Стоимость

Рассчитывается индивидуально, зависит от объема работ

Сроки

Индивидуально, зависит от технического задания

Гарантия

от 1 года

Филиалы

Санкт Петербург, Москва

Как мы понимаем ваши задачи

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановление Правительства Российской       Федерации от 01 ноября 2012 г. № 1119 установили жесткие требования в отношении порядка обработки и обеспечения безопасности персональных данных. Данные требования носят обязательный характер. Кроме того, изданы и вступили в силу распорядительные документы Федеральных органов исполнительной власти, регламентирующие порядок технической защиты персональных данных.

Невыполнение требований нормативных правовых актов по вопросам обработки персональных данных может повлечь следующие риски:

  • Санкции со стороны государственных органов, осуществляющих контроль и надзор в данной сфере деятельности (Роскомнадзор, ФСБ России, ФСТЭК России), вплоть до привлечения организации и (или) ее руководителя к административной и уголовной ответственности, принудительное приостановление или прекращение обработки персональных данных, приостановление (при определенных условиях) действия или аннулирование лицензии на основной вид деятельности организации.Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500 000 рублей за невыполнение законного предписания Роскомнадзора (Ст.19.5.КоАП).
  • Гражданские иски к организации-оператору персональных данных от субъектов персональных данных (работников компании и клиентов),
  • Репутационные риски

В Таблице 1 приведены некоторые нормы ответственности юридических лиц, должностных лиