Защита персональных данных


ООО «АйПиТелеком» предоставляет полный комплекс услуг по приведению процессов обработки персональных данных в соответствии с требованиями законодательства РФ (Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ)
Внедрение системы защиты персональных данных включает в себя следующие этапы:
  1. Аудит. Обследование информационных систем.
    • Определение количества Информационных систем обработки Персональных Данных (ИСПД).
    • Описание технологического процесса обработки Персональных данных в информационных системах.
    • Выявление лиц, обрабатывающих Персональные данные в информационных системах.
    • Определение класса Информационных систем обработки Персональных Данных (ИСПД) с указание уровней угроз в соответствии с Постановлением Правительства РФ 01.11.2012 N 1119.
    • Выявление возможности доступа к информационных системам с других компьютеров сети ЗАКАЗЧИКА либо из сети Интернет.
    • Подготовка рекомендаций по соответствию информационных систем Заказчика требованиям Федерального закона РФ от 27.07.2006г. №152-ФЗ «О персональных данных».

    Результатом проведения аудита существующих информационных систем, обрабатывающих персональные данные, является отчет, содержащий результаты проведенного аудита обрабатываемых в организации персональных данных. Отчет содержит выводы по каждому из пунктов, ссылки на нормативно-правовые акты и методические документы, которые использовались в процессе оказания услуг, перечень документов, которые должны быть разработаны или приняты Заказчиком в соответствии с Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами, устанавливающими требования к организациям, осуществляющим обработку персональных данных.
  2. Проектирование системы защиты персональных данных в соответствии с требованиями законодательства РФ.
    1. Обязательный пакет нормативно распорядительной документации для организации
      • Положение об обработке персональных данных организации
        Общий документ на основе Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781
      • Приказы о назначении ответственных лиц
        Разрабатывается для каждой ИСПДн
      • Приказы о допущенных к работе в ИСПДн (перечень пользователей)
        Разрабатывается для каждой ИСПДн
      • Приказы о перечне ПДн для каждой ИСПДн
        Перечень должен соответствовать данным в Уведомлении организации
      • Типовые формы журналов
        • поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов
        • поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним
        • учета машинных носителей информации
        • учета хранилищ
        • периодического тестирования средств защиты информации
        • учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн
        • учета пользователей, допущенных к информационным системам персональных данных
        • журнала проверок электронных журналов
        В соответствии с типовыми требованиями ФСБ РФ по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
    2. Документы на проектирование ИСПДн
      • Частная модель угроз
        Документ, формулирующий и перечисляющий угрозы ИСПДн. Подготовлен в соответствии с базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России)
      • Модель нарушителя
        Документ, формулирующий и перечисляющий возможных нарушителей безопасности ИСПДн
      • Описание комплекса технических средств
        Документ, описывающий рекомендованные сертифицированные СЗИ
      • Техническое задание
        Документ, определяющий, то как выбранные СЗИ будут «закрывать» выявленные угрозы
      • Пояснительная записка к ТЗ
        Документ, содержащие схемы работы СЗИ в ИСПДн в различных ситуациях при различных угрозах
    3. Документы, определяющие политику безопасности организации в отношении каждой ИСПДн
      • Политика безопасности обработки персональных данных
        Документ общего плана, в котором описано, то как конкретно Организация выстраивает системы защиты ПДн
      • Правила разграничения доступа
        Документ, описывающий перечень субъектов, которым в той или иной мере разрешен доступ к ПДн организации и какие конкретно права им даются
      • Технический план ИСПДн
        Документ, описывающий все компоненты (программные и аппаратные), а также средства защиты информации ИСПДн, включая соответствующие серийные и инвентарные номера, и схемы физического, логического и функционального взаимодействия этих компонентов. Предполагается составить данный документ совместно с сотрудниками Заказчика (последний заполняет штатное оборудование и ПО)
      • Должностные инструкции
        • Инструкции администраторов безопасности персональных данных;
        • Инструкции пользователей по работе с персональными данными;
        • Инструкции администраторов СКЗИ
        • Инструкции пользователей СКЗИ
        • Инструкции администраторов антивирусных средств
        • Инструкции пользователей антивирусных средств
        • Инструкции администраторов межсетевых экранов
        • Инструкции пользователей межсетевых экранов
        • Инструкции администраторов защищенных VPN сетей
        • Инструкции пользователей защищенных VPN сетей
        • Инструкции по работе с ключами защиты ИСПДн
        • Инструкции персоналу по работе с персональными данными
      • Приказ о контролируемых зонах ИСПДн
        Включая схемы помещений, сигнализаций, средств подавления электромагнитных или акустических атак (или обстоятельств и особенностей, препятствующих этим атакам)
      • Приказ о организации доступа в помещения, где осуществляется обработка ПДн
      • Приказ о установлении перечня мероприятий по защите персональных данных
      • Приказ о определении продолжительности хранения ПДн
      • Приказ о установлении персональной ответственности за нарушения правил обработки ПДн
      • Регламент взаимодействия с субъектом ПДн
        Включая образцы согласия субъекта на обработку ПДн, заявления субъекта ПДн на прекращение обработки ПДн, актов передачи Пдн, соглашения о совместной защите ПДн, типовые договоры с физическими и юридическими лицами на совместную обработку ПДн
      • Регламент обмена ПДн с другими ЮЛ
      • Регламент работы с контролирующими органами
      • Документы (электронные и бумажные копии законов, приказов, распоряжений и пр.), определяющих правила работы с ПДн
  3. Развертывание и ввод в эксплуатацию ИСПДн (СЗПДн).
  4. Аттестация объектов информатизации (ИСПДн) по требованиям безопасности информации ФСТЭК России и сертификация средств защиты ПДн Подробнее об аттестации объектов информатизации можно прочитать в специальном разделе сайта.
Все работы выполняются квалифицированными специалистами, имеющими дипломы государственного образца в области защиты информации, в том числе двумя кандитатами технических наук. Если Вы хотите ознакомиться с подходами нашей компании по реализации требований Федерального закона 152, а также задать вопрос нашим специалистам, заполните, пожалуйста, форму обратной связи.