Предлагаемые услуги

ООО «КРИПТО-ПРО»  оказывает услуги по обеспечению в соответствии с требованиями Законодательства безопасности информационных систем, в которых осуществляется обработка, хранение и передача персональных данных (далее – ИСПДн).

В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты персональных данных (далее – СЗПДн), в том числе включающие:

1. Проведение обследования ИСПДн и определение необходимого уровня защищенности;
2. Разработка частной модели актуальных угроз нарушения безопасности ПДн;
3. Выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности ПДн;
4. Разработка технического задания и проектирование СЗПДн;
5. Разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок обеспечения безопасности ПДн и эксплуатации СЗПДн;
6. Поставка и внедрение сертифицированных технических средств защиты информации;
7. Инструктаж и обучение персонала в авторизованных учебных центрах;
8. Оценка соответствия выполнения требований безопасности ПДн в форме аттестации ИСПДн;
9. Техническое сопровождение и сервисное обслуживание СЗПДн.

При выборе и реализации организационно-технических мер обеспечения безопасности ПДн специалисты ООО «КРИПТО-ПРО» руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ИСПДн и спецификой деятельности Заказчика.

Богатый опыт ООО «КРИПТО-ПРО» комплексного обеспечения безопасности информационных систем различного назначения, в том числе с использованием сертифицированных средств криптографической защиты собственной разработки и широкой номенклатурой партнерских решений, в процессе оказания услуг позволяет решить весь комплекс задач Заказчиков по защите информации и обеспечению юридической значимости электронных документов.

Основные положения законодательства в области защиты персональных данных

На текущий момент в Российской Федерации создана и принята вертикаль (иерархия) руководящих и нормативно-методических документов по обеспечению безопасности персональных данных (ПДн).Основой регулирования правоотношений в сфере персональных данных являются положения Конституции РФ. Правоотношения, касающиеся обращения с ПДн регулируются Федеральным Законодательством РФ, в т.ч. Трудовым кодексом РФ (глава 14).

Необходимость обеспечения безопасности ПДн устанавливает Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных», который обязывает оператора (любое физическое или юридическое лицо, осуществляющее обработку ПДн), получающими доступ к персональным данным, обеспечивать конфиденциальность таких данных (ст.7) и принимать необходимые организационные и технические, меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст.19).

В соответствии с 152-ФЗ обеспечение безопасности персональных данных достигается, в частности:

1. определением угроз безопасности персональных данных;
2. применением организационных и технических мер, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3. применением средств защиты информации;
4. оценкой эффективности принимаемых мер по обеспечению безопасности;
5. учетом машинных носителей персональных данных;
6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8. установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными;
9. контролем за принимаемыми мерами по обеспечению безопасности.

Требования к обеспечению безопасности, типы угроз безопасности и уровни защищенности ПДн установлены Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

В соответствии с Постановлением, безопасность ПДн обеспечивается с помощью системы защиты персональных данных (СЗПДн), нейтрализующей актуальные угрозы безопасности ПДн.

СЗПДн включает организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн.

Актуальные угрозы безопасности ПДн - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может являться нарушение их безопасности (уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия).

Определение актуальных угроз осуществляется в соответствии с Методическими документами ФСТЭК России в составе:

• Базовая модель угроз;
• Методика определения актуальных угроз безопасности ПДн;

Определение типа угроз безопасности ПДн, актуальных для ИС, производится с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения их безопасности.

Уровень защищенности ПДн - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн.

Уровень защищенности для конкретной информационной системы устанавливается в зависимости от определенного для этой системы типа актуальных угроз, обрабатываемых в ней категорий и количества субъектов ПДн.

В зависимости от установленного уровня защищенности необходимо выполнение следующих требований:

1. организация режима обеспечения безопасности помещений;
2. обеспечение сохранности носителей персональных данных;
3. утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн необходим для выполнения ими служебных обязанностей;
4. использование сертифицированных средств защиты информации в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн.
5. назначение должностного лица, ответственного за обеспечение безопасности ПДн.
6. обеспечение возможности доступа к содержанию электронного журнала сообщений исключительно для должностных лиц, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных обязанностей.
7. автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн;
8. создание структурного подразделения, ответственного за обеспечение безопасности ПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Блокирование (нейтрализация) актуальных угроз безопасности ПДн обеспечивается посредством выбора и реализации в СЗПДн мер по обеспечению безопасности ПДн в соответствии с приказами ФСТЭК и ФСБ России.

