Защита информационных систем персональных данных

Предлагаемые услуги

ООО «КРИПТО-ПРО»  оказывает услуги по обеспечению в соответствии с требованиями Законодательства безопасности информационных систем, в которых осуществляется обработка, хранение и передача персональных данных (далее – ИСПДн).

В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты персональных данных (далее – СЗПДн), в том числе включающие:

  1. Проведение обследования ИСПДн и определение необходимого уровня защищенности;
  2. Разработка частной модели актуальных угроз нарушения безопасности ПДн;
  3. Выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности ПДн;
  4. Разработка технического задания и проектирование СЗПДн;
  5. Разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок обеспечения безопасности ПДн и эксплуатации СЗПДн;
  6. Поставка и внедрение сертифицированных технических средств защиты информации;
  7. Инструктаж и обучение персонала в авторизованных учебных центрах;
  8. Оценка соответствия выполнения требований безопасности ПДн в форме аттестации ИСПДн;
  9. Техническое сопровождение и сервисное обслуживание СЗПДн.

При выборе и реализации организационно-технических мер обеспечения безопасности ПДн специалисты ООО «КРИПТО-ПРО» руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ИСПДн и спецификой деятельности Заказчика.

Богатый опыт ООО «КРИПТО-ПРО» комплексного обеспечения безопасности информационных систем различного назначения, в том числе с использованием сертифицированных средств криптографической защиты собственной разработки и широкой номенклатурой партнерских решений, в процессе оказания услуг позволяет решить весь комплекс задач Заказчиков по защите информации и обеспечению юридической значимости электронных документов.

Основные положения законодательства в области защиты персональных данных

На текущий момент в Российской Федерации создана и принята вертикаль (иерархия) руководящих и нормативно-методических документов по обеспечению безопасности персональных данных (ПДн).Основой регулирования правоотношений в сфере персональных данных являются положения Конституции РФ. Правоотношения, касающиеся обращения с ПДн регулируются Федеральным Законодательством РФ, в т.ч. Трудовым кодексом РФ (глава 14).

Необходимость обеспечения безопасности ПДн устанавливает Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных», который обязывает оператора (любое физическое или юридическое лицо, осуществляющее обработку ПДн), получающими доступ к персональным данным, обеспечивать конфиденциальность таких данных (ст.7) и принимать необходимые организационные и технические, меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст.19).

В соответствии с 152-ФЗ обеспечение безопасности персональных данных достигается, в частности:

  1. определением угроз безопасности персональных данных;
  2. применением организационных и технических мер, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  3. применением средств защиты информации;
  4. оценкой эффективности принимаемых мер по обеспечению безопасности;
  5. учетом машинных носителей персональных данных;
  6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  8. установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными;
  9. контролем за принимаемыми мерами по обеспечению безопасности.

Требования к обеспечению безопасности, типы угроз безопасности и уровни защищенности ПДн установлены Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

В соответствии с Постановлением, безопасность ПДн обеспечивается с помощью системы защиты персональных данных (СЗПДн), нейтрализующей актуальные угрозы безопасности ПДн.

СЗПДн включает организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн.

Актуальные угрозы безопасности ПДн - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может являться нарушение их безопасности (уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия).

Определение актуальных угроз осуществляется в соответствии с Методическими документами ФСТЭК России в составе:

  • Базовая модель угроз;
  • Методика определения актуальных угроз безопасности ПДн;

Определение типа угроз безопасности ПДн, актуальных для ИС, производится с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения их безопасности.

Уровень защищенности ПДн - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн.

Уровень защищенности для конкретной информационной системы устанавливается в зависимости от определенного для этой системы типа актуальных угроз, обрабатываемых в ней категорий и количества субъектов ПДн.

В зависимости от установленного уровня защищенности необходимо выполнение следующих требований:

  1. организация режима обеспечения безопасности помещений;
  2. обеспечение сохранности носителей персональных данных;
  3. утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн необходим для выполнения ими служебных обязанностей;
  4. использование сертифицированных средств защиты информации в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн.
  5. назначение должностного лица, ответственного за обеспечение безопасности ПДн.
  6. обеспечение возможности доступа к содержанию электронного журнала сообщений исключительно для должностных лиц, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных обязанностей.
  7. автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн;
  8. создание структурного подразделения, ответственного за обеспечение безопасности ПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Блокирование (нейтрализация) актуальных угроз безопасности ПДн обеспечивается посредством выбора и реализации в СЗПДн мер по обеспечению безопасности ПДн в соответствии с приказами ФСТЭК и ФСБ России.

В зависимости от актуальных угроз безопасности ПДн Приказом ФСТЭК России от 18.02.2013 № 21 определен следующий состав и содержание организационных и технических мер по обеспечению безопасности ПДн:

  1. обеспечение доверенной загрузки;
  2. идентификация и аутентификация субъектов доступа и объектов доступа;
  3. управление доступом субъектов доступа к объектам доступа;
  4. ограничение программной среды;
  5. защита машинных носителей информации;
  6. регистрация событий безопасности;
  7. обеспечение целостности информационной системы и информации;
  8. защита среды виртуализации;
  9. защита технических средств;
  10. защита информационной системы, ее средств и систем связи и передачи данных.

Выбор мер по обеспечению безопасности ПДн включает:

  1. выбор базового набора мер;
  2. адаптацию выбранного базового набора мер;
  3. дополнение адаптированного базового набора мер;
  4. обоснование применения компенсирующие мер взамен выбранных мер.

Меры по обеспечению безопасности персональных данных в государственных информационных системах (ГИС) принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС, устанавливаемыми ФСТЭК России.

Использование СКЗИ для обеспечения безопасности ПДн осуществляется в соответствии с Методическими рекомендациями и требованиями, утвержденными Приказами ФСБ России от 21.02.2008г.

Нарушение требований закона при обработке персональных данных влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц, административную ответственность юридических лиц.

Цель создания системы защиты персональных данных и решаемые задачи

Целью создания СЗПДн является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности ПДн в соответствии с ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами.

Для создания СЗПДн предлагается решение следующих задач:

  1. Проведение обследования ИСПДн и определение требуемого уровня защищенности ПДн;
  2. Разработка частной модели актуальных угроз нарушения безопасности ПДн ;
  3. Выбор и обоснование организационных и технических мер, необходимых для защиты ПДн;
  4. Разработка организационно-распорядительной документации, регламентирующей реализацию и обеспечение режима защиты ПДн в соответствии с принятыми организационными мерами.
  5. Разработка технического задания на создание СЗПДн;
  6. Проектирование СЗПДн в составе следующих решений в зависимости от выбранных технических мер:
    • управления доступом к информационным ресурсам;
    • сетевой безопасности;
    • антивирусной защиты;
    • криптографической защиты информации;
    • анализа уязвимости;
    • мониторинга событий безопасности;
    • защиты виртуальной инфраструктуры;
    • предотвращения утечки данных;
    • защиты мобильных устройств;
    • прочие решения, необходимые для нейтрализации актуальных угроз.
  7. Поставка, внедрение и сервисное обслуживание технических решений;
  8. Инструктаж и обучение персонала на авторизованных курсах в учебном центре;
  9. Проведение оценки выполнения требований безопасности ПДн в форме аттестационных испытаний объекта информатизации.

При выполнении работ в первую очередь предполагается руководствоваться экономической целесообразностью и эффективностью проводимых мероприятий по защите ИСПДн.

Результаты создания системы защиты персональных данных

В результате создания СЗПДн Заказчик получает следующие отчетные документы:

  • Отчет о результатах обследования  ИСПДн, содержащий:
  • Перечень и характеристики ИСПДн и ПДн, подлежащих защите;
  • Состав и характеристики используемых средств обработки, хранения и защиты ПДн;
  • Результаты оценки степени участия персонала в обработке ПДн, характера взаимодействия персонала;
  • Выявленные несоответствия требованиям нормативных документов РФ;
  • Рекомендации по созданию/совершенствованию системы защиты ПДн;
  • Проект распоряжения о классификации ИСПДн, устанавливающее необходимый уровень защищенности;
  • Частная модель актуальных угроз безопасности ИСПДн;
  • Требования безопасности ПДн, перечень и обоснование необходимых мер защиты;
  • Комплект ОРД, в т.ч.:
    • Политика обеспечения безопасности ПДн;
    • Положение по организации и ведению работ по обеспечению безопасности ПДн при их обработке;
    • Регламент обработки и защиты ПДн;
    • Разделы должностных инструкций персонала ИСПДн в части обеспечения безопасности ПДн;
    • Проекты приказов:
      • О допуске лиц к обработке ПДн.
      • О закреплении ПЭВМ, предназначенных для обработки ПДн.
      • О закреплении помещений, предназначенных для обработки ПДн.
      • О назначении лиц ответственных за обеспечение безопасности ПДн.
      • О допуске лиц к работе с криптосредствами, обеспечивающими безопасность ПДн.
    • Прочие…
  • Техническое задание на создание СЗПДн;
  • Комплект проектной и эксплуатационной документации на СЗПДн;
  • Комплект документов, необходимых для получения лицензий на осуществление деятельности по технической защите информации;
  • Пакет документации на аттестуемый объект информатизации ИСПДн;
  • Программа-методика проведения аттестационных испытаний;
  • Протоколы проведенных испытаний;
  • Аттестат соответствия ИСПДн требованиям безопасности.

Купить

Форма заказа

Вход

Подписка на обновления