ИСПДн.инфо

защита персональных данных

Skip to content

Услуги

Обследование и оценка текущего уровня соответствия ИСПДн требованиям нормативных документов по защите ПДн

Обследование ИСПДн является одним из основных этапов проведения работ по защите ПДн и позволяет структурировать общее описание объектов информатизации, оценить текущий уровень соответствия ИСПДн требованиям нормативных документов по защите ПДн. Материалы, полученные в ходе работ по обследованию ИСПДн используются для:

оптимизации предлагаемых технических и организационных мер по защите ПДн;
минимизации материальных затрат на проведение работ по защите ПДн;
разработки необходимых технических и организационно-распорядительных документов, описывающих технологию обработки ПДн в ИСПДн.

Обследование ИСПДн может осуществляться как экспертно-документальными методами (анкетирование, интервьюирование, анализ существующей документации), так и с использованием специальных инструментальных средств анализа уязвимостей и контроля защищенности ПДн в ИСПДн.
Основными работами проводимыми при Обследовании ИСПДн являются:

анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн в ИС;
определение используемых средств защиты ПДн в ИС, оценка их эффективности и соответствия требованиям нормативных документов по защите ПДн;
определение перечня ПДн, обрабатываемых в ИС подлежащих защите в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и Постановлением Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
определение перечня ИСПДн;
определение степени участия пользователей ИСПНд в обработке ПДн и характера их взаимодействия;
оформление Отчета об обследовании ИСПДн Заказчика.

Предварительная классификация ИСПДн

Согласно требованиям Постановления Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» все ИСПДн должны быть классифицированы в соответствии с «Порядком проведения классификации ИСПДн», утвержденным Приказом ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

На этапе предварительной классификации разрабатывается проект Акта классификации ИСПДн. Класс ИСПДн определяется на основании материалов обследования ИСПДн в котором учитывается:

категория обрабатываемых ПДн;
объем обрабатываемых ПДн (количество субъектов ПДн);
характеристики безопасности ПДн;
структура ИСПДн;
наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки ПДн;
режим разграничения прав доступа пользователей ИСПДн;
местонахождение технических средств ИСПДн;
и другие факторы, влияющие на безопасность ПДн.

Разработка модели угроз безопасности ПДн и модели нарушителя

В соответствии с «Порядком проведения классификации ИСПДн», утвержденным Приказом ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных», класс ИСПДн, определенных на этапе предварительной классификации как «специальные», должен определяться на основании разработанной модели угроз безопасности ПДн.

Наши специалисты для каждой «специальной» ИСПДн, на основании «Базовой модели угроз безопасности ПДн» разрабатывают частную модель угроз безопасности ПДн, содержащую перечень актуальных угроз безопасности ПДн.

В частной модели угроз безопасности ПДн и модели нарушителя указываются:

совокупность характеристик ИСПДн Заказчика, полученных в ходе ее обследования;
вероятность реализации угрозы (Y2), возможность реализации угрозы (Y), уровень опасности угроз и актуальность угрозы;
возможностей источников угроз;
принятые организационные и технические меры по защите ПДн;
другие факторы, влияющие на безопасность ПДн.

Результатами работ по разработке модели угроз безопасности ПДн и модели нарушителя могут являться:

модель нарушителя безопасности ПДн Заказчика;
модели угроз безопасности «специальных» ИСПДн Заказчика;
типовые модели угроз безопасности объектов информатизации Заказчика.

Разработка Частного технического задания (ЧТЗ) на создание системы защиты ПДн

На основании результатов обследования и разработанной модели угроз безопасности ПДн и модели нарушителя разрабатывается ЧТЗ на создание СЗПДн объектов информатизации.

Частное техническое задание на создание СЗПДн объектов информатизации содержит детализированные требования к техническим средствам защиты информации и организационным мерам обеспечения информационной безопасности, при построении СЗПДн объектов информатизации.

Частное техническое задание на создание СЗПДн объектов информатизации является основным документом регламентирующим проведение работ по техническому проектированию и внедрению СЗПДн на объектах информатизации.

Разработка Технического проекта (ТП) на создание системы защиты ПДн

В соответствии с ЧТЗ на создание СЗПДн объектов информатизации на этапе технического проектирования наши специалисты готовят комплект документов необходимый для:

внедрения СЗПДн на объектах информатизации;
проведения работ по аттестации ИСПДн по требованиям безопасности ПДн.

Материалы ТП на СЗПДн описывают комплекс средств защиты ПДн и могут содержать:

общее описание комплекса технических средств СЗПДн;
описание технических решений по защите ПДн;
описание организационного обеспечения защиты ПДн;
ведомость покупных изделий СЗПДн;
и другие материалы, предусмотренные требованиям нормативных документов по защите ПДн и государственными стандартами Российской Федерации.

Разработка проектов организационно-распорядительных документов (ОРД)

Все проекты разрабатываемых организационно-распорядительных документов по защите ПДн в полной мере удовлетворяют требованиям нормативных документов. Качество и объем разработанных ОРД обеспечивают успешное проведение аттестации ИСПДн по требованиям безопасности информации.

Типовые организационно-распорядительные документы по защите ПДн содержат:

комплекс мер и средств обеспечения безопасности ПДн (на основании результатов обследования ИСПДн, проектирования и внедрения СЗПДн);
требования к персоналу ИСПДн, степень ответственности, статус и должностные обязанности сотрудников при обработки ПДн;
технологию обработки ПДн в ИСПДн;

Детальный состав и структура ОРД определяется на основе требований к защите ПДн, исходя из особенностей ИСПДн и реализуемой СЗПДн в составе ИСПДн.

Проведение аттестации ИСПДн по требованиям безопасности ПДн

Аттестация ИСПДн по требованиям безопасности ПДн осуществляют аккредитированным ФСТЭК России органом по аттестации в соответствии с нормативными документами ФСТЭК России. Работы по аттестации включают в себя:

разработку программы и методики аттестационных испытаний;
проведение аттестационных испытаний на объектах информатизации (в том числе и аттестацию защищаемых помещений);
оформление протоколов аттестационных испытаний;
получение аттестата соответствия установленного образца.

Получение лицензий

Наши специалисты осуществляет консультации и подготовку необходимых материалов для получения лицензий ФСТЭК России и ФСБ России по следующим лицензируемым видам деятельности:

лицензии ФСТЭК России на:
— деятельность по технической защите конфиденциальной информации;
— деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
— проведение работ, связанных с созданием средств защиты информации.

лицензии ФСБ России на:
— техническое обслуживание шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну;
— распространение шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну;
— разработка, производство шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну.