В 2007 году вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», согласно которому все организации, в которых хранятся и обрабатываются персональные данные, должны обеспечить их защиту согласно требованиям нормативных документов ФСТЭК и ФСБ.
Что же такое персональные данные?
Если кратко, то персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, так называемому субъекту персональных данных.
Не секрет, что в любой организации ведется работа с данными сотрудников – эти данные используют кадровые службы, бухгалтеры, юристы и пр. Также в большинстве организаций ведется работа с различными системами, в которые заносятся как минимум данные клиентов, как физических лиц, так и компаний.
Все это – персональные данные. Персональные данные есть в Вашей организации. И их необходимо защищать.
Цели и задачи работ
Основной целью проводимых работ является анализ выполнения требований законодательства РФ при обработке персональных данных, разработка первичной документации в области обработки и защиты персональных данных, а также разработка Технического задания, Технического проекта на создание системы защиты персональных данных.
Для достижения поставленной цели специалисты нашей компании предлагают решение следующих задач:
- обследование процессов обработки ПДн и анализ выполнения требований законодательства РФ при обработке персональных данных;
- разработка рекомендаций по приведению процессов обработки ПДн в соответствие требованиям законодательства РФ;
- анализ имеющегося комплекта документации в области обработки и защиты ПДн, при необходимости его корректировка и доработка;
- выделение информационных систем персональных данных (ИСПДн);
- моделирование угроз безопасности ПДн при их обработке в ИСПДн;
- определение уровней защищенности персональных данных;
- разработка Технического задания на создание системы защиты персональных данных;
- разработка Технического проекта на системы защиты персональных данных;
- Ввод системы защиты персональных данных в действие;
- Поставка программного обеспечения и оборудования;
-
- Монтаж технических средств, коммутация сетевых устройств;
- Пусконаладочные работы;
- Наладка и настройка технических и программных средств;
-
- Осуществление комплексных настроек СЗПДн;
- Проведение приемосдаточных испытаний;
- Проведение испытаний в соответствии с программой и методикой испытаний СЗПДн и ведение протокола испытаний;
-
- Устранение неисправностей и внесение изменений в документацию на СЗПДн в соответствии с замечаниями, зафиксированными в протоколе испытаний;
-
- Разработка и утверждение Акта приемки СЗПДн в опытную эксплуатацию;
- Проведение опытной эксплуатации;
- Опытная эксплуатация СЗПДн;
-
- Подготовка замечаний по результатам опытной эксплуатации;
-
- Дополнительная настройка технических и программных средств (необходимость определяется по результатам опытной эксплуатации СЗПДн);
-
- Разработка и утверждение Акта о завершении опытной эксплуатации;
Состав работ по защите персональных данных
Этап 0. Инициация проведения работ
Перед началом работ осуществляется инициация работ, в ходе которой сотрудники Заказчика должны предоставить базовую информацию о своих процессах, а также организационной и ИТ-инфраструктуре. Сбор информации осуществляется путём заполнения сотрудниками Заказчика опросных листов, предоставленных Исполнителем или посредством телефонных переговоров.
Этап 1. Проведение обследования процессов обработки ПДн Заказчика
На данном этапе специалистами собирается исходная информация в части обработки и организации защиты ПДн – имеющиеся комплекты организационно-распорядительной документации, приказы, регламенты, типовые формы согласий, типовые формы Договоров и другая информация, необходимая для дальнейшего анализа.
Кроме того, на данном этапе специалисты получают необходимую для анализа информацию посредством проведения интервьюирования и анкетирования ответственных специалистов Заказчика. Формат сбора отдельных свидетельств определяется непосредственно консультантами по согласованию с Заказчиком в зависимости от возможности проведения интервью и состава собираемой информации в рамках получения свидетельства.
Целесообразно в первую очередь проводить обследование юридических лиц, прошедших подготовку в части соответствия требованиям законодательства в области защиты персональных данных.
Результатами работ являются:
- Отчет об обследовании, содержащий следующие разделы:
- описание текущего уровня соответствия бизнес-процессов Заказчика требованиям законодательства РФ в области обработки персональных данных;
-
- рекомендации по приведению процессов обработки ПДн в соответствие требованиям законодательства РФ в области обработки персональных данных.
- Перечень ПДн, обрабатываемых в Компании;
- Перечень подразделений и сотрудников, допущенных к обработке ПДн.
Этап 2. Проведение обследования ИСПДн
С учетом полученной на предыдущих этапах информации, происходит сбор подробных сведений об инфраструктуре:
- анализ архитектур систем обработки ПДн;
- сбор информации о программно-технических средствах защиты ПДн и их конфигурациях;
- проведение интервью с сотрудниками ответственными за администрирование корпоративной сети;
- проведение интервью с сотрудниками ответственными за обеспечение информационной безопасности.
Проводится оценка выполнения требований по ИБ, предъявляемых к ИСПДн.
Результатами работ являются:
- Перечень ИСПДн;
- Модель угроз и нарушителя безопасности ПДн;
- Акты определения уровней защищенности ПДн;
- Описание текущего уровня выполнения требований по ИБ в ИСПДн.
Этап 3. Разработка Технического задания
Целью данного этапа работ является разработка Технического задания на создание СЗПДн. На данном этапе с учетом определенных уровней защищенности ПДн, модели угроз безопасности ПДн и методических документов ФСТЭК России и ФСБ России разрабатывается Техническое задание на создание СЗПДн.
Структура и содержание Технического задания на создание СЗПДн разрабатывается в соответствии с требованиями документа ГОСТ 34.602-89 «Техническое задание на создание автоматизированной системы» и учитывает требования к установленным уровням защищенности ПДн в ИСПДн.
В Техническом задании определяются требования к функционалу СЗИ в составе СЗПДн, реализующей следующие меры по обеспечению безопасности ПДн:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются ПДн;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности ПДн;
- обеспечение целостности информационной системы и ПДн;
- обеспечение доступности ПДн;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов ИБ;
- управление конфигурацией информационной системы и СЗПДн;
- криптографическая защита.
Вышеуказанный перечень мер по обеспечению безопасности ПДн является общим и может быть сужен/скорректирован (ряд мер возможно заменить обоснованным применением компенсирующих мер) после проведения выбора мер защиты в порядке, определенном в приказе ФСТЭК от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Согласно требованиям Постановления Правительства РФ от 1 ноября 2012 г. №1119 для нейтрализации актуальных угроз безопасности ПДн должны применяться средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.
Результатом работ является Техническое задание на создание системы защиты ПДн.
Этап 4. Разработка организационно-распорядительной документации
На основании Технического задания, а так же с учетом существующей структуры документов, разрабатывается комплект организационно-распорядительной документации.
Состав типового комплекта организационно-распорядительной документации:
- Политика компании в отношении обработки ПДн;
- Положение о порядке обработки ПДн;
- Положение о порядке обработки ПДн работников;
- Положение о порядке обработки обращений субъектов ПДн;
- Положение о порядке проведения внутренних проверок состояния защиты ПДн;
- Инструкция о порядке учета, хранения и уничтожения носителей персональных данных;
- Приказ о создании комиссии по определению уровня защищенности ИСПДн (форма);
- Уведомление об обработке ПДн;
- Положение об управлении доступом к информационным ресурсам компании;
- Положение по антивирусной защите;
- Положение по анализу защищенности ИС;
- Политика по резервному копированию;
- Положение о порядке использования СКЗИ;
- Положение по реагированию на инциденты ИБ;
- Положение по управлению изменениями конфигураций ИС;
- Регламент использования мобильных устройств;
- Регламент использования технологий беспроводного доступа;
- Регламент обучения и повышения осведомленности работников в области ИБ;
- Приказ о назначении ответственного за организацию обработки ПДн (форма);
- Приказ о назначении ответственного за обеспечение безопасности ПДн (форма);
- Приказ об утверждении «Перечня лиц, имеющих доступ и/или обрабатывающих ПДн» (форма);
- Приказ об утверждении «Перечня мест хранения материальных носителей ПДн» (форма).
Конкретный состав комплекта организационно-распорядительной документации формируется по итогам согласования с Заказчиком и уточняется в том числе на основе приyятых стандартов документооборота.
Этап 5. Разработка Технического проекта
Целью данного этапа является разработка технического проекта на создание СЗПДн, удовлетворяющего требованиям Технического задания.
Проводятся работы по разработке и описанию программно-технических решений, реализующих требования технического задания на создание СЗПДн. Проводятся работы по анализу имеющихся на рынке программных и программно-аппаратных средств защиты информации, удовлетворяющих требованиям установленных уровней ПДн в ИСПДн.
Выбор комплекса программно-технических средств защиты информации проводится в соответствии с требованиями методических документов ФСТЭК России и ФСБ России по защите ПДн, предъявляемых к средствам защиты информации.
Для реализации необходимого функционала по защите ПДн общая структура СЗПДн может включать в себя как существующие, так и дополнительные (наложенные) программные и программно-аппаратные средства.
Результатом работ на данном этапе является согласованный пакет документов технического проекта СЗПДн, содержащий:
- Пояснительную записку к техническому проекту;
- Спецификацию оборудования и программного обеспечения.
Этап 5. Разработка рабочей документации
Целью данного этапа является разработка технического проекта на создание СЗПДн, удовлетворяющего требованиям Технического задания.
Рабочая документация будет содержать все необходимые и достаточные сведения для обеспечения выполнения работ по вводу СЗПДн в действие и её эксплуатации, а также для поддержания уровня эксплуатационных характеристик (качества) системы в соответствии с принятыми проектными решениями.
Результатом работ является рабочая документация на СЗПДн, содержащая:
- Документ «Описание информационного обеспечения и настроек СЗИ»;
- Документ «План расположения оборудования»;
- Документ «Таблица соединений и подключений»;
- Документ «Чертеж установки технических средств»;
- Документ «Программа и методика испытаний».
Заказчик на данном этапе должен определить и предоставить информацию о местах размещения монтажных стоек, в которые будет проводиться установка оборудования СЗПДн.
Наша компания оказывает полный спектр услуг по защите персональных данных