Partner Group Engineering

Главная / Направления деятельности / Техническая защита информации / Системы защиты персональных данных

Системы защиты персональных данных

Полное наименование: Федеральный закон Российской Федерации «О персональных данных» №152-ФЗ от 27.07.2006. Он регулирует отношения между организациями, субъектами персональных данных (далее ПДн) и физическими лицами, являющимися операторами информационных систем, с помощью которых обрабатываются ПДн. Закон устанавливает область и характер ответственности оператора, обрабатывающего персональные данные, а также определяет контролирующие органы по защите прав субъектов ПДн. На сегодняшний день государство и регулирующие органы уже начали формировать единый пакет документов, определяющий все аспекты обработки, хранения и передачи персональных данных пользователей информационных систем. Так, внесены изменения в «Трудовой Кодекс Российской Федерации» №197-ФЗ от 30.12.01 г., касающиеся персональных данных. Принято Постановление Правительства Российской Федерации «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», приказами ФСБ России, ФСТЭК России и МИТС России определен порядок проведения классификации информационных систем ПДн, разработан и введен в действие комплект правовых актов и методических документов ФСТЭК России. Компания «Партнер Групп Инжиниринг» имеет большой опыт по приведению в соответствие с нормативными документами ФСТЭК России и ФСБ России. Кроме того, компания обладает необходимым набором лицензий этих регулирующих органов по выполнению работ в части защиты конфиденциальной информации и государственной тайны. Наша Компания предлагает следующий перечень работ, направленных на приведение процессов обработки персональных данных в соответствии с требованиями закона: Сбор информации о персональных данных (ПДн):

  • сбор информации о категориях и составе персональных данных, обрабатывающихся в организации, информационных системах (ИСПДн) и неавтоматизированных способах обработки персональных данных.

Сбор информации о защищенности персональных данных:

  • получение подробной информации о текущем состоянии защищенности ПДн;
  • выявление существующих угроз и уязвимостей, оценка показателей вероятности и ущерба для потенциальных угроз;
  • обследование существующих организационных и технических мер безопасности ПДн в организации в целом и в каждой ИСПДн в отдельности на соответствие требованиям безопасности ПДн и эффективности противодействия угрозам.

Составление адаптированной модели угроз для выявленных ИСПДн:

  • категорирование ПДн;
  • описание выявленных ИСПДн;
  • классификация типовых ИСПДн согласно РД ФСТЭК России для выбора типовых мер обеспечения информационной безопасности;
  • построение адаптированной модели угроз на основе методических рекомендаций ФСТЭК России с учетом списка угроз ИБ, выявленных на предыдущих подэтапах.

Подготовка классифицированных типовых и специальных ИСПДн к регистрации:

  • подготовка документов для регистрации операторов, классифицированных на предыдущих подэтапах ИСПДн в государственном реестре Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия.

Подготовка рекомендаций и плана-графика мероприятий по защите персональных данных в организации:

  • разработка рекомендаций и плана-графика мероприятий по защите ПДн во всех выявленных ИСПДн.

Необходимо отметить, что в данном разделе речь идет только о консалтинговой деятельности. Поэтому в перечень не включены работы по созданию самих систем защиты персональных данных, их тестирование и внедрение, подготовка к сертификации средств защиты/аттестации ИСПДн в регулирующих органах и т.д. Таким образом, в области обеспечения соответствия Закону №152-ФЗ специалисты компании выполняют весь комплекс работ по защите персональных данных – от аудита до внедрения и сопровождения.