Аттестация рабочих мест

Компания «ЦЭК» и ЗАО Калуга Астрал предлагают Вам провести мероприятия по защите персональных данных

На сегодняшний день системы защиты информации востребованы среди государственных и коммерческих организаций. Персональные данные (далее – ПДн) нуждаются в надежной защите ввиду повсеместно распространившихся краж информации.

Серьезность и острота проблемы потребовали от органов государственной власти принятия конкретных мер по ее урегулированию. В 2007 году в России вступил в силу Федеральный закон «О персональных данных» (№ 152-ФЗ), направленный на обеспечение всех необходимых мер по защите информации, используемой коммерческими и государственными организациями.

В соответствии со ст.25 п.3 ФЗ № 152 с 1 июля 2011 года все отношения, связанные с обработкой и хранением персональных данных, должны быть приведены в соответствие с требованиями настоящего Федерального Закона.

Вся ответственность за меры по обеспечению безопасности персональных данных при их обработке возложена на все государственные и коммерческие организации, в которых обрабатывается информация, попадающая под определение «персональные данные», а именно:

• Вся информация о сотрудниках (анкетные данные, сведения об образовании, сведения о трудовом и общем стаже, паспортные данные, сведения о заработной плате сотрудника, сведения о социальных льготах, специальность, занимаемая должность, адрес места жительства, домашний телефон и др.)
• Внутренняя документация организации (личные дела и трудовые книжки сотрудников, сведения об отчетах, направляемых в органы статистики, сведения, содержащиеся в регистрах бухгалтерского учета и внутренней бухгалтерской отчетности и др.)
• Информация о Контрагентах (анкетные данные, материалы переписки с организациями, телефонные справочники, сведения о телефонных переговорах, почтовых отправлениях, телеграфных или иных сообщениях и так далее, отчеты, в которых содержатся персональные данные о гражданах (фамилия, имя, отчество и другая информация, предназначенная для установления контактов) и др.).

Невыполнение требований ФЗ №152 может привести к крайне негативным последствиям для Вашего бизнеса, регулярным штрафам или приостановке деятельности.

Для выполнения требований закона №152 ФЗ «О персональных данных» операторам персональных данных необходимо провести следующие организационные и технические мероприятия:

• Провести предпроектное обследование информационной системы ПДн;

• Разработать техническое задание на создание системы защиты персональных данных (СЗПДн);

• Создать и ввести в действие систему защиты персональных данных;

• Произвести оценку соответствия информационной системы персональных данных (далее – ИСПДн) требованиям безопасности ПДн (аттестация).

Содержание работ:

Стадия предпроектного обследования:

• Выявление и анализ процессов обработки ПДн в организации;
• Определение перечня ПДн подлежащих защите от НСД;
• Определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;
• Определение конфигурации и топологии ИСПДн, внутренних связей, связей с другими системами;
• Определение технических средств и систем в ИСПДн, условий их расположения, общесистемных и прикладных программных средств;
• Разработка акта обследования ИСПДн;
• Классификация ИСПДн (разработка Акта классификации ИСПДн);
• Разработка Политики и Концепции информационной безопасности информационных систем персональных данных;
• Определение угроз безопасности ПДн к конкретным условиям функционирования (разработка Частной модели угроз ИСПДн);
• Разработка Технического задания на создание системы защиты ПДн;
• Разработка проектов приказов, инструкций, методических рекомендаций, макетов журналов относящихся к вводу системы защиты ПДн в ИСПДн в эксплуатацию, в том числе должностных инструкций лиц, ответственных за эксплуатацию и использование системы;
• Разработка Положения по обработке и защите ПДн организации (включая согласие на обработку ПДн, отзыв согласия на обработку ПДн, заявление-согласие на получение его персональных данных у третьей стороны, соглашение о неразглашении персональных данных субъекта, журнал учета обращений субъектов ПДн о выполнении их законных прав в области защиты ПДн и т.д. и .т.п.);
• Разработка Положения по организации конфиденциального делопроизводства (при обработке персональных данных в информационных системах неавтоматизированным способом);
• Разработка эскизного проекта системы обеспечения безопасности информации в информационных системах.

По итогам проведения первого этапа, проведения расчетов и выводов, после разработки Технического задания на создание системы защиты персональных данных, может быть получена необходимость в проведении последующих этапов работы.

Стадия создания и ввода в действие СЗПДн:

• Установка и настройка сертифицированных технических, программных и программно-технических средств защиты информации;
• Разработка и реализация разрешительной системы доступа пользователей;
• Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации;
• Генерация пакета прикладных программ в комплексе с программными средствами защиты информации;
• Опытная эксплуатация средств защиты информации;
• Приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации. Стадия оценки соответствия ИСПДн требованиям безопасности ПДн: для ИСПДн 3 класса
• Получение Протоколов проведения испытаний на соответствие требованиям по защите информации от несанкционированного доступа информационной системы персональных данных;
• Выдача Декларации соответствия требованиям по безопасности персональных данных ИСПДн. для ИСПДн 1 и 2 класса
• Разработка программы и методики испытаний системы защиты ПДн в ИСПД;
• Оценка мероприятий по защите от НСД к ПДн при их обработке в ИСПДн;
• Оценка мероприятий по защите информации от утечки по техническим каналам;
• Получение Протоколов проведения испытаний на соответствие требованиям по защите информации от несанкционированного доступа информационной системы персональных данных;
• Получение Протоколов проведения испытаний на соответствие требованиям по защите информации от утечки информации по техническим каналам;
• Подготовка Заключения по результатам аттестационных испытаний;
• Выдача Аттестата соответствия требованиям по безопасности персональных данных ИСПДн.

Стоимость проведения комплекса мероприятий вычисляется индивидуально для каждой организации и её информационной системы.

Для проведения аттестации Ваших рабочих мест оставьте заявку и наши специалисты свяжутся с Вами:

ВНИМАНИЕ! В процессе реализации своих проектов по созданию комплексной системы защиты персональных данных и конфиденциальной информации применяется индивидуальный подход к каждому Заказчику с учетом специфики обрабатываемых персональных данных и информационной инфраструктуры организации. Гибкий подход в процессе выполнения работ позволяет найти оптимальный вариант проектного взаимодействия, с наиболее эффективным и экономичным для Заказчика результатом.

По вопросам, связанными с аттестацией рабочих мест, Вы можете проконсультироваться: