Комплекс мероприятий по защите персональных данных
Цели и задачи
Целью выполнения комплекса мероприятий является обеспечение необходимого и достаточного уровня соответствия Ваших организационно-распорядительных документов и информационных систем персональных данных (ИСПДн) требованиям законодательства РФ.
В ходе выполнения комплекса мероприятий решаются следующие задачи:
- Производится предпроектное обследование
- Создается технический проект системы защиты персональных данных (СЗПДн)
- Создается и вводится в действие система защиты персональных данных
- При необходимости принимаются меры по обеспечению безопасноности персональных данных, обрабатываемых без средств автоматизации
- Производится оценка соответствия ИСПДн требованиям безопасности ПДн (аттестация)
Мы можем реализовать как весь комплекс мероприятий по защите персональных данных, так и отдельные элементы этого комплекса, в зависимости от Ваших потребностей и возможностей.
Методика
Мы оказываем услуги по реализации мероприятий по защите персональных данных в соответствии с существующими нормативно-правовыми и методическими документами.
Деятельность осуществляется на основании лицензий, необходимых для выполнения мероприятий по технической защите персональных данных, а именно:
- Лицензии ФСТЭК «На деятельность по технической защите конфиденциальной информации»
- Лицензии ФСТЭК «На деятельность по разработке и (или) производству средств защиты конфиденциальной информации».
Для выполнения задач и достижения обозначенных результатов специалисты Исполнителя используют следующие методы:
- интервьюирование представителей Заказчика с использованием специальных опросных листов;
- изучение существующей организационно-распорядительной и технической документации Заказчика;
- изучение автоматизированных систем Заказчика с применением специальных технических средств;
- обследование помещений Заказчика с применением специальных технических средств.
Содержание работ
В рамках предоставления данной услуги Исполнитель проводит следующие работы и предоставляет перечисленные ниже результаты.
| Мероприятие | Результат |
|---|---|
| Предпроектная стадия | |
| Выявление и анализ процессов обработки ПДн в организации | Отчет о наличии процессов обработки ПДн |
| Выделение и разграничение процессов автоматизированной (в ИСПДн, п/п 781) и неавтоматизированной (п/п 687) обработки ПДн | Перечень процессов автоматизированной и неавтоматизированной обработки ПДн |
| Анализ необходимости процессов автоматизированной обработки ПДн (в ИСПДн) | Заключение о необходимости процессов автоматизированной обработки ПДн |
| Анализ необходимости процессов неавтоматизированной обработки ПДн | Заключение о необходимости процессов неавтоматизированной обработки ПДн |
| Согласование с Заказчиком перечня актуальных процессов обработки ПДн | Перечень актуальных процессов обработки ПДн |
| Определение необходимости подачи уведомления в Роскомнадзор | |
| Определение необходимости получения согласия субъектов ПДн на обработку ПДн | |
| Определение перечня ПДн, подлежащих защите от НСД | Перечень ПДн, подлежащих защите от НСД в ИСПДн |
| Подготовка Положения об обработке ПДн в организации | Положение об обработке ПДн |
| Определение условий расположения ИСПДн относительно границ контролируемой зоны (КЗ) | Схема расположения ИСПДн относительно границ контролируемой зоны |
| Определение конфигурации и топологии ИСПДн, внутренних связей, связей с другими системами | Топологическая схема ИСПДн с физическими, функциональными и технологическими связями |
| Определение технических средств и систем в ИСПДн, условий их расположения, общесистемных и прикладных программных средств | Паспорт технических средств ИСПДн |
| Определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах | Описание технологического процесса обработки ПДн |
| Классификация ИСПДн | • Приказ о создании комиссии по классификации ИСПДн • Акт классификации |
| Уточнение степени участия персонала в обработке ПДн, характера их взаимодействия | Матрица доступа |
| Определение угроз безопасности ПДн к конкретным условиям функционирования (разработка частной модели угроз) | Частная модель угроз |
| Разработка технического задания на разработку СЗПДн | Техническое задание |
Стадия проектирования СЗПДн | |
| Разработка проекта на реинжиниринг ИСПДн и создание СЗПДн в соответствии с ТЗ | Технический проект |
Стадия создания и ввода в действие СЗПДн | |
| Установка и наладка серийно выпускаемых технических средств обработки, передачи и хранения информации | Перечень технических средств |
| Разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями | |
| Установка и наладка сертифицированных технических, программных и программно-технических средств защиты информации | Перечень средств защиты информации |
| Сертификация по требованиям безопасности информации программных средств защиты информации | Сертификаты на програмные средства ЗИ |
| Разработка и реализация разрешительной системы доступа пользователей | Система доступа пользователей в ИСПДн |
| Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации | Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн |
| Разработка эксплуатационной документации на ИСПДн и средства защиты информации | Эксплуатационная документация |
| Разработка организационно-распорядительной документации по защите информации | • Требования по обеспечению безопасности ПДн при обработке в ИСПДн • Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн • Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации |
| Генерация пакета прикладных программ в комплексе с программными средствами защиты информации | |
| Опытная эксплуатация средств защиты информации | Отчет о результататах опытной эксплуатации |
| Приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации | Акт сдачи в эксплуатацию |
| Организация охраны и физической защиты помещений ИСПДн | |
Мероприятия по обеспечению безопасности ПДн, обрабатываемых без средств автоматизации | |
| Разработка типовых форм документов, содержащих ПДн | Типовые формы документов |
| Разработка инструкций по обращению с материальными носителями ПДн | Инструкции |
| Разработка перечня мер по хранению материальных носителей ПДн, исключающих НСД | Положение по организации хранения материальных носителей ПДн |
Оценка соответствия ИСПДн требованиям безопасности ПДн (аттестация) | |
| Оценка мероприятий по защите от НСД к ПДн при их обработке в ИСПДн | Протоколы |
| Оценка мероприятий по защите информации от утечки по техническим каналам | Протоколы |
| Поготовка отчетных документов | • Заключение по результатам испытаний • Аттестат соответствия |
| Подготовка уведомления в Роскомнадзор | Уведомление в Роскомнадзор |
Стоимость и сроки
Стоимость и сроки выполнения комплекса мероприятий определяются в каждом конкретном случае на основании предварительного анализа ситуации в Вашей компании или по результатам проведенного экспресс-обследования.
Стоимость проекта складывается из стоимости работ по каждому из этапов (даны ориентировочные цены):
- Предпроектная стадия — от 400 000 р.
- Стадия проектирования СЗПДн — от 80 000 р.
- Стадия создания и ввода в действие СЗПДн — от 360 000 р.
- Мероприятия по обеспечению безопасности ПДн, обрабатываемых без средств автоматизации — от 100 000 р.
Стоимость оценки соответствия ИСПДн требованиям безопасности ПДн (аттестации) составляет от 65 000 р. за одно автоматизированное рабочее место (АРМ) ИСПДн.
Если Вы заказывали у нас проведение экспресс-обследования по защите персональных данных, мы будем рады предоставить Вам существенную скидку на предпроектную стадию!
Срок реализации комплекса мероприятий может составлять от 45 до 90 дней.
Защита персональных данных — важная, ответственная и нетривиальная задача.
Звоните, мы Вам поможем!
- Аутсорсинг
- Системная интеграция
- Консалтинг
- Защита персональных данных
- Экспресс-обследование положения с обработкой и защитой персональных данных в организации
- Комплекс мероприятий по защите персональных данных
- Разработка ПО
- Поставки программного обеспечения
