Цели и задачи
Основной целью выполнения работ является обеспечение соответствия организации Заказчика требованиям 152-ФЗ «О персональных данных». В ходе выполнения работ должны быть решены следующие задачи:
- Разработка и внедрение системы защиты персональных данных (СЗПДн) в соответствии с требованиями 152-ФЗ «О персональных данных», Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. № 781), Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. № 687), а также требованиями нормативных документов ФСТЭК и ФСБ России по защите персональных данных
- Подготовка и проведение аттестационных испытаний информационных систем персональных данных (ИСПДн) по требованиям безопасности информации, в соответствии с Положением по аттестации объектов информатизации по требованиям безопасности информации (утв. председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.), Специальными требованиями и рекомендациями по защите конфиденциальной информации (СТР-К) ФСТЭК России и другими нормативными документами.
Порядок выполнения работ:
Этап 1. Предварительное обследование информационных систем персональных данных (ИСПДн) и разработка концепции обеспечения безопасности персональных данных (ПДн)
Список работ |
Разрабатываемая документация |
-
определение и документирование области и границ ИСПДн;
-
сбор и документирование исходных данных по ИСПДн, включая физическое расположение, организационную структуру, состав и структуру программно-технических средств, процессы обработки ПДн и т. п.;
-
классификация ИСПДн;
-
идентификация и анализ применимых требований законодательства и нормативной базы по ПДн, а также проверка их выполнения;
-
идентификация ПДн, используемых способов их получения, обработки и защиты;
-
идентификация и анализ существующих процессов и средств обеспечения безопасности ПДн;
-
разработка модели актуальных угроз в отношении ПДн и модели нарушителя;
-
анализ защищенности ИСПДн, идентификация и анализ технических и организационных уязвимостей;
-
подготовка отчета по результатам предварительного обследования;
-
разработка концепции создания СЗПДн.
|
-
Описание ИСПДн;
-
Акт классификации ИСПДн;
-
Реестр требований безопасности;
-
Модель нарушителя и модель актуальных угроз ПДн;
-
Отчет по результатам предварительного обследования;
-
Концепция создания СЗПДн.
|
Этап 2. Разработка и внедрение системы защиты персональных данных (СЗПДн)
Список работ
|
Разрабатываемая документация
|
-
разработка Технического задания на создание СЗПДн;
-
техническое и рабочее проектирование СЗПДн;
-
подготовка технического паспорта ИСПДн;
-
разработка и внедрение документированных процедур сбора, хранения, обработки, передачи, предоставления и уничтожения ПДн;
-
разработка положений об управлении доступом к ПДн, использовании внешних носителей ПДн, организации контроля эффективности и мониторинга СЗПДн и т.п.;
-
подготовка перечней носителей ПДн, должностных лиц, допущенных к обработке ПДн, прав доступа и привилений пользователей в ИСПДн и т.п.;
-
поставка, установка и настройка сертифицированных средств защиты информации (СЗИ);
-
разработка эксплуатационной документации СЗПДн;
-
обучение пользователей и технического персонала ИСПДн.
|
-
ТЗ на создание СЗПДн;
-
Пояснительная записка к техническому проекту СЗПДн;
-
Спецификация программных и технических средств СЗПДн;
-
Документированные процедуры сбора, хранения, обработки, передачи, предоставления и уничтожения ПДн;
-
Положения об управлении доступом к ПДн, использовании внешних носителей ПДн, организации контроля эффективности и мониторинга СЗПДн и т. п.;
-
Перечни носителей ПДн, должностных лиц, допущенных к обработке ПДн, прав доступа и привилений пользователей в ИСПДн и т. п.;
-
Приказы о назначении администратора СЗПДн, утверждении списка лиц, допущенных к обработке ПДн;
-
Должностные инструкции администратора СЗПДн и ответственных лиц, имеющих доступ к ИСПДн;
-
Эксплуатационная документация СЗПДн;
-
Материалы учебных курсов и тренингов по защите ПДн.
|
Этап 3. Аттестационные испытания информационных систем обработки персональных данных (ИСПДн) по требованиям безопасности информации
Список работ
|
Разрабатываемая документация
|
-
разработка программы и методики проведения аттестационных испытаний ИСПДн;
-
проведение испытаний отдельных компонентов и подсистем ИСПДн и оформление соответствующих протоколов по результатам испытаний;
-
проведение специсследований средств вычислительной техники на ПЭМИН и выдача предписаний на эксплуатацию;
-
проведение аттестации серверной комнаты;
-
подготовка заключения по результатам аттестационных испытаний объекта информатизации;
-
оформление «Аттестата соответствия» ИСПДн требованиям по обеспечению безопасности ПДн.
|
-
Программа и методика аттестационных испытаний ИСПДн;
-
Протоколы аттестационных испытаний ИСПДн;
-
Предписания не эксплуатацию СВТ;
-
Заключение по результатам аттестационных испытаний ИСПДн;
-
Аттестат соответствия ИСПДн требованиям по обеспечению безопасности ПДн.
|
Для получения более подробной информации обращайтесь к нам: