Защита персональных данных

ООО «Астерит» является лицензиатом ФСТЭК и ФСБ, и выполняет полный спектр работ по защите персональных данных в соответствии с Федеральным законом №152 «О персональных данных».

Компания «Астерит» предлагает поэтапный подход к решению этой задачи - от обследования до разработки проекта и его реализации, обеспечивая, в конечном счете, полное соответствие информационных систем предприятия требованиям по защите персональных данных.


Основные этапы работ по защите персональных данных:

  • Обследование информационных систем персональных данных, выявление угроз безопасности при обработке персональных данных.
  • Проектирование системы защиты персональных данных, разработка мероприятий по защите информации, разработка технических проектов.
  • Внедрение системы защиты персональных данных, создание организационно-распорядительной и эксплуатационной документации.
  • Аттестация, выдача Аттестата соответствия информационной системы.
  • Сопровождение системы защиты персональных данных.

Каждый этап защиты персональных данных состоит из определенной последовательности работ, проводимых специалистами лицензиата – компании «Астерит». Реализация проекта по защите персональных данных может производиться как поэтапно (с заключением отдельных договоров на каждый этап), так и комплексно.

Состав работ основных этапов приведения информационных систем или государственных информационных систем (ГИС) в соответствие с Федеральным законом №152 «О персональных данных»:

Этап «Обследование информационных систем
обработки персональных данных» включает:

  
    Обследование объекта:
    - анализ размещения объекта и определение границ контролируемой зоны;
    - анализ размещения линий и коммуникаций объектов;
    - анализ состояния охраны и пропускного режима;
    - анализ организации охранной и пожарной сигнализации;
    - выявление информационных системы персональных данных (ИСПДн), определение перечня и объема 
    обрабатываемых данных, определение границ ИСПДн;
    - изучение и документирование технологического процесса обработки и хранения персональных данных;
    - анализ распределения ответственности должностных лиц за выполнение требований по обеспечению 
    защиты информации и уровня их подготовки;
    - анализ существующей организационно-распорядительной и методической документации.
   Составление Акта обследования.

   Построение «Модели нарушителя» и определение актуального типа угроз. Классификация всех выявленных
   ИСПДн на основании перечня и объема обрабатываемых данных, типа актуальных угроз. Составление «Актов
   определения уровня защищенности» на каждую выявленную ИСПДн.

   Разработка «Частной модели угроз» для всех выявленных ИСПДн (определение типов угроз, их актуальности,
   в том числе, на основе модели нарушителя).

   Разработка «Требований по обеспечению безопасности персональных данных при их обработке в
   информационной системе персональных данных» в соответствии с требуемым уровнем защищенности ИСПДн
   и Моделью угроз.

   Разработка перечня рекомендаций (организационных и технических мер) по приведению информационной
   системы персональных данных в соответствии с «Требованиями по обеспечению безопасности
   персональных данных при их обработке в информационной системе персональных данных».


 

Этап «Проектирование системы защиты персональных данных
и разработка мероприятий по защите информации» включает:

  
   Разработка организационно-распорядительной документации, необходимой при обработке персональных
   данных (ПДн) в организации:
    - Приказ об утверждении перечня персональных данных.
    - Приказ об организации неавтоматизированной обработки персональных данных.
    - Положение об организации неавтоматизированной обработки персональных данных.
    - Форма Журнала учета хранилищ носителей персональных данных.
    - Приказ об утверждении списка должностных лиц, которым необходим доступ к персональным данным,
    обрабатываемым без использования средств автоматизации.
    - Инструкция по учету лиц, допущенных к работе с персональными данными без использования средств
    автоматизации.
    - Журнал инструктажа персонала.
    - Акт о выделении документов на уничтожение.
    - Акт об уничтожении документов, срок хранения которых истек.
    - Приказ об организации работ по защите персональных данных, обрабатываемых в ИСПДн.
    - Положение об обработке персональных данных.
    - Форма согласия на обработку персональных данных.
    - Форма журнала учета лиц, допущенных к работе с персональными данными.
    - Форма журнала учета СЗИ.
    - Форма журнала учета средств защиты информации, эксплуатационной и технической документации к
    ним.
    - Форма журнала учета средств криптографической защиты информации, эксплуатационной и
    технической документации к ним.
    - Правила парольной защиты.
    - Правила антивирусной защиты.
    - Правила обновления общесистемного и прикладного программного обеспечения ИСПДн.
    - Порядок работы с электронным журналом обращений пользователей информационной системы к ПДн.
    - Порядок предоставления информации органам государственной власти и местного самоуправления,
    физическим и юридическим лицам.
    - Порядок проведения служебного расследования, нарушений режима информационной безопасности
    ИСПДн.
    - Порядок приостановки предоставления доступа к ПДн в случае обнаружения нарушений порядка их
    обработки.
    - Инструкция по организации резервирования и восстановления программного обеспечения, баз
    персональных данных информационных систем персональных данных.
    - Порядок уничтожения носителей персональных данных.
    - Форма журнала учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и
    модификации программных средств на компьютерах ИСПДн.
    - Форма журнала учета обращений субъектов персональных данных по вопросам обработки
    персональных данных.
    - Перечень ИСПДн.
    - Порядок доступа в помещения, в которых ведется обработка ПДн в ИСПДн.
    - Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных
    системах персональных данных.
    - Инструкция по учету лиц, допущенных к работе с персональными данными.
    - Инструкция ответственного за организацию работ по обработке ПДн.
    - Инструкция администратора безопасности информации.
    - Инструкция пользователя ИСПДн
    - Инструкция по учету машинных носителей информации.
    - Форма журнала периодического тестирования средств защиты информации.
    - Форма журнала учета мероприятий по защите персональных данных.
    - Форма журнала о событиях безопасности.
    - Политика оператора в отношении обработки ПДн.



 

Этап «Аттестация информационной системы (для государственных информационных систем (ГИС))» включает:

Этап «Оценка эффективности реализованных
мер по обеспечению защиты
персональных данных (ЗПДн)» включает:

   Аттестация информационной системы по 
   требованиям защиты информации:
    - Составление программы и методики проведения
    аттестационных испытаний.
    - Разработка документов («Описание
    технологического процесса обработки
    персональных данных в ИСПДн», «Описание
    системы защиты ПДн, обрабатываемых в ИСПДн»,
    Формуляр ИСПДн);
    - Проведение аттестационных испытаний в рамках
    программы и методики (оценка полноты
    организационно-распорядительной документации,
    оценки физической защиты, испытания
    технических средств защиты информации).
    - Оформление протоколов аттестационных
    испытаний и заключения по результатам
    аттестационных испытаний.
    - Выдача Аттестата соответствия на
    информационную систему (сроком на 3 года).

 


   Оценка эффективности реализованных в рамках
   СЗПДн мер по обеспечению безопасности  
   персональных данных в ИСПДн:
    - Составление программы и методики оценки
    эффективности реализованных в рамках СЗПДн
    мер по обеспечению безопасности ПДн.
    - Проведение оценки готовности технических
    средств защиты информации.
    - Проведение оценки физической защиты.
    - Оценка полноты организационно-
    распорядительной документации.
   Оформление протоколов оценки эффективности и
   выдача заключения по результатам оценки
   эффективности.