В зависимости от актуальных угроз безопасности ПДн Приказом ФСТЭК России от 18.02.2013 № 21 определен следующий состав и содержание организационных и технических мер по обеспечению безопасности ПДн:

1. обеспечение доверенной загрузки;
2. идентификация и аутентификация субъектов доступа и объектов доступа;
3. управление доступом субъектов доступа к объектам доступа;
4. ограничение программной среды;
5. защита машинных носителей информации;
6. регистрация событий безопасности;
7. обеспечение целостности информационной системы и информации;
8. защита среды виртуализации;
9. защита технических средств;
10. защита информационной системы, ее средств и систем связи и передачи данных.

Выбор мер по обеспечению безопасности ПДн включает:

1. выбор базового набора мер;
2. адаптацию выбранного базового набора мер;
3. дополнение адаптированного базового набора мер;
4. обоснование применения компенсирующие мер взамен выбранных мер.

Меры по обеспечению безопасности персональных данных в государственных информационных системах (ГИС) принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС, устанавливаемыми ФСТЭК России.

Использование СКЗИ для обеспечения безопасности ПДн осуществляется в соответствии с Методическими рекомендациями и требованиями, утвержденными Приказами ФСБ России от 21.02.2008г.

Нарушение требований закона при обработке персональных данных влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц, административную ответственность юридических лиц.

Цель создания системы защиты персональных данных и решаемые задачи

Целью создания СЗПДн является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности ПДн в соответствии с ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами.

Для создания СЗПДн предлагается решение следующих задач:

1. Проведение обследования ИСПДн и определение требуемого уровня защищенности ПДн;
2. Разработка частной модели актуальных угроз нарушения безопасности ПДн ;
3. Выбор и обоснование организационных и технических мер, необходимых для защиты ПДн;
4. Разработка организационно-распорядительной документации, регламентирующей реализацию и обеспечение режима защиты ПДн в соответствии с принятыми организационными мерами.
5. Разработка технического задания на создание СЗПДн;
6. Проектирование СЗПДн в составе следующих решений в зависимости от выбранных технических мер:
   • управления доступом к информационным ресурсам;
   • сетевой безопасности;
   • антивирусной защиты;
   • криптографической защиты информации;
   • анализа уязвимости;
   • мониторинга событий безопасности;
   • защиты виртуальной инфраструктуры;
   • предотвращения утечки данных;
   • защиты мобильных устройств;
   • прочие решения, необходимые для нейтрализации актуальных угроз.
7. Поставка, внедрение и сервисное обслуживание технических решений;
8. Инструктаж и обучение персонала на авторизованных курсах в учебном центре;
9. Проведение оценки выполнения требований безопасности ПДн в форме аттестационных испытаний объекта информатизации.

При выполнении работ в первую очередь предполагается руководствоваться экономической целесообразностью и эффективностью проводимых мероприятий по защите ИСПДн.

Результаты создания системы защиты персональных данных

В результате создания СЗПДн Заказчик получает следующие отчетные документы:

• Отчет о результатах обследования  ИСПДн, содержащий:

• Перечень и характеристики ИСПДн и ПДн, подлежащих защите;
• Состав и характеристики используемых средств обработки, хранения и защиты ПДн;
• Результаты оценки степени участия персонала в обработке ПДн, характера взаимодействия персонала;
• Выявленные несоответствия требованиям нормативных документов РФ;

• Рекомендации по созданию/совершенствованию системы защиты ПДн;

• Проект распоряжения о классификации ИСПДн, устанавливающее необходимый уровень защищенности;
• Частная модель актуальных угроз безопасности ИСПДн;
• Требования безопасности ПДн, перечень и обоснование необходимых мер защиты;
• Комплект ОРД, в т.ч.:
  • Политика обеспечения безопасности ПДн;
  • Положение по организации и ведению работ по обеспечению безопасности ПДн при их обработке;
  • Регламент обработки и защиты ПДн;
  • Разделы должностных инструкций персонала ИСПДн в части обеспечения безопасности ПДн;
  • Проекты приказов:
    • О допуске лиц к обработке ПДн.
    • О закреплении ПЭВМ, предназначенных для обработки ПДн.
    • О закреплении помещений, предназначенных для обработки ПДн.
    • О назначении лиц ответственных за обеспечение безопасности ПДн.
    • О допуске лиц к работе с криптосредствами, обеспечивающими безопасность ПДн.
  • Прочие…
• Техническое задание на создание СЗПДн;

• Комплект проектной и эксплуатационной документации на СЗПДн;

• Комплект документов, необходимых для получения лицензий на осуществление деятельности по технической защите информации;

• Пакет документации на аттестуемый объект информатизации ИСПДн;
• Программа-методика проведения аттестационных испытаний;
• Протоколы проведенных испытаний;
• Аттестат соответствия ИСПДн требованиям безопасности.