Для организации мероприятий по защите персональных данных, Мы готовы оказать Вам помощь в разработке следующих документов и процедур, а также реализовать следующие требования ФЗ N152 от 27 июля 2006 г. :
1) приказ о назначении структурного подразделения или должностного лица (работника), ответственного за обеспечение безопасности персональных данных;
2) приказ или распоряжение об утверждении списка лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей;
3) учтенный установленным порядком в делопроизводстве журнал учета допуска к работе в ИСПДн, обеспечивающий учет логических имен пользователей;
4) учтенный установленным порядком в делопроизводстве журнал учета средств защиты информации, эксплуатационной и технической документации к ним;
5) учтенный установленным порядком в делопроизводстве журнал учета машинных носителей персональных данных;
6) перечень персональных данных, подлежащих защите;
7) акт классификации ИСПДн, подлежащей аттестации;
8) частную модель угроз с протоколами экспертной оценки актуальности угроз;
9) требования по обеспечению безопасности персональных данных при их обработке в ИСПДн (должны включать в себя в том числе: порядок охраны и допуска лиц (в том числе посторонних) в помещения, в которых установлены технические средства ИСПДн; условия расположения относительно границы контролируемой зоны);
10) инструкцию по порядку резервирования и восстановления работоспособности технических средств и программного обеспечения ИСПДн, информационных массивов персональных данных и технических средств защиты;
11) положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
12) описание конфигурации и топологии ИСПДн, физических, функциональных и технологических связей, а также режимов обработки персональных данных;
13) описание степени участия персонала в обработке персональных данных;
14) матрицу доступа для ИСПДн;
15) перечни технических средств ИСПДн, общесистемного и прикладного программного обеспечения, используемого в ней;
16) приказ о назначении подразделения (лица), ответственного за эксплуатацию средств защиты информации;
17) эксплуатационную документацию на ИСПДн и средства защиты информации для пользователей и администратора, в том числе антивирусной защиты (для каждого средства защиты должны быть представлены инструкции по их установке и настройке, инструкции администратору и пользователю);
18) акт установки и настройки средств защиты информации, который подтверждает, что внедренные технические мероприятия обеспечивают выполнение требований по обеспечению безопасности персональных данных при их обработке в данной ИСПДн или что установка и настройка средств защиты информации проведена в соответствии с техническим заданием на ИСПДн (частным техническим заданием на систему защиты персональных данных).
Решение об актуальности угроз безопасности персональных данных принимается исключительно на основании экспертной оценки.
Протоколы экспертной оценки должны разрабатываться и оформляться экспертами (специалистами в области защиты информации).
Низкая опасность исключенных угроз безопасности информации может быть подтверждена:
• многократным превышением стоимости реализации угрозы над стоимостью ущерба, наносимого субъекту персональных данных, в случае ее реализации;
• низким значением вероятности реализации угрозы, определенной по результатам статистически значимого количества инструментальных обследований однотипных объектов.
Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в ИСПДн должно содержать:
1) общий порядок организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
2) обязанности должностных лиц, эксплуатирующих ИСПДн, в части обеспечения безопасности персональных данных при их обработке в ИСПДн;
3) порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации и нарушения порядка предоставления персональных данных, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
4) порядок приостановки предоставления персональных данных в случае обнаружения нарушений порядка их предоставления;
5) порядок обучения администраторов средств (систем) защиты информации, в том числе средств антивирусной защиты, и первичного инструктажа пользователей;
6) порядок проверки электронного журнала обращений к ИСПДн;
7) правила парольной защиты;
8) правила антивирусной защиты;
9) правила обновления общесистемного и прикладного программного обеспечения;
10) порядок контроля за соблюдением условий использования средств защиты информации.
Скачать заявку на оказание
услуг.
|
