• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

GlobalTrust

Защита персональных данных

image_pdfimage_print

Цели и задачи

Основной целью выполнения работ является обеспечение соответствия организации требованиям 152-ФЗ «О персональных данных». Разработка и внедрение системы защиты персональных данных осуществляется в соответствии с требованиями 152-ФЗ «О персональных данных» и нормативными документами РФ в области защиты информации, с последующей опциональной аттестацией ИСПДн в системе сертификации ФСТЭК России.

В ходе выполнения работ должны быть решены следующие задачи:

  • Разработка и внедрение системы защиты персональных данных в соответствии с требованиями 152-ФЗ «О персональных данных», Требованиями к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119), Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. № 687), а также требованиями нормативных документов ФСТЭК и ФСБ России по защите персональных данных
  • Подготовка и проведение аттестационных испытаний информационных систем персональных данных по требованиям безопасности информации, в соответствии с  Порядком организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (утв. Приказом ФСТЭК России от 29 апреля 2021 г. № 77), Специальными требованиями и рекомендациями по защите конфиденциальной информации (СТР-К) ФСТЭК России и другими нормативными документами.

Порядок выполнения работ

Этап 1. Предварительное обследование информационных систем персональных данных и разработка концепции обеспечения безопасности персональных данных

Состав работ

  • Определение и документирование области и границ ИСПДн
  • Сбор и документирование исходных данных по ИСПДн, включая физическое расположение, организационную структуру, состав и структуру программно-технических средств, процессы обработки ПДн
  • Классификация ИСПДн
  • Идентификация и анализ применимых требований законодательства и нормативной базы по ПДн, а также проверка их выполнения
  • Идентификация ПДн, используемых способов их получения, обработки и защиты
  • Идентификация и анализ существующих процессов и средств обеспечения безопасности ПДн
  • Разработка модели актуальных угроз в отношении ПДн и модели нарушителя
  • Анализ защищенности ИСПДн, идентификация и анализ технических и организационных уязвимостей
  • Подготовка отчета по результатам предварительного обследования
  • Разработка концепции создания СЗПДн

Отчетная документация

  • Описание ИСПДн
  • Акт классификации ИСПДн
  • Реестр требований безопасности
  • Модель нарушителя и модель актуальных угроз ПДн
  • Отчет по результатам предварительного обследования
  • Концепция создания СЗПДн

Этап 2. Разработка и внедрение системы защиты персональных данных

Состав работ

  • Разработка Технического задания на создание СЗПДн
  • Техническое и рабочее проектирование СЗПДн
  • Подготовка технического паспорта ИСПДн
  • Разработка и внедрение документированных процедур сбора, хранения, обработки, передачи, предоставления и уничтожения ПДн
  • Разработка положений об управлении доступом к ПДн, использовании внешних носителей ПДн, организации контроля эффективности и мониторинга СЗПДн
  • Подготовка перечней носителей ПДн, должностных лиц, допущенных к обработке ПДн, прав доступа и привилегий пользователей в ИСПДн
  • Поставка, установка и настройка сертифицированных средств защиты информации (СЗИ)
  • Разработка эксплуатационной документации СЗПДн
  • обучение пользователей и технического персонала ИСПДн

Отчетная документация

  • ТЗ на создание СЗПДн
  • Пояснительная записка к техническому проекту СЗПДн
  • Спецификация программных и технических средств СЗПДн
  • Документированные процедуры сбора, хранения, обработки, передачи, предоставления и уничтожения ПДн
  • Положения об управлении доступом к ПДн, использовании внешних носителей ПДн, организации контроля эффективности и мониторинга СЗПДн
  • Перечни носителей ПДн, должностных лиц, допущенных к обработке ПДн, прав доступа и привилегий пользователей в ИСПДн
  • Приказы о назначении администратора СЗПДн, утверждении списка лиц, допущенных к обработке ПДн
  • Должностные инструкции администратора СЗПДн и ответственных лиц, имеющих доступ к ИСПДн
  • Эксплуатационная документация СЗПДн
  • Материалы учебных курсов и тренингов по защите ПДн

Этап 3. Аттестационные испытания информационных систем обработки персональных данных по требованиям безопасности информации

Состав работ

  • Разработка программы и методики проведения аттестационных испытаний ИСПДн
  • Проведение испытаний отдельных компонентов и подсистем ИСПДн и оформление соответствующих протоколов по результатам испытаний
  • Проведение специсследований средств вычислительной техники на ПЭМИН и выдача предписаний на эксплуатацию
  • Проведение аттестации серверной комнаты
  • Подготовка заключения по результатам аттестационных испытаний объекта информатизации
  • Оформление «Аттестата соответствия» ИСПДн требованиям по обеспечению безопасности ПДн

Отчетная документация

  • Программа и методика аттестационных испытаний ИСПДн
  • Протоколы аттестационных испытаний ИСПДн
  • Предписания не эксплуатацию СВТ
  • Заключение по результатам аттестационных испытаний ИСПДн
  • Аттестат соответствия ИСПДн требованиям по обеспечению безопасности ПДн

Заказ услуг