Решение по защите персональных данных в ИСПДн представляет собой комплексный проект по созданию системы защиты персональных данных (СЗПДн) и может включать в себя внедрение как организационных, так и технических мер.
ООО «ЦИБ», обладая штатом высококвалифицированных специалистов, с опытом проведения комплексных проектов по информационной безопасности, лицензированная в области защиты информации (лицензии ФСБР РФ и ФСТЭК РФ), выполняет комплексные работы по защите персональных данных – от работы над отдельной стадией проекта по защите персональных данных до выполнения комплекса работ по созданию Системы защиты персональных данных.
В связи с тем, что малое предприятие характеризуется небольшим количеством универсальных рабочих мест, то рекомендуем выполнить защиту на примере двух рабочих мест - место руководителя и для ведения бухгалтерского/кадрового учета в организации.
Последовательность выполнения работ:
- Обследование Информационной системы персональных данных.
- Построение Модели угроз безопасности персональных данных.
- Разработка частного технического задания на создание Системы защиты персональных данных.
- Разработка организационно-распорядительной документации по защите персональных данных.
- Ввод в действие Системы защиты персональных данных.
Подробное описание работ и получаемых результат по этапам:
1. Обследование автоматизированной и бумажной обработки персональных данных.
Наличие актуальной, структурированной и достоверной информации об информационных системах персональных данных, используемых в организации, является необходимым условием достижения требуемого качества проекта по созданию системы защиты персональных данных.
Цель работ:
- Выделение информационных ресурсов, содержащих в себе персональные данные, а также технические средства, позволяющие осуществлять обработку персональных данных, из всей совокупности обрабатываемой информации.
- Определение соответствия действующей системы обработки персональных данных требованиям ФЗ №152 «О защите персональных данных».
- Классификация информационных систем персональных данных.
В результате Заказчик получает:
- Актуальную информацию о действующей ИСПДн, достаточную для начала работ по приведению ИСПДн в соответствие с требованиями регуляторов;
- Акт классификации информационной системы персональных данных.
Срок выполнения работ – 1 день.
2. Построение Модели угроз безопасности персональных данных
Формирование Модели угроз безопасности персональных данных является необходимым этапом в создании системы защиты персональных данных. Правильно сконфигурированная модель угроз позволит применять именно те контрмеры, которые актуальны для условий использования защищаемой системы, и снизить стоимость организационных и технических мер по защите ПДн.
Цель работ:
Выявление угроз безопасности персональных данных при их обработке в информационных системах персональных данных, актуальные для ИСПДн Заказчика.
В результате Заказчик получает:
Модель угроз безопасности персональных данных при их обработке в ИСПДн, разработанную и оформленную в соответствии с методическим рекомендациям ФСТЭК России и ФСБ России, которая позволит оптимизировать работы по организации защиты персональных данных.
Сроки выполнения работ – 4 дня.
3. Разработка частного технического задания на создание Системы защиты персональных данных (СЗПДн)
Техническое задание (ТЗ) – основной документ, определяющий требования и порядок создания СЗПДн. При разработке ТЗ должны использоваться требования нормативно-методических документов по защите ПДн, лучшие практики по обеспечению информационной безопасности, особенности защищаемых ПДн и ИСПДн. Частное техническое задание разрабатывается на основании следующих документов:
- «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденное Директором ФСТЭК России 05 марта 2010 г.;
- ГОСТ 34.602-89 «Техническое задание на создание автоматизированной системы».
Частное ТЗ является одним из основных документов на создаваемую систему, поскольку оно используется не только на стадии проектирования, для определения общих и частных задач, решаемых СЗПДн, но и на стадиях приемки системы для контроля достижения требуемых показателей.
Цель работ:
- Задание конкретных требований по обеспечению безопасности персональных данных по результатам предпроектного обследования;
- Закрепление этапов работ по созданию системы защиты персональных данных;
- Закрепление зон ответственности по каждой задаче.
В результате Заказчик получает:
Частное техническое задание на создание СЗПДн, в котором максимально учитываются имеющиеся у Заказчика средства защиты и ресурсы для организации защиты персональных данных, что также позволяет снизить стоимость проекта «Защита персональных данных».
Сроки выполнения работ – 3 дня.
4. Разработка организационно-распорядительной документации по защите персональных данных
Методическими документами ФСТЭК России предусматривается в процессе создания системы защиты персональных данных разработка организационно-методической документации, регламентирующей вопросы организации обеспечения безопасности персональных данных.
Цель работ:
Регламентация создания системы защиты персональных данных и обеспечения безопасности персональных данных Заказчика.
В результате Заказчик получает:
Комплект организационно-распорядительных документов, точный перечень которых определяется с учетом Модели угроз и степени соответствия ИСПДн требованиям безопасности персональных данных.
Сроки выполнения – 3 дня.
5. Ввод в действие Системы защиты персональных данных
Цель работ:
- Консультирование и обучение ответственных лиц по работе с персональными данными;
- Проверка корректности проектных решений;
- Оценка соответствия созданной СЗПДн требованиям регулирующих органов.
В результате Заказчик получает:
Работоспособную, экономически обоснованную, документированную, проверенную и готовую к эксплуатации систему защиты персональных данных, соответствующую всем требованиям регулирующих органов по обеспечению защиты персональных данных и бизнес-требованиям.
Сроки выполнения работ – 1 день.
Стоимость работ по защите персональных данных
Рекомендуема стоимость работ по защите персональных данных приведена ниже в таблице. Окончательная стоимость зависит от наличия дополнительных информационных систем и требований заказчика, необходимости применения мобильных сервисов для хранения и обработки информации:
| ИТОГО |
12 дней |
50 000,00 |
|
| № п/п | Виды работ | Сроки выполнения | Стоимость работ, в руб. |
|---|---|---|---|
| 1. | Обследование Информационной системы персональных данных |
1 день |
2 000,00 |
| 2. | Разработка Модели угроз безопасности персональных данных |
4 дня |
20 000,00 |
| 3. | Разработка Технического задания на создание Системы защиты персональных данных |
3 дня |
15 000,00 |
| 4. | Разработка организационно-распорядительной документации по защите персональных данных |
3 дня |
10 000,00 |
| 5. | Ввод в действие Системы защиты персональных данных, обучение персонала |
1 день |
3 000,00 |
Гарантируем высокое качество работы и техническую поддержку при работе со средствами защиты и консультацию по вопросам ведения документооборота (рекомендации по защите ПДн при неавтоматизированной обработке).
Ответственность должностных лиц и организаций за нарушения требований законодательства РФ в области защиты персональных данных.
Не следует забывать, что лица, виновные в нарушении требований Федерального закона № 152-ФЗ, несут ответственность в соответствии с Уголовным кодексом РФ (ст.137,140,155,183, 272,273,274,292,293), Кодексом РФ об административных правонарушениях (ст.5.27,5.39,13.11-13.14,13.19,19.4-19.7,19.20,20.25,32.2), Трудовым кодексом РФ (ст.81; ст.90; ст.195; ст.237; ст.391) ...
ООО «Центр Информационной Безопасности»