Проектирование систем информационной безопасности в соответствии с требованиями ФСТЭК

Компания "Энигма Энтер" предлагает клиентам услуги, основанные на методике, разработанной Управлением информатизации г.Москвы, (УИ) по приведению информационных систем обработки персональных данных (ИСПДн) в соответствие с требованиями 152-ФЗ и ряда других руководящих документов выпущенных ФСТЭК.

Все проводимые мероприятия и разрабатываемая документация в первую очередь призваны довести уровень безопасности обработки ПДн до требуемого законодательством и оградить руководителя организации (или прочее ответственное лицо) от негативных последствий, которые могут появиться в результате проверки или свести эти последствия к минимуму.

 

Основные этапы проекта

- Обследование ИСПДн заказчика

- Разработка моделей угроз безопасности ПДн при их обработке в ИСПДн по требованиям ФСТЭК.

- Разработка технического задания на построение средств защиты персональных данных (СЗПДн) в соответствии с методикой УИ

- Разработка технического проекта СЗПДн с учётом индивидуальных особенностей заказчика

- Реализация проекта СЗПДн (Поставка и установка СЗ, настройка оборудования и ПО)

- Ввод в действие, включая опытную эксплуатацию и приемосдаточные испытания.

- Разработка пакета организационно нормативных документов (порядка 30 внутренних приказов, распоряжений, инструкций, регламенов, форм и т.п. необходимых по методике УИ)

(!) Важно понимать, что стоимость проекта зависит не только от наших услуг, но в большей части от Средств защиты (сертифицированных ФСТЭК программ и устройств), которые при достаточно большом количестве защищаемых средств обработки ПДн (ПК, серверы и т.д.) могут составить большую часть стоимости проекта.

Примерный перечень разрабатываемой документации

(в зависимости от индивидуальных особенностей заказчика может отличаться)

Приказы

- Приказ о назначении работника (структурного подразделения), ответственного за обеспечение безопасности конфиденциальной информации, в том числе ПДн
- Приказ о назначении работника (структурного подразделения), ответственного за выполнение работ по технической и криптографической защите ПДн
- Приказ о составе комиссии по классификации информационных систем персональных данных
- Приказ о выделении помещения (помещений) в котором производится обработка конфиденциальной информации, в том числе ПДн (в соответствии с тем в каких отделах, подразделениях организации обрабатываются ПДн). Приложение: список допущенных сотрудников
- Приказ о назначении администраторов безопасности СЗ конфиденциальной информации, в том числе ПДн в целом и прикладных администраторов
- Приказ об утверждении мест хранения материальных носителей персональных данных
- Приказ о назначении комиссии по уничтожению документов с ПД

Инструкции

- Инструкция по порядку учета и хранению съемных носителей конфиденциальной информации
- Инструкция, определяющая порядок охраны, внутри объектовый режим и порядок допуска лиц в помещения, в которых ведется обработка конфиденциальной информации, в том числе персональные данные

Положения

- Положение о порядке организации и проведения работ по защите конфиденциальной информации или приложение к руководству по защите информации от утечки по техническим каналам
- Положение о порядке обработки и обеспечении безопасности персональных данных
- Положение о подразделении, осуществляющем функции по организации защиты персональных данных
- Положение (инструкция) о резервировании и восстановлении работоспособности ТС и ПО, баз данных и средств СЗПДн

Руководства

- Руководство пользователя по эксплуатации технических и программных средств защиты конфиденциальной информации
- Руководство администратора по эксплуатации технических и программных средств защиты конфиденциальной информации
- Руководство пользователя по обеспечению безопасности ИСПДн
- Руководство администратора по обеспечению безопасности ИСПДн

Журналы

- Журнал учета бумажных и съемных носителей конфиденциальной информации, в том числе ПДн
- Журнал регистрации и учета обращений субъектов персональных данных
- Журнал ознакомления ответственных за обеспечение безопасности ПДн, за выполнение работ по защите ПДн под расписку с Типовыми требованиями и другими документами, регламентирующими организацию и обеспечение безопасности ПДн при их обработке в ИСПДн
- Журнал учета криптосредств, эксплуатационной и технической документации к ним
- Журнал учета ключевых носителей
- Журнала учета персональных данных для пропуска субъекта персональных данных на территорию оператора

Перечни

- Перечень используемых сертифицированных технических средств защиты информации (всех ТЗИ, так как все должны быть сертифицированы)
- Перечень сведений конфиденциального характера, подлежащих защите, в том числе ПДн и лист ознакомления к нему.
- Перечень АС и ИС, обрабатывающих конфиденциальную информацию и персональные данные
- Перечень эксплуатационной и технической документации, применяемых средств защиты информации
- Перечень носителей персональных данных

Списки

- Список помещений, в которых разрешена обработка конфиденциальной информации
- Утвержденный список лиц, допущенных в ЗП
- Утвержденный список лиц, допущенных к работе на автоматизированных системах (АС), также в ИСПДн
- Утвержденный список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей

Акты

- Акт классификации ИСПДн и лист ознакомления сотрудников, в части касающейся
- Акт об уничтожении персональных данных субъекта (ов) персональных данных (в случае достижения цели обработки) (как в информационных системах, так и на бумажном носителе)

Модели

- Частная модель угроз безопасности ПДн

Планы

- План мероприятий по технической защите информации
- План мероприятий по защите персональных данных
- План внутренних проверок состояния защиты персональных данных
- Планы устранения недостатков, выявленных в ходе проверок вопросов защиты информации

Другие

- Политика информационной безопасности органа исполнительной власти
- Матрица доступа персонала к сведениям конфиденциального характера и разграничение доступа в соответствии с матрицей
- Описание конфигурации и топологии АС (ИСПДн), физических, функциональных и технологических связей внутри этих систем, так и с другими системами различного уровня и назначения, а также режимов обработки ПДн
- Условия расположения объекта информатизации относительно границы КЗ
- Заключение о готовности СЗИ к эксплуатации
- Копия уведомления об обработке персональных данных
- Разделы должностных инструкций (должностного регламента) сотрудников имеющих доступ к ИСПДн, в части обеспечения безопасности ПДн
- Типовые формы документов, предполагающие или допускающие содержание персональных данных
- Копии договоров, заключённых между оператором и субъектом по основным направлениям деятельности, подтверждающего согласие субъекта персональных данных на их обработку
- Письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма)
- Распечатка (копия) шаблона содержания персональных данных (формы и поля заполнения), определенных оператором, заверенных оператором и государственным инспектором, проводящим проверку