Наши партнеры

Защита персональных данных

Обеспечение безопасности персональных данных для большинства организации и учреждений является актуальной задачей, которая содержит в себе ряд трудоемких организационных и технических мероприятий. Требования к информационным системам обрабатывающих персональные данные определяются Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01 октября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также «Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденным постановлением Правительства РФ от 21 марта 2012 года № 211.

За невыполнение требований вышеуказанных нормативно-правовых актов на организацию может быть наложена административная, гражданская и уголовная ответственность, а факт утечки персональных данных работников (сотрудников) или клиентов, может привести к серьезному понижению рейтинга компании и увеличить негативные риски для дальнейшего развитию бизнеса.

ООО «Единство» обладает огромным опытом в области услуг по обеспечению безопасности персональных данных и приведения информационных систем по обработке ПДн в соответствии с требованиями законодательства РФ. 

Наша компания готова оказать следующие виды услуг:

  • осмотр информационной инфраструктуры Заказчика по выявлению разных сегментов ЛВС и систем, участвующих в автоматизированной обработке персональных данных;
  • выделение сегментов в информационной инфраструктуре, а также определение мест и форматов, где хранятся персональные данные;
  • анализ полноты имеющихся у Заказчика организационно-распорядительных документов по защите ПДн;
  • составление рекомендаций по реинжинирингу информационной инфраструктуры и ее оптимизации по обеспечению информационной безопасности персональных данных;
  • классификация информационных системы обработки персональных данных;
  • разработка модели нарушителя и определение актуальных угроз  для информационных систем обработки персональных;
  • разработка технического задания на создание системы защиты для обеспечения безопасности персональных данных;
  • проектирование системы защиты персональных данных;
  • внедрение системности в распределении ответственности и обязанностей по организационным и техническим мероприятиям обеспечения информационной безопасности персональных данных;
  • разработка организационно-распорядительной документации (разработка полного комплекта ОРД по обеспечения безопасности ПДн) и сопровождение внедрения разработанной документации в бизнес-процессы Заказчика;
  • консультация назначенных ответственных лиц по вопросам исполнения порученных им мероприятий по защите ПДн;
  • поставка, установка и настройка сертифицированных средств защиты информации согласно технической документации;
  • проведение оценки соответствия требованиям Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" и других нормативно-правовых актов в сфере обеспечения безопасности ПДн (в случае необходимости или пожелания Заказчика проведение аттестации ИСПДн);
  • оформление комплекта отчетных документов по результатам проведённых работ.

Исходя из опыта проведения работ, связанных с защитой ИСПДн, мы предлагаем четыре этапа:

Этап 1. Проведение анализа соответствия информационной инфраструктуры Заказчика требованиям по ИБ ПДн (аудит ПДн). Разработка отчета с рекомендациями по ее перестроению, оптимизации и реализации мероприятий по обеспечению ИБ ПДн в соответствии с законодательством РФ. Разработка актуализированных моделей угроз и нарушителя. Классификация ИСПДн. Разработка ТЗ на создание системы защиты персональных данных.

Этап 2. Разработка ТП на реинжиниринг ИСПДн и создание системы защиты ПДн.

Этап 3. Реализация технических и организационных мер по защите ИСПДн. Разработка (доработка) нормативной документации по обеспечению ИБ ПДн (политик, положений, регламентов, технологических и должностных инструкций и пр.). Разработка системы распределения ответственности и обязанностей за обеспечение ИБ ПДн обязанностей по администрированию ИСПДн, ее регламентированному сопровождению при реализации бизнес-процессов.

Этап 4. Подготовка необходимых документов для оценки соответствия (аттестации) ИСПДн. Организация оценки соответствия (аттестации) ИСПДн.

Специалистами нашей компании на различных этапах проведения работ разрабатывается следующий типовой перечень документации по приведению информационной системы в соответствие с требованиями по ИБ ПДн. 

 

№ п/п

Название документа

Нормативная документация в аспектах обеспечения безопасности информационной системы персональных данных

1.

Перечень сведений конфиденциального характера в Организации.

2.

Перечень персональных данных обрабатываемых в ИСПДн.

3.

Положение по работе с персональных данных (с типовыми формами согласий субъектов ПДн и уведомлений).

4.

Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

5.

Модель угроз информационной безопасности ИСПДн.

6.

Модель нарушителя информационной безопасности персональных данных, обрабатываемых в ИСПДн.

7.

Инструкция о порядке учета, хранения, обращения и уничтожения носителей персональных данных. Типовые формы журналов учета носителей ПДн.

8.

Инструкция по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты персональных данных, обрабатываемых в информационной системе персональных данных (разрабатывается в случае использования средств шифрования информации).

9.

Акты классификации ИСПДн.

10. 

Проекты приказов:

· о введении в действие регламентирующей документации;

· о назначении ответственных должностных лиц;

· о назначении комиссии по классификации ИСПДн.

Организационно-нормативные документы в аспектах обеспечения безопасности информационной системы персональных данных после реализации технических мер защиты информации

11.

Инструкция пользователю ИСПДн;

12.

Инструкция администратора безопасности баз данных в ИСПД;

13.

Инструкция администратору безопасности информации в ИСПДн;

14.

Инструкция по организации парольной защиты в ИСПДн;

15.

Инструкция по организации антивирусной защиты в ИСПДн;

16.

Инструкция о порядке технического обслуживания, модернизации и ремонта технических средств,  входящих в состав ИСПДн.

Организационно-нормативные документы необходимые для проведения аттестационных испытаний автоматизированной системы (далее - АС) на базе ИСПДн

17.

Перечень защищаемых информационных ресурсов в АС;

18.

Разрешительная система доступа (Матрица доступа) к информационным ресурсам программным и техническим средствам;

19.

Правила межсетевого экранирования в АС (разрабатывается в случае применения средств межсетевого экранирования в АС);

20.

Акты классификации АС;

21.

Описание технологического процесса обработки информации в АС;

22.

Технический паспорт АС на базе ИСПДн с приложениями.

На этапе аттестации АС на базе ИСПДн требованиям нормативных документов по обеспечению ИБ ПДн специалистами компании Единство разрабатываются следующие виды документов

23.

Заключение по результатам оценки соответствия или аттестационных испытаний ИСПДн;

24.

Протоколы контроля защищенности ИСПДн;

25.

Аттестат соответствия ИСПДн требованиям по обеспечению ИБ ПДн.