Защита персональных данных

Основные законодательные документы в области защиты персональных данных (ПДн):

• Конституция Российской Федерации;
• Федеральный закон от 27.07.2006 г. № 149 «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 г. № 152 «О персональных данных»;
• Федеральный закон от 30.12.2001 г. № 197 «Трудовой кодекс Российской Федерации»;
• Постановление Правительства РФ от 15 сентября 2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

В рамках оказываемых услуг выполняются следующие работы:

1. Проведение обследования информационной системы;
2. Определение уровня защищенности ПДн;
3. Разработка частной модели актуальных угроз нарушения безопасности ПДн ;
4. Разработка технического задания на создание системы защиты персональных данных;
5. Проектирование системы защиты в составе следующих решений в зависимости от выбранных технических мер:
   • Идентификация и аутентификация субъектов доступа и объектов доступа;
   • Управление доступом субъектов доступа к объектам доступа;
   • Ограничение программной среды;
   • Защита машинных носителей персональных данных;
   • Регистрация событий безопасности;
   • Антивирусная защита;
   • Обнаружение вторжений;
   • Контроль (анализ) защищенности персональных данных;
   • Обеспечение целостности информационной системы и персональных данных;
   • Обеспечение доступности персональных данных;
   • Защита среды виртуализации;
   • Защита технических средств;
   • Защита информационной системы, ее средств, систем связи и передачи данных;
   • Выявление инцидентов и реагирование на них;
   • Управление конфигурацией информационной системы и системы защиты персональных данных.
6. Выбор и обоснование организационных и технических мер, необходимых для защиты ПДн;
7. Разработка организационно-распорядительной документации;
8. Поставка, внедрение и сервисное обслуживание технических средств защиты;
9. Инструктаж, обучение персонала и повышение уровня грамотности в сфере информационной безопасности;
10. Проведение оценки соответствия требований безопасности персональных данных;
11. Введение информационной системы в эксплуатацию.

В рамках оказываемых услуг Заказчик получает следующие отчетные документы:

1. Перечень и характеристики информационной системы и ПДн, подлежащих защите;
2. Проекты приказов:
   • о назначении должностных лиц;
   • о границе контролируемой зоны;
   • об утверждении перечня персональных данных;
   • об описании технологического процесса;
   • об утверждении положения по обработке конфиденциальной информации;
   • об утверждении положения по организации и ведению работ по обеспечению безопасности.
3. Инструкции для должностных лиц;
4. Инструкция по допуску в помещения;
5. Инструкция по эксплуатации средств защиты;
6. Журналы учета;
7. Акт установки средств защиты;
8. Частная модель актуальных угроз безопасности информационной системы;
9. Техническое задание на создание системы защиты персональных данных;
10. Технический паспорт информационной системы;
11. Проект Приказа о вводе в эксплуатацию.

Нарушение требований закона при обработке персональных данных влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц, административную ответственность юридических лиц.

При разработке системы защиты, наши специалисты руководствуются индивидуальными особенностями информационных систем и спецификой деятельности компании Заказчика.

Наш многолетний опыт в защите информации (информационной безопасности) и широкой спектр партнерских решений позволяет решить весь комплекс задач Заказчика, связанный с выполнением требований законодательства по защите персональных данных.