Услуги

Защита персональных данных

Персональные данные - любая информация, относящаяся к определен­ному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущест­венное положение, образование, профессия, доходы, другая информация.

Каждая компания, оперирующая персональными данными должна реализовать мероприятия по их защите в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».


Защита персональных данных — комплекс мер технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

За нарушение требований по защите персональных данных предусмотрена гражданская, уголовная (исправительные работы на срок до 1 года или лишение свободы на срок до 2-х лет), административная, дисциплинарная и иная ответственность и может применяться к руководителю организации или виновному в разглашении работнику.

Любой оператор, осуществляющий обработку персональных данных, столкнувшись с проблемой необходимости выполнения требований ФЗ-152 по обеспечению безопасности персональных данных, неизбежно ставит перед собой вопрос - как и какие персональные данные защищать. Вопрос этот требует профессионального подхода в поисках правильного (с точки зрения требований руководящих документов и, конечно, собственных финансовых и трудовых затрат) решения.

ЗАО «Лаборатория ППШ» обладает всеми необходимыми лицензиями и большим опытом в области защиты персональных данных и аттестации информационных систем персональных данных (ИСПДн) по требованиям безопасности информации и оказывает полный спектр услуг по данному направлению с соблюдением всех требований нормативных правовых документов ФСБ и ФСТЭК.

ЗАО «Лаборатория ППШ» предлагает следующие, проверенные и отработанные на практике, этапы проведения работ по защите персональных дынных:

1 этап – Предпроектное обследование.

Основными задачами по обследованию являются:

- установка необходимости обработки персональных данных (далее - ПДн) в ИСПДн;

определение перечня ПДн, подлежащих защите от несанкционированного доступа (далее - НСД);

определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения;

определение технических средств и систем, предполагаемых к использованию в ИСПДн, условий их расположения, общесистемных и прикладных программных средств, имеющихся и предлагаемых к использованию;

определение режима обработки ПДн в ИСПДн в целом и в отдельных компонентах;

уточнение степени участия персонала в обработке ПДн, характер их взаимодействия между собой;

определение используемых средств защиты информации;

определение существующей организационно-распорядительной базы по обеспечению безопасности ПДн.

Основными направлениями проведения мероприятий по обследованию являются:

- Анализ информационных ресурсов ИСПДн.


В процессе проведения анализа информационных ресурсов определяется необходимость обработки ПДн в ИСПДн, состав, содержание и местонахождение ПДн, подлежащих защите, категория ПДн; производится оценка выполнения обязанностей по обеспечению безопасности ПДн.


Анализ технических и эксплуатационных характеристик ИСПДн.


В ходе проведения анализа технических и эксплуатационных характеристик ИСПДн будут определены следующие данные:

территориальное размещение ИСПДн;

конфигурация и топология ИСПДн в целом и ее отдельных компонент;

физические связи ИСПДн, в том числе с сетями общего пользования;

функциональные и технологические связи как внутри ИСПДн, так и с другими системами различного уровня и назначения;

технические средства и системы ИСПДн, условия их расположения;

общесистемные и прикладные программные средства, используемые (планируемые к использованию) в ИСПДн;

режимы обработки ПДн в ИСПДн и ее в компонентах;

степень участия персонала в обработке ПДн, характер взаимодействия персонала между собой.

Анализ имеющихся мер и средств защиты информации.


В процессе проведения анализа, имеющихся средств защиты информации в ИСПДн, будут получены следующие данные:

наличие мер и средств защиты ПДн от физического доступа к ним;

наличие мер и средств защиты ПДн от утечки информации по техническим каналам;

наличие мер и средств защиты ПДн от несанкционированного доступа;

наличие мер и средств защиты ПДн от электромагнитных воздействий.

Анализ существующей организационной структуры и организационно-распорядительной документации по обеспечению безопасности ПДн.


В процессе проведения анализа будут получены следующие данные:

наличие организационной структуры по обеспечению безопасности информации в ИСПДн;

наличие и состав документов, регламентирующих процесс обработки ПД в ИСПДн (регламенты, соглашения по организации информационного взаимодействия,

положения о конфиденциальности и т.п.);

наличие и содержание должностных инструкций лиц, администрирующих средства защиты информации в ИСПДн;

наличие и содержание должностных инструкций персонала, участвующего в обработке ПД.   

В результате оказанных услуг по обследованию ИСПДн будут разработаны и представлены заказчику в печатном виде (на бумажном носителе) следующие документы:


1. Аналитическое обоснование необходимости создания СЗИ ИСПДн, включающее:

 1) «Перечень автоматизированных рабочих мест, участвующих в обработке персональных данных», в котором отражена информация о конфигурации АРМ, классе обрабатываемых данных, используемом программном обеспечении, должностях и фамилиях пользователей, имеющих доступ к АРМ, месте размещения АРМ;
2) «Перечень программного обеспечения, участвующего в обработке персональных данных», в котором отражена информация о наименовании программного обеспечения, поставщике, классе обрабатываемых данных, назначении;
3) «Характеристика ЛВС», включающий структурную схему ЛВС;
4) «Перечень каналов связи», включающий наименование канала связи и провайдера;
5) Перечень персональных данных, обрабатываемых в учреждении», содержащий информацию о наименовании и классе обрабатываемых данных;
6) «Характеристика базы данных», включающий наименование и описание принципиальных особенностей базы данных;
7) «Принципиальная схема обмена персональными данными внутри учреждения», включающий информацию о движении бумажных и электронных документов, содержащих персональные данные различных типов между подразделениями учреждения;
8) «Принципиальная схема обмена персональными данными с внешней средой», включающий информацию о поступлении и выбытии бумажных и электронных документов, содержащих персональные данные различных типов в и из учреждения;
9) Описание системы обеспечения безопасности каждого объекта, отражающих сведения о системах контроля и управления доступом, охранной сигнализации, системе видеонаблюдения, системе пожаротушения;
10) Заключение о соответствии существующих технических средств системы обеспечения безопасности требованиям нормативных документов и задачам физической защиты объекта;
11) Технико-экономический анализ технических средств системы обеспечения безопасности.
12) «Перечень ответственных за информационную безопасность», включающий информацию о фамилии, имени, отчестве, должности и зоне ответственности таких лиц;
13) Обеспечение безопасности информации на стадии проектирования и создания системы защиты информации, на стадии эксплуатации АСЗИ;
14) Организация контроля обеспечения безопасности информации в АСЗИ;

2. Проект документа «Акт классификации ИСПДн» для каждой ИСПДн учреждения, включающий:

состав комиссии, утверждающей документ,

наименование информационных систем персональных данных,

указание на категорию персональных данных и объем обрабатываемых данных, 

указание на тип информационной системы и ее структуру, 

информацию о подключении к сетям общего пользования,

информацию о режиме обработки персональных данных в информационных системах,

информацию о разграничении прав доступа,

информацию о местонахождении информационных систем персональных данных,

информацию о присвоенном классе.

3. «Модель угроз….» - документ, содержащий перечень ИСПДн, с указанием возможных угроз, последствий реализации возможных угроз, имеющихся в настоящее время мер и средств защиты ПДн.

4. Проект Технического задания на создание системы защиты персональных данных в ИСПДн.

2 этап – проектирования СЗИ ИСПДн.

В результате оказанных услуг по проектированию СЗИ ИСПДн будут разработаны и представлены заказчику следующие документы:

1. Технический проект создания СЗИ ИСПДн.

2. Сборник проектов организационно-эксплуатационных документов и организационно-распорядительных документов по защите персональных данных в ИСПДн.

3 этап – реализация проектных решений по созданию СЗИ ИСПДн.

Поставка, установка, настройка технических, программно-аппаратных и программных сертифицированных средств защиты, предназначенных для обеспечения безопасности информации, обрабатываемой в ИСПДн. Внедрение соответствующих защитных технологий, разработка и проведение организационных мероприятий по защите информации в ИСПДн.

Адаптация СЗИ ИСПДн.

Опытная эксплуатация.

Приемо-сдаточные испытания средств защиты информации в составе ИСПДн.

4 этап - аттестация на соответствие требованиям по безопасности информации.

В результате оказанных услуг по аттестации ИСПДн будут разработаны и представлены заказчику следующие документы:

Программа и методики аттестационных испытаний;

Протоколы аттестационных испытаний;

Заключение по результатам аттестационных испытаний;

Аттестат соответствия.