Check-IB

Защита персональных данных

В 2007 году вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», согласно которому все организации, в которых хранятся и обрабатываются персональные данные, должны обеспечить их защиту согласно требованиям нормативных документов ФСТЭК и ФСБ.

Что же такое персональные данные?

Если кратко, то персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, так называемому субъекту персональных данных.

Не секрет, что в любой организации ведется работа с данными сотрудников – эти данные используют кадровые службы, бухгалтеры, юристы и пр. Также в большинстве организаций ведется работа с различными системами, в которые заносятся как минимум данные клиентов, как физических лиц, так и компаний.

Все это – персональные данные. Персональные данные есть в Вашей организации. И их необходимо защищать.

Цели и задачи работ

Основной целью проводимых работ является анализ выполнения требований законодательства РФ при обработке персональных данных, разработка первичной документации в области обработки и защиты персональных данных, а также разработка Технического задания, Технического проекта на создание системы защиты персональных данных.

Для достижения поставленной цели специалисты нашей компании предлагают решение следующих задач:

  • обследование процессов обработки ПДн и анализ выполнения требований законодательства РФ при обработке персональных данных;
  • разработка рекомендаций по приведению процессов обработки ПДн в соответствие требованиям законодательства РФ;
  • анализ имеющегося комплекта документации в области обработки и защиты ПДн, при необходимости его корректировка и доработка;
  • выделение информационных систем персональных данных (ИСПДн);
  • моделирование угроз безопасности ПДн при их обработке в ИСПДн;
  • определение уровней защищенности персональных данных;
  • разработка Технического задания на создание системы защиты персональных данных;
  • разработка Технического проекта на системы защиты персональных данных;
  • Ввод системы защиты персональных данных в действие;
      Поставка программного обеспечения и оборудования;
    • Монтаж технических средств, коммутация сетевых устройств;
  • Пусконаладочные работы;
      Наладка и настройка технических и программных средств;
    • Осуществление комплексных настроек СЗПДн;
  • Проведение приемосдаточных испытаний;
      Проведение испытаний в соответствии с программой и методикой испытаний СЗПДн и ведение протокола испытаний;
    • Устранение неисправностей и внесение изменений в документацию на СЗПДн в соответствии с замечаниями, зафиксированными в протоколе испытаний;
    • Разработка и утверждение Акта приемки СЗПДн в опытную эксплуатацию;
  • Проведение опытной эксплуатации;
      Опытная эксплуатация СЗПДн;
    • Подготовка замечаний по результатам опытной эксплуатации;
    • Дополнительная настройка технических и программных средств (необходимость определяется по результатам опытной эксплуатации СЗПДн);
    • Разработка и утверждение Акта о завершении опытной эксплуатации;

Состав работ по защите персональных данных

Этап 0. Инициация проведения работ

Перед началом работ осуществляется инициация работ, в ходе которой сотрудники Заказчика должны предоставить базовую информацию о своих процессах, а также организационной и ИТ-инфраструктуре. Сбор информации осуществляется путём заполнения сотрудниками Заказчика опросных листов, предоставленных Исполнителем или посредством телефонных переговоров.

Этап 1. Проведение обследования процессов обработки ПДн Заказчика

На данном этапе специалистами собирается исходная информация в части обработки и организации защиты ПДн – имеющиеся комплекты организационно-распорядительной документации, приказы, регламенты, типовые формы согласий, типовые формы Договоров и другая информация, необходимая для дальнейшего анализа.

Кроме того, на данном этапе специалисты получают необходимую для анализа информацию посредством проведения интервьюирования и анкетирования ответственных специалистов Заказчика. Формат сбора отдельных свидетельств определяется непосредственно консультантами по согласованию с Заказчиком в зависимости от возможности проведения интервью и состава собираемой информации в рамках получения свидетельства.

Целесообразно в первую очередь проводить обследование юридических лиц, прошедших подготовку в части соответствия требованиям законодательства в области защиты персональных данных.

Результатами работ являются:

  • Отчет об обследовании, содержащий следующие разделы:
      описание текущего уровня соответствия бизнес-процессов Заказчика требованиям законодательства РФ в области обработки персональных данных;
    • рекомендации по приведению процессов обработки ПДн в соответствие требованиям законодательства РФ в области обработки персональных данных.
  • Перечень ПДн, обрабатываемых в Компании;
  • Перечень подразделений и сотрудников, допущенных к обработке ПДн.

Этап 2. Проведение обследования ИСПДн

С учетом полученной на предыдущих этапах информации, происходит сбор подробных сведений об инфраструктуре:

  • анализ архитектур систем обработки ПДн;
  • сбор информации о программно-технических средствах защиты ПДн и их конфигурациях;
  • проведение интервью с сотрудниками ответственными за администрирование корпоративной сети;
  • проведение интервью с сотрудниками ответственными за обеспечение информационной безопасности.

Проводится оценка выполнения требований по ИБ, предъявляемых к ИСПДн.

Результатами работ являются:

  • Перечень ИСПДн;
  • Модель угроз и нарушителя безопасности ПДн;
  • Акты определения уровней защищенности ПДн;
  • Описание текущего уровня выполнения требований по ИБ в ИСПДн.

Этап 3. Разработка Технического задания

Целью данного этапа работ является разработка Технического задания на создание СЗПДн. На данном этапе с учетом определенных уровней защищенности ПДн, модели угроз безопасности ПДн и методических документов ФСТЭК России и ФСБ России разрабатывается Техническое задание на создание СЗПДн.

Структура и содержание Технического задания на создание СЗПДн разрабатывается в соответствии с требованиями документа ГОСТ 34.602-89 «Техническое задание на создание автоматизированной системы» и учитывает требования к установленным уровням защищенности ПДн в ИСПДн.

В Техническом задании определяются требования к функционалу СЗИ в составе СЗПДн, реализующей следующие меры по обеспечению безопасности ПДн:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации, на которых хранятся и (или) обрабатываются ПДн;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности ПДн;
  • обеспечение целостности информационной системы и ПДн;
  • обеспечение доступности ПДн;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • выявление инцидентов ИБ;
  • управление конфигурацией информационной системы и СЗПДн;
  • криптографическая защита.

Вышеуказанный перечень мер по обеспечению безопасности ПДн является общим и может быть сужен/скорректирован (ряд мер возможно заменить обоснованным применением компенсирующих мер) после проведения выбора мер защиты в порядке, определенном в приказе ФСТЭК от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Согласно требованиям Постановления Правительства РФ от 1 ноября 2012 г. №1119 для нейтрализации актуальных угроз безопасности ПДн должны применяться средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

Результатом работ является Техническое задание на создание системы защиты ПДн.

Этап 4. Разработка организационно-распорядительной документации

На основании Технического задания, а так же с учетом существующей структуры документов, разрабатывается комплект организационно-распорядительной документации.

Состав типового комплекта организационно-распорядительной документации:

  • Политика компании в отношении обработки ПДн;
  • Положение о порядке обработки ПДн;
  • Положение о порядке обработки ПДн работников;
  • Положение о порядке обработки обращений субъектов ПДн;
  • Положение о порядке проведения внутренних проверок состояния защиты ПДн;
  • Инструкция о порядке учета, хранения и уничтожения носителей персональных данных;
  • Приказ о создании комиссии по определению уровня защищенности ИСПДн (форма);
  • Уведомление об обработке ПДн;
  • Положение об управлении доступом к информационным ресурсам компании;
  • Положение по антивирусной защите;
  • Положение по анализу защищенности ИС;
  • Политика по резервному копированию;
  • Положение о порядке использования СКЗИ;
  • Положение по реагированию на инциденты ИБ;
  • Положение по управлению изменениями конфигураций ИС;
  • Регламент использования мобильных устройств;
  • Регламент использования технологий беспроводного доступа;
  • Регламент обучения и повышения осведомленности работников в области ИБ;
  • Приказ о назначении ответственного за организацию обработки ПДн (форма);
  • Приказ о назначении ответственного за обеспечение безопасности ПДн (форма);
  • Приказ об утверждении «Перечня лиц, имеющих доступ и/или обрабатывающих ПДн» (форма);
  • Приказ об утверждении «Перечня мест хранения материальных носителей ПДн» (форма).

Конкретный состав комплекта организационно-распорядительной документации формируется по итогам согласования с Заказчиком и уточняется в том числе на основе приyятых стандартов документооборота.

Этап 5. Разработка Технического проекта

Целью данного этапа является разработка технического проекта на создание СЗПДн, удовлетворяющего требованиям Технического задания.

Проводятся работы по разработке и описанию программно-технических решений, реализующих требования технического задания на создание СЗПДн. Проводятся работы по анализу имеющихся на рынке программных и программно-аппаратных средств защиты информации, удовлетворяющих требованиям установленных уровней ПДн в ИСПДн.

Выбор комплекса программно-технических средств защиты информации проводится в соответствии с требованиями методических документов ФСТЭК России и ФСБ России по защите ПДн, предъявляемых к средствам защиты информации.

Для реализации необходимого функционала по защите ПДн общая структура СЗПДн может включать в себя как существующие, так и дополнительные (наложенные) программные и программно-аппаратные средства.

Результатом работ на данном этапе является согласованный пакет документов технического проекта СЗПДн, содержащий:

  • Пояснительную записку к техническому проекту;
  • Спецификацию оборудования и программного обеспечения.

Этап 5. Разработка рабочей документации

Целью данного этапа является разработка технического проекта на создание СЗПДн, удовлетворяющего требованиям Технического задания.

Рабочая документация будет содержать все необходимые и достаточные сведения для обеспечения выполнения работ по вводу СЗПДн в действие и её эксплуатации, а также для поддержания уровня эксплуатационных характеристик (качества) системы в соответствии с принятыми проектными решениями.

Результатом работ является рабочая документация на СЗПДн, содержащая:

  • Документ «Описание информационного обеспечения и настроек СЗИ»;
  • Документ «План расположения оборудования»;
  • Документ «Таблица соединений и подключений»;
  • Документ «Чертеж установки технических средств»;
  • Документ «Программа и методика испытаний».

Заказчик на данном этапе должен определить и предоставить информацию о местах размещения монтажных стоек, в которые будет проводиться установка оборудования СЗПДн.

Наша компания оказывает полный спектр услуг по защите персональных данных