Защита персональных данных
Внедрение системы защиты персональных данных включает в себя следующие этапы:
-
Аудит. Обследование информационных систем.
-
Определение количества Информационных систем обработки Персональных Данных (ИСПД).
-
Описание технологического процесса обработки Персональных данных в информационных системах.
-
Выявление лиц, обрабатывающих Персональные данные в информационных системах.
-
Определение класса Информационных систем обработки Персональных Данных (ИСПД) с указание уровней угроз в соответствии с Постановлением Правительства РФ 01.11.2012 N 1119.
-
Выявление возможности доступа к информационных системам с других компьютеров сети ЗАКАЗЧИКА либо из сети Интернет.
-
Подготовка рекомендаций по соответствию информационных систем Заказчика требованиям Федерального закона РФ от 27.07.2006г. №152-ФЗ «О персональных данных».
Результатом проведения аудита существующих информационных систем, обрабатывающих персональные данные, является отчет, содержащий результаты проведенного аудита обрабатываемых в организации персональных данных. Отчет содержит выводы по каждому из пунктов, ссылки на нормативно-правовые акты и методические документы, которые использовались в процессе оказания услуг, перечень документов, которые должны быть разработаны или приняты Заказчиком в соответствии с Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами, устанавливающими требования к организациям, осуществляющим обработку персональных данных.
-
Проектирование системы защиты персональных данных в соответствии с требованиями законодательства РФ.
-
Обязательный пакет нормативно распорядительной документации для организации
-
Положение об обработке персональных данных организации
Общий документ на основе Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781
-
Приказы о назначении ответственных лиц
Разрабатывается для каждой ИСПДн
-
Приказы о допущенных к работе в ИСПДн (перечень пользователей)
Разрабатывается для каждой ИСПДн
-
Приказы о перечне ПДн для каждой ИСПДн
Перечень должен соответствовать данным в Уведомлении организации
-
Типовые формы журналов
-
поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов
-
поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним
-
учета машинных носителей информации
-
учета хранилищ
-
периодического тестирования средств защиты информации
-
учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн
-
учета пользователей, допущенных к информационным системам персональных данных
-
журнала проверок электронных журналов
В соответствии с типовыми требованиями ФСБ РФ по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
-
Документы на проектирование ИСПДн
-
Частная модель угроз
Документ, формулирующий и перечисляющий угрозы ИСПДн. Подготовлен в соответствии с базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России)
-
Модель нарушителя
Документ, формулирующий и перечисляющий возможных нарушителей безопасности ИСПДн
-
Описание комплекса технических средств
Документ, описывающий рекомендованные сертифицированные СЗИ
-
Техническое задание
Документ, определяющий, то как выбранные СЗИ будут «закрывать» выявленные угрозы
-
Пояснительная записка к ТЗ
Документ, содержащие схемы работы СЗИ в ИСПДн в различных ситуациях при различных угрозах
-
Документы, определяющие политику безопасности организации в отношении каждой ИСПДн
-
Политика безопасности обработки персональных данных
Документ общего плана, в котором описано, то как конкретно Организация выстраивает системы защиты ПДн
-
Правила разграничения доступа
Документ, описывающий перечень субъектов, которым в той или иной мере разрешен доступ к ПДн организации и какие конкретно права им даются
-
Технический план ИСПДн
Документ, описывающий все компоненты (программные и аппаратные), а также средства защиты информации ИСПДн, включая соответствующие серийные и инвентарные номера, и схемы физического, логического и функционального взаимодействия этих компонентов. Предполагается составить данный документ совместно с сотрудниками Заказчика (последний заполняет штатное оборудование и ПО)
-
Должностные инструкции
-
Инструкции администраторов безопасности персональных данных;
-
Инструкции пользователей по работе с персональными данными;
-
Инструкции администраторов СКЗИ
-
Инструкции пользователей СКЗИ
-
Инструкции администраторов антивирусных средств
-
Инструкции пользователей антивирусных средств
-
Инструкции администраторов межсетевых экранов
-
Инструкции пользователей межсетевых экранов
-
Инструкции администраторов защищенных VPN сетей
-
Инструкции пользователей защищенных VPN сетей
-
Инструкции по работе с ключами защиты ИСПДн
-
Инструкции персоналу по работе с персональными данными
-
Приказ о контролируемых зонах ИСПДн
Включая схемы помещений, сигнализаций, средств подавления электромагнитных или акустических атак (или обстоятельств и особенностей, препятствующих этим атакам)
-
Приказ о организации доступа в помещения, где осуществляется обработка ПДн
-
Приказ о установлении перечня мероприятий по защите персональных данных
-
Приказ о определении продолжительности хранения ПДн
-
Приказ о установлении персональной ответственности за нарушения правил обработки ПДн
-
Регламент взаимодействия с субъектом ПДн
Включая образцы согласия субъекта на обработку ПДн, заявления субъекта ПДн на прекращение обработки ПДн, актов передачи Пдн, соглашения о совместной защите ПДн, типовые договоры с физическими и юридическими лицами на совместную обработку ПДн
-
Регламент обмена ПДн с другими ЮЛ
-
Регламент работы с контролирующими органами
-
Документы (электронные и бумажные копии законов, приказов, распоряжений и пр.), определяющих правила работы с ПДн
-
Развертывание и ввод в эксплуатацию ИСПДн (СЗПДн).
-
Аттестация объектов информатизации (ИСПДн) по требованиям безопасности информации ФСТЭК России и сертификация средств защиты ПДн Подробнее об аттестации объектов информатизации можно прочитать в специальном разделе сайта.
Все работы выполняются квалифицированными специалистами, имеющими дипломы государственного образца в области защиты информации, в том числе двумя кандитатами технических наук. Если Вы хотите ознакомиться с подходами нашей компании по реализации требований Федерального закона 152, а также задать вопрос нашим специалистам, заполните, пожалуйста, форму обратной связи.