Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Услуги / Защита персональных данных

Обеспечение соответствия требованиям ФЗ-152 "О персональных данных"

Разработка и внедрение системы защиты персональных данных (СЗПДн) в соответствии с требованиями ФЗ РФ № 152 «О персональных данных» и нормативными документами РФ в области защиты информации, с последующей аттестацией ИСПДн в системе сертификации ФСТЭК России.

Персональные данныеЦели и задачи

Основной целью выполнения работ является обеспечение соответствия организации Заказчика требованиям Федерального Закона РФ № 152 «О персональных данных». В ходе выполнения работ должны быть решены следующие задачи:

  • Разработка и внедрение системы защиты персональных данных (СЗПДн) в соответствии с требованиями ФЗ РФ № 152-ФЗ «О персональных данных», Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. № 781), Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. № 687), а также требованиями нормативных документов ФСТЭК и ФСБ России по защите персональных данных
  • Подготовка и проведение аттестационных испытаний информационных систем персональных данных (ИСПДн) по требованиям безопасности информации, в соответствии с  Положением по аттестации объектов информатизации по требованиям безопасности информации (утв. председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.), Специальными требованиями и рекомендациями по защите конфиденциальной информации (СТР-К) ФСТЭК России и другими нормативными документами.

 

Порядок выполнения работ:


Этап 1. Предварительное обследование информационных систем персональных данных (ИСПДн) и разработка концепции обеспечения безопасности персональных данных (ПДн)

Список работ Разрабатываемая документация
  • определение и документирование области и границ ИСПДн;
  • сбор и документирование исходных данных по ИСПДн, включая физическое расположение, организационную структуру, состав и структуру программно-технических средств, процессы обработки ПДн и т. п.;
  • классификация ИСПДн;
  • идентификация и анализ применимых требований законодательства и нормативной базы по ПДн, а также проверка их выполнения;
  • идентификация ПДн, используемых способов их получения, обработки и защиты;
  • идентификация и анализ существующих процессов и средств обеспечения безопасности ПДн;
  • разработка модели актуальных угроз в отношении ПДн и модели нарушителя;
  • анализ защищенности ИСПДн, идентификация и анализ технических и организационных уязвимостей;
  • подготовка отчета по результатам предварительного обследования;
  • разработка концепции создания СЗПДн.
  • Описание ИСПДн;
  • Акт классификации ИСПДн;
  • Реестр требований безопасности;
  • Модель нарушителя и модель актуальных угроз ПДн;
  • Отчет по результатам предварительного обследования;
  • Концепция создания СЗПДн.

Этап 2. Разработка и внедрение системы защиты персональных данных (СЗПДн)

Список работ
 Разрабатываемая документация
  • разработка Технического задания на создание СЗПДн;
  • техническое и рабочее проектирование СЗПДн;
  • подготовка технического паспорта ИСПДн;
  • разработка и внедрение документированных процедур сбора, хранения, обработки, передачи, предоставления и уничтожения ПДн;
  • разработка положений об управлении доступом к ПДн, использовании внешних носителей ПДн, организации контроля эффективности и мониторинга СЗПДн и т.п.;
  • подготовка перечней носителей ПДн, должностных лиц, допущенных к обработке ПДн, прав доступа и привилений пользователей в ИСПДн и т.п.;
  • поставка, установка и настройка сертифицированных средств защиты информации (СЗИ);
  • разработка эксплуатационной документации СЗПДн;
  • обучение пользователей и технического персонала ИСПДн.
  • ТЗ на создание СЗПДн;
  • Пояснительная записка к техническому проекту СЗПДн;
  • Спецификация программных и технических средств СЗПДн;
  • Документированные процедуры сбора, хранения, обработки, передачи, предоставления и уничтожения ПДн;
  • Положения об управлении доступом к ПДн, использовании внешних носителей ПДн, организации контроля эффективности и мониторинга СЗПДн и т. п.;
  • Перечни носителей ПДн, должностных лиц, допущенных к обработке ПДн, прав доступа и привилений пользователей в ИСПДн и т. п.;
  • Приказы о назначении администратора СЗПДн, утверждении списка лиц, допущенных к обработке ПДн;
  • Должностные инструкции администратора СЗПДн и ответственных лиц, имеющих доступ к ИСПДн;
  • Эксплуатационная документация СЗПДн;
  • Материалы учебных курсов и тренингов по защите ПДн.

Этап 3. Аттестационные испытания информационных систем обработки персональных данных (ИСПДн) по требованиям безопасности информации

Список работ
 Разрабатываемая документация
  • разработка программы и методики проведения аттестационных испытаний ИСПДн;
  • проведение испытаний отдельных компонентов и подсистем ИСПДн и оформление соответствующих протоколов по результатам испытаний;
  • проведение специсследований средств вычислительной техники на ПЭМИН и выдача предписаний на эксплуатацию;
  • проведение аттестации серверной комнаты;
  • подготовка заключения по результатам аттестационных испытаний объекта информатизации;
  • оформление «Аттестата соответствия» ИСПДн требованиям по обеспечению безопасности ПДн.
  • Программа и методика аттестационных испытаний ИСПДн;
  • Протоколы аттестационных испытаний ИСПДн;
  • Предписания не эксплуатацию СВТ;
  • Заключение по результатам аттестационных испытаний ИСПДн;
  • Аттестат соответствия ИСПДн требованиям по обеспечению безопасности ПДн.

Для получения более подробной информации обращайтесь к нам: