консалтинг в формате HD
Напишите нам
8 (952) 232-24-73
Поиск

Защита персональных данных

Выполнение комплекса работ, необходимых для соблюдения требований российского законодательства в области обработки персональных данных.

Сложно представить компанию, которая в процессе своей деятельности не сталкивается с обработкой персональных данных (ПДн), будь то информация о работниках предприятия или данные клиентов. Обрабатывая ПДн, оператор обязан обеспечить реализацию комплекса организационно-правовых и технических мероприятий, которые предусмотрены Федеральным законом № 152-ФЗ от 27.06.2006 «О персональных данных». В совокупности эти мероприятия и образуют систему защиты персональных данных (СЗПДн). 

Что делаем?

Мы оказываем полный цикл услуг, связанных с организацией защиты ПДн в государственных учреждениях и компаниях частного сектора: начиная с аудита текущих бизнес-процессов заказчика в области обработки ПДн, заканчивая оценкой эффективности принимаемых мер по обеспечению безопасности сведений, обрабатываемых в информационных системах персональных данных (ИСПДн) или в неавтоматизированной форме. Выполняемые работы включают следующие основные этапы.

1 Исследование текущих бизнес-процессов
Исследование текущих бизнес-процессов

На старте проекта проводится анализ бизнес-процессов заказчика, связанных с обработкой ПДн (структура организации, состав и архитектура её информационных систем, характеристики обрабатываемых ПДн и реализованные меры по обеспечению их безопасности). Методика проведения аудита (анкетирование, интервьюирование, непосредственное обследование инфраструктуры и т.д.) зависит от целевых сроков реализации проекта, а также специфики деятельности заказчика. 

2 Обсуждение рекомендаций и выбор стратегии
Обсуждение рекомендаций и выбор стратегии

На основе полученной в ходе аудита информации делается вывод о степени соответствия бизнес-процессов заказчика требованиям законодательства. Также формируется перечень рекомендаций, часть из которых, как правило, направлена на оптимизацию процедур обработки ПДн. Реализация соответствующих рекомендаций перед началом проектирования СЗПДн позволяет уменьшить количество подлежащих выполнению требований, тем самым снизив объем затрат, связанных с её созданием.

3 Формирование требований к системе защиты
Формирование требований к системе защиты

С учетом мер, реализованных для оптимизации процессов обработки ПДн, производится формирование требований к разрабатываемой СЗПДн. На этом этапе определяются уровни защищенности ПДн, а также моделируются угрозы безопасности, актуальных для обработки ПДн в рамках конкретных ИСПДн. Принимая во внимание перечень актуальных угроз безопасности, а также иные характеристики ИСПДн, наши специалисты формируют частное техническое задание на создание СЗПДн, определяющее требования, которые должны быть реализованы заказчиком в целях обеспечения эффективной защиты обрабатываемых ПДн.

4 Разработка системы защиты
Разработка системы защиты

Одним из основных этапов разработки СЗПДн является формирование технического (эскизного) проекта и комплекта рабочей документации, которые раскрывают конкретные организационные и технические решения, подлежащие реализации в рамках СЗПДн. Среди прочего, определяется архитектура СЗПДн, формулируются правила разграничения доступа к защищаемым ресурсам и подбираются средства защиты информации (СЗИ), которые будут использоваться для защиты конфиденциальной информации в ИСПДн.

5 Внедрение системы защиты
Внедрение системы защиты

На этапе внедрения СЗПДн производится поставка, установка и настройка СЗИ. Кроме того, осуществляется разработка внутренней документации, определяющей правила и процедуры, реализуемые заказчиком для обеспечения защиты информации в ИСПДн (положений, регламентов, инструкций, журналов учета и т.д.). Одновременно реализуются организационные мероприятия по защите ПДн (разграничение доступа к базам данных ИСПДн, инструктаж пользователей и т.д.). Внедрение СЗПДн завершается приемочными испытаниями СЗПДн, которые включают проверку выполнения требований к СЗПДн в соответствии с техническим заданием.

6 Оценка эффективности системы защиты
Оценка эффективности системы защиты

Перед вводом СЗПДн в эксплуатацию производится оценка эффективности принимаемых мер по обеспечению безопасности ПДн, которая проводится в форме аттестации (если ПДн обрабатываются в государственной информационной системе) или подготовки экспертного заключения относительно достаточности реализованных мер в области защиты ПДн (для всех иных случаев).

7 Обслуживание
Обслуживание

После ввода ИСПДн в эксплуатацию осуществляется текущее правовое и техническое сопровождение деятельности предприятия в целях поддержания СЗПДн в соответствии с актуальными требованиями законодательства. Кроме того, в рамках сопровождения СЗПДн осуществляется поддержка заказчика при проведении контрольных мероприятий надзорных органов, уполномоченных на проведение проверок в сфере соблюдения законодательства о ПДн (Роскомнадзора – для всех компаний, ФСТЭК и ФСБ – для пользователей некоторых видов систем).

Помимо полного цикла работ по созданию СЗПДн, мы предоставляем консультации относительно интересующих заказчика аспектов обработки ПДн (необходимость подачи уведомления о начале обработки ПДн, применимость требования об обязательном получении согласия субъекта ПДн, возможность и условия передачи данных третьим лицам, «локализация» ПДн), а также оказываем помощь в подготовке отдельных документов, связанных с организацией обработки ПДн (формы письменных согласий субъектов ПДн, политики обработки ПДн, поручения на обработку ПДн).

Свяжитесь с нами и мы предоставим интересующую Вас информацию.

Для кого?

Для российских организаций, которые собирают, хранят или иным образом обрабатывают информацию (ФИО, телефонные номера, электронные адреса и другие сведения личного характера), относящуюся к физическим лицам (работникам или клиентам, индивидуальным предпринимателям или не имеющим такого статуса, россиянам или иностранным гражданам).

Для иностранных организаций,которые обрабатывают ПДн на территории Российской Федерации, или соответствуют иным критериям, которые на практике являются основанием для применения к ним требований российского законодательства в области обработки ПДн.

Почему мы?

Гарантия результата

В случае проведения проверки контролирующих органов мы готовы обеспечить текущее сопровождение заказчика в ходе проведения всех надзорных мероприятий, а также предоставить финансовые гарантии позитивного результата проверки.

Комплексная экспертиза

Специалисты в области технической защиты информации ведут работы при поддержке высококвалифицированных юристов. Такое сочетание позволяет нам отличить реальные требования закона от домыслов заинтересованных лиц. Наличие необходимых лицензий ФСТЭК России и ФСБ России также дает нам возможность решать задачи любой сложности, не прибегая к услугам посредников.

Оптимизация затрат

Мы не продаем универсальные решения, так как одни и те же требования закона, зачастую, могут выполняться множеством различных способов. В то же время накопленный опыт позволяет нам выбрать наиболее оптимальный путь, который подойдет заказчику в конкретном случае.