЗПДн должна обеспечивать:
идентификацию и аутентификацию субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защиту машинных носителей информации;
регистрацию событий безопасности;
антивирусную защиту;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности информации;
целостность ИС и информации;
доступность информации;
защиту среды виртуализации;
защиту ТС;