Экспресс - аудит защищенности информационных систем персональных данных

1. Описание услуги

Экспресс-аудит защищенности информационных систем персональных данных является первоначальным, минимально необходимым этапом в решении защиты персональных данных (ПДн), в информационных системах, их обрабатывающих (ИСПДн).
Предложение предназначено в первую очередь для операторов персональных данных, которые не имеют достаточного опыта в сфере информационной безопасности, располагают небольшими по масштабу информационными системами, и не готовы единовременно произвести масштабные финансовые вложения в решение проблемы защиты ПДн. К таким операторам ПДн могут, например, относиться:

Операторы связи
Коммерческие организации (банки, бизнес-центры, гостиницы и т.д.)
Органы государственной власти субъектов РФ
Медицинские учреждения
Заказчики из сферы малого и среднего бизнеса

Работы выполняются на основании данных, формируемых Заказчиком на базе опросных листов (анкет), представляемых Исполнителем.
При проведении работ учитываются требования действующих в Российской Федерации нормативных документов и стандартов в сфере защиты персональных данных.

2. Нормативные документы

Экспресс-аудит проводится с учетом требований нормативных документов и стандартов в сфере защиты персональных данных.

Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных;
Утверждено постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781;
Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 (Зарегистрирован в Минюсте России 3 апреля 2008 г., регистрационный № 11462);
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.;
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.

3. Состав работ

3.1. Полный перечень работ по обеспечению безопасности персональных данных

Полный комплекс задач обеспечения безопасности Пдн включает:

комплексное обследование (аудит) существующей ИСПДн Заказчика с оценкой соответствия исходного состояния защищенности ИСПДн требованиям по защите Пдн, а также выявлением и анализом актуальных угроз безопасности Пдн;
разработку проекта акта классификации ИСПДн;
разработку проектов документов, регламентирующих вопросы организации обеспечения безопасности Пдн и эксплуатации СЗПДН, в том числе положения по организации и проведению работ по обеспечению безопасности Пдн при их обработке в ИСПДн и др.;
разработку требований к системе защиты персональных данных (СЗПДн) для конкретной ИСПДн с учетом ее класса и результатов моделирования угроз;
при необходимости разработку ТЗ на доработку (создание) СЗПДн;
разработку и внедрение СЗПДн в соответствии с требованиями РД;
аттестацию СЗПДн на соответствие требованиям по защите Пдн.

Стоимость этих работ может быть весьма значительна.

3.2 Минимально необходимые работы

Если оператор Пдн не имеет возможности оперативно и вполном объеме выполнить весь комплекс работ по защите персональных данных, целесообразно начать с проведения недорого экспресс-аудита информационной системы, силами организации, специализирующейся в сфере информационной безопасности и защиты персональных данных. Экспресс-аудит включает:

Сбор и систематизацию первичной информаци по ИСПДн, которую заказчик представляет в виде заполненных опросных листов;
Анализ и систематизацию ответов, полученных в опросных листах;
При необходимости дополнительный опрос представителей Заказчика и уточнение параметров ИСПДн;
Оценку реального состояния ИСПДн, в ходе которой определяются:

необходимость обработки Пдн в ИСПДн;
перечень Пдн, подлежащих защите;
условия расположения ИСПДн относительно границ контролируемой зоны;
режимы обработки Пдн в ИСПДн в целом и в отдельных компонентах;
степень участия должностных лиц в обработке ПДн и характер их взаимодействия.

Подготовку предложений по выбору классов ИСПДн Заказчика.
Анализ организационного обеспечения безопасности Пдн:

Анализ состава документации по вопросам безопасности Пдн при их обработке в ИСПДН и эксплуатации СЗПДн;
Экспресс-анализ системы управления обеспечением безопасности ПДн;

Анализ технического обеспечения безопасности ПДн:

анализ наличия специального оборудования, размещения, режима охраны и допуска в помещения, где ведется работа с ПДн;
анализ наличия средств защиты ПДн от НСД;
анализ необходимости мероприятий по закрытию технических каналов утечки ПДн;
анализ необходимости мероприятий по исключению утечки за счет ПЭМИН, мероприятий по защите акустической (речевой) информации.

Выполнение этих работ позволит сформулировать требования по защите ПДн в информационной системе Заказчика, определить степень соответствия проверяемой ИСПДн этим требованиям, сформировать рекомендации по дальнейшим шагам в защите ПДн.

4. Результаты работ

Результаты экспресс-аудита представляются Заказчику в виде отчета следующего содержания:

Термины и определения
Сокращения
Введение
Цель и задачи экспресс-обследования
Объект экспресс-обследования:

Описание характеристик ИСПДн, как объектов экспресс-обследования
Предложения по классификации ИСПДн
Анализ состава мероприятий по организации обеспечения безопасности ПДн. Приводятся результаты анализа состава документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн, а также экспресс-анализа системы управления обеспечением безопасности ПДн
Анализ мероприятий по техниескому обеспечению безопасности ПДн
Приводятся результаты анализа состава мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где осуществляется обработка ПДн; наличия подсистем, обеспечивающих защиту ПДн от НСД; необходимости мероприятий по закрытию технических каналов утечки ПДн, в том числе мероприятий по исключению утечки за счет ПЭМИН и защите акустической (речевой) информации
Общие выводы и рекомендации по развитию и модернизации СЗПДн.

Собственно экспресс-аудит заканчивается выдачей отчета. По результатам Заказчик может запросить актуальный состав и макеты (план-проспекты) необходимой организационно-распорядительной документации. Могут быть предоставлены план-проспекты следующих документов:

Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в ИСПДн РСИЦ;
Перечень обрабатываемых в ИСПДн персональных данных;
Список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей (утверждается оператором или уполномоченным лицом);
Приказ об организации защиты ПДн;
Приказ о вводе объекта информатизации (ИСПДн) в эксплуатацию;
Журнал учета носителей информации;
Журнал учета персональных идентификаторов;
Инструкция ответственному ОБИ;
Инструкция по антивирусному контролю;
Инструкция пользователю по обеспечению безопасности информации (ПДн).

На базе этих план-проспектов Заказчик может разработать необходимые документы самостоятельно. Возможна также их разработка на основе отдельного договора с Исполнителем.

В начало страницы

© Компания «Сетевые решения», 2001-2010.
Все права защищены. программа учета трафика, биллинг, учет трафика, billing, программа учета трафика, биллинг, учет трафика, billing, программа учета трафика, биллинг, учет трафика, billing, программа учета трафика, биллинг, учет трафика, billing, программа учета трафика, биллинг, учет трафика, billing, программа учета трафика, биллинг, billing, программа учета трафика, биллинг, billing, программа учета трафика, биллинг, billing, программа учета трафика, биллинг, billing, программа учета трафика, биллинг, billing

компания · продукты · решения · статьи · партнеры · контакты