СОЗДАНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Комплекс услуг позволяет построить полноценную систему защиты персональных данных, полностью соответствующую требованиям Российского законодательства в области защиты персональных данных. Услуга выполняется в три этапа.
1. Обследование систем обработки персональных данных: Данный этап начинается с обследования систем обработки персональных данных. Он включает в себя сбор и анализ необходимой информации для создания системы защиты персональных данных (СЗПДн). Результаты, полученные в ходе проведения работ, служат основой для определения актуальных угроз безопасности персональных данных и разработки технического задания на создание СЗПДн.
Отчётные документы:
- Аналитический отчет;
- Модели угроз и потенциального нарушителя безопасности ПДн;
- Техническое задание на создание СЗПДн.
2. Подготовка нормативной и технической документации в области обработки и защиты персональных данных: Этапом данной стадии является подготовка комплекта организационно-распорядительной документации регламентирующей процессы обработки и защиты персональных данных (ПДн).
Комплект организационно-распорядительной документации:
- Приказ о проведении работ по защите ПДн;
- Перечень ПДн;
- Перечень помещений, предназначенных для обработки и хранения ПДн;
- Перечень должностей и третьих лиц, допущенных к обработке ПДн;
- Положение о разграничении прав доступа к обрабатываемым ПДн в ИСПДн;
- Положение об обработке и защите персональных данных;
- Политика компании в отношении обработки ПДн клиентов;
- Уведомление об обработке ПДн;
- Согласие на обработку ПДн;
- Обязательство о неразглашении ПДн;
- Акт определения уровня защищенности ИСПДн;
- Инструкция ответственного за организацию обработки ПДн;
- Инструкция ответственного за обеспечение безопасности ПДн;
- Журнал учета машинных носителей информации;
- Журнал учета обращений субъектов персональных данных.
3. Внедрение технических средств защиты персональных данных: На данном этапе осуществляется поставка и внедрение средств защиты информации (СЗИ) прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.
Документы:
- Акт внедрения средств защиты информации;
4. Заключительная стадия: Согласно статье 19 Федерального закона №152-ФЗ, Оператор проводит оценку эффективности принимаемых мер до ввода ИСПДн в эксплуатацию. Для государственных и муниципальных организаций данная процедура проходит в виде аттестации ИСПДн по требованиям безопасности конфиденциальной информации.
Документы для государственных и муниципальных организаций:
- Акт классификации автоматизированной системы
- Программа и методика аттестационных испытаний;
- Протокол оценки соответствия;
- Заключение;
- Аттестат соответствия.
Документы для иных юридических лиц:
- Акт соответствия ИСПДн требованиям законодательства