Вы стремитесь к выполнению требований закона о персональных данных (ФЗ-152) и хотите устранить возможные угрозы безопасности персональных данных? Мы готовы взять на себя реализацию проекта по их защите «под ключ», учитывающего все особенности Вашей сферы бизнеса. Наш опыт работы в области безопасности персональных данных позволил разработать классическую структуру такого проекта, которая включает в себя 4 этапа и завершается оценкой соответствия информационных систем персональных данных (ранее – аттестацией ИСПДн).

Основные этапы

  • Обследование информационных систем

    Предпроектное обследование Ваших информационных ресурсов позволит получить актуальную информацию о существующих особенностях обработки персональных данных. Основные способы получения информации, которыми мы воспользуемся в рамках данного этапа, - анализ представленных Вами документов и интервьюирование Ваших сотрудников. Во время предпроектного обследования мы:

    • составим перечень информационных систем, обрабатывающих персональные данные
    • определим состав и структуру информационных систем
    • разработаем схему корпоративной информационной системы, соответствующую требованиям Регуляторов
    • рассмотрим необходимость использования средств криптографической защиты информации
    • окажем помощь в классификации систем обработки персональных данных
    • соберем и проанализируем уже имеющиеся у Вас документы по обеспечению безопасности персональных данных

    Результатом исследовательского этапа станет предоставленный Вам комплект документов, включающий отчет об анализе соответствия Ваших информационных систем персональных данных (ИСПДн) требованиям законодательства и предложения по логическому структурированию Ваших информационных систем.

  • Проектирование системы защиты персональных данных

    До того, как приступить к проектированию системы защиты персональных данных, мы сформируем организационно-технические требования, предъявляемые к информационным системам. Основанием для их разработки служит модель угроз безопасности. Данные требования позволят определить класс защиты персональных данных и набор необходимых средств их защиты, а также - разработать техническое задание (технические условия) на создание системы защиты конфиденциальной информации. Именно на его основе проектируется система защиты персональных данных.

  • Разработка организационно-распорядительных документов

    Перечень разрабатываемых нами документов:

    • Уведомление об обработке персональных данных;
    • Приказ об организации работ по обработке персональных данных (проект)
      Приложение:
      • Список лиц, имеющих доступ к персональным данным, обрабатываемым в информационных системах персональных данных;
    • Политика обеспечения безопасности персональных данных;
    • Положение об обработке персональных данных в Компании
      Приложение:
      • Журнал учета обращений субъектов персональных данных (форма);
    • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах;
      Приложения:
      • Заключение о возможности эксплуатации средств защиты информации по результатам проверки их готовности (форма);
      • Заключение по факту несоблюдения условий хранения носителей персональных данных и использования средств защиты информации (форма);
      • Акт классификации (форма);
      • Акт ввода в эксплуатацию средств защиты информации (форма);
    • Положение о подразделении, осуществляющем функции по обеспечению безопасности обработки персональных данных;
    • Инструкция о порядке обращения с носителями персональных данных и учета средств защиты информации
      Приложения:
      • Журнал учета машинных носителей информации (форма);
      • Журнал учета применяемых средств защиты информации, эксплуатационной и технической документации к ним (форма);
      • Акт уничтожения персональных данных (форма);
    • Инструкция о порядке организации пропускного режима и контроля доступа
      Приложение:
      • Журнал учета посетителей;
    • План мероприятий по защите персональных данных;
    • План внутренних проверок состояния защиты персональных данных;
    • Шаблоны и бланки, необходимые для организации обработки персональных данных;
    • Соглашение о конфиденциальности (проект).
  • Внедрение системы защиты персональных данных

    Этот этап подразумевает встраивание элементов системы защиты информации в уже существующую в компании среду. В рамках этого этапа наши эксперты будут работать в тесной связке с сотрудниками ИТ-подразделений Вашей компании. Причина этого в том, что работы по интеграции могут повлиять на текущую деятельность компании, а технические сбои - недопустимы.

    В ходе этапа внедрения системы защиты персональных данных мы:

    • разработаем спецификации на необходимое оборудование и программное обеспечение, а при необходимости - закупим и поставим технические средств защиты информации
    • внедрим компоненты системы защиты персональных данных, т.е. установим и настроим программно-аппаратные средства, а также запустим их в опытную эксплуатацию
    • доработаем систему защиты при условии выявления её недостатков во время тестовых испытаний
    • запустим систему защиты персональных данных в эксплуатацию
  • Оценка соответствия информационных систем персональных данных

    Наши специалисты проведут оценку соответствия (аттестацию) Ваших ИСПДн (автоматизированных систем) требованиям по безопасности информации, которая состоит из:

    • разработки программы и методики испытаний
    • проведения испытаний
    • оформления результатов проведения испытаний, подтверждающих соответствие информационных систем установленным требованиям по безопасности информации

После запуска в действие системы защиты персональных данных и по окончании гарантийного периода с нашей стороны возможны:

  • дальнейшая поддержка работы систем обеспечения информационной безопасности
  • сопровождение установленных средств защиты информации

Воспользовавшись этими услугами, Вы исключите необходимость содержать в штате компании дополнительных высокопрофессиональных специалистов, получать лицензии ФСТЭК России на ТЗКИ и лицензии ФСБ России на обслуживание криптографических средств защиты информации.

При необходимости мы можем подключиться к проекту по обеспечению безопасности персональных данных на любом из его этапов и выполнять отдельные виды работ (например, анализ нормативной базы Заказчика, обследование инфраструктуры и разработка рекомендаций, оценка соответствия ИСПДн и других объектов информатизации и т.д.).

Кредитно-финансовым организациям РФ мы рекомендуем дополнительно обеспечивать защиту персональных данных в соответствии с требованиями Стандарта Банка России СТО БР ИББС

Данный Стандарт устанавливает положения по обеспечению информационной безопасности в организациях банковской сферы РФ и определяет требования по обработке персональных данных в Банках, а его выполнение является одной из услуг, которые наша компания предоставляет своим клиентам из числа Банков