Информационная безопасность (предприятия, персональных данных) в Саратове. Оценка безопасности информационных систем

Как часто вы бываете на форумах?

постоянно
часто
бывает
редко

По какой причине вы чаще всего посещаете форумы?

общение
найти решение проблемы
хочу поделиться знаниями
другое

Информационная безопасность предприятия

Термин «информационная безопасность» не так давно вошёл в широкое употребление. На компьютерах устанавливается сложное в настройке программное обеспечение, создаются трудные для восстановления схемы взаимодействия компьютеров и программ, рядовые пользователи обрабатывают огромные массивы данных. Любое нарушение работы выстроенной технологической цепочки приведёт к определённым потерям для предприятия. Таким образом, информационная безопасностью (ИБ) - это защищенность информационной среды предприятия от внешних и внутренних угроз её формированию, использованию и развитию.

Обеспечение безопасности персональных данных является одним из ключевых элементов комплексной системы безопасности. Ст. 19 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» устанавливает необходимость принятия организационных и технических мер для защиты любой информации о человеке, в целях обеспечения его прав и свобод.

Специалисты нашей компании предлагают:

1. Экспертный аудит системы обработки персональных данных

Экспертный аудит системы обработки персональных данных организации, включающий проведение обследования и разработку плана действий по приведению информационной системы ПДн в соответствие с требованиями регуляторов. Наличие обоснованного плана действий на первом этапе позволит избежать санкций регуляторов.
В ходе аудита выполняется обследование систем обработки ПДн и разрабатывается экспертное заключение.В ходе проведения обследования анализируется информация о составе, состоянии и достаточности средств защиты информации.В результате проведения обследования Заказчик получит систематизированную информацию о существующих в организации системах ПДн и технических средствах, которые используются в процессах обработки данных.
Дополнительно систематизируется информация, необходимая для предоставления в регулирующие органы, формируется перечень необходимых организационно-регламентных документов и требования к их содержанию.

2. Концепция обеспечения соответствия требованиям законодательства по защите ПДн

Концепция построения системы защиты – документ, который описывает необходимые организационные и технические мероприятия для приведения информационной системы в соответствие с требованиями закона о персональных данных (152 ФЗ).

Мероприятия по правовому обеспечению и юридическому обоснованию процессов обработки ПДн.
Мероприятия по оптимизации существующих информационных систем.
Организационные и регламентные мероприятия по обработке ПДн.
Мероприятия по техническому обеспечению безопасности ПДн

3. Разработка модели угроз безопасности персональных данных

Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных – обязательный документ. На основании модели угроз формируются требования к подсистеме защиты персональных данных.
На основе модели угроз разрабатывается Техническое задание с функциональными требованиями к системам защиты, включая:

Требования к аппаратным средствам.
Требования к программным средствам.
Требования к организационным мерам защиты.
Требования к составу нормативно-регламентной документации.

4. Разработка проектов документов

Полный комплект документов, необходимых в соответствии с законом о персональных данных (152 ФЗ) и требованиями регуляторов, включает:

перечень и порядок обработки Заказчиком ПДн;
перечень ИСПДн, с описанием их структуры, физического расположения и т. п.;
перечень и описание состава, конфигурации применяемых Заказчиком средств защиты, в том числе криптографических;
перечень существующей у Заказчика нормативно-распорядительной базы документов;
перечень актуальных угроз безопасности ПДн;
перечень актуальных категорий внутренних и внешних нарушителей;
приказ о назначении лиц ответственных за обработку персональных данных;
типовая форма письменного согласия субъектов ПДн на обработку ПДн;
журнал учёта обращений субъектов ПДн о выполнении их законных прав;
уведомление об обработке (о намерении осуществлять обработку) персональных данных в Роскомнадзор;
типовую форму акта об уничтожении персональных данных субъекта(ов) ПДн (в случае достижения цели обработки);
справка о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
концепция информационной безопасности ПДн;
политика информационной безопасности ПДн;
акты классификации ИСПДн;
план мероприятий по обеспечению защиты ПДн;
типовая форма приказа о проведении внутренних проверок
типовая форма отчета о результатах проведения внутренней проверки обеспечения защиты ПДн в ИСПДн;
должностные регламенты лиц, имеющих доступ к персональным данным;
положение о разграничении прав доступа к обрабатываемымПДн;
положение о защите ПДн;
положение об Электронном журнале обращений пользователей информационной системы к ПДн;
положение о подразделении, осуществляющем функции по организации защиты ПДн;
порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.
перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
перечень рекомендуемых для использования средств защиты ПДн;

5. Техническое проектирование подсистемы безопасности информационных систем персональных данных

Оценка безопасности информационных систем (существующих)
Разработка техно-рабочей документации, состав которой уточняется на этапе разработки технического задания, и может содержать следующие документы:
Пояснительная записка к техно-рабочему проекту на подсистему защиты ПДн инструкцию по настройке СЗПДн;
Спецификация поставляемого оборудования и встроенного программного обеспечения (ПО);
Схема размещения оборудования в помещениях;
Программа и Методика испытаний подсистемы защиты ПДн;
Инструкция по настройке и эксплуатации;
Прочая документация по согласованию сторон.

6. Модернизация информационной системы

Этап начинается после поставки программно-аппаратных средств защиты в соответствии со Спецификацией поставляемого оборудования и встроенного программного обеспечения (ПО), разработанной на предыдущем этапе. Закупка может осуществляться Заказчиком самостоятельно либо по отдельному дополнительному соглашению в ходе реализации проекта.
В соответствии с разработанной проектной и эксплуатационной и методической документацией, будут организованы работы по внедрению системы защиты.

Состав работ:

Установка и настройка средств защиты
Проведение приемосдаточных испытаний

7. Сопровождение

Специалисты компании могут оказывать консультационно-методическую помощь при подготовке к проверке и в процессе ее прохождения.
Специалисты компании могут присутствовать при прохождении проверки и обосновывать положения документов перед представителями регуляторов.
В случае выявления в ходе проверки недостатков в разработанных документах компания гарантирует их бесплатную доработку.

Перечисленные работы позволят привести в соответствие подсистему информационной безопасности заказчика требованиям закона о персональных данных (ФЗ 152) и требованиям регуляторов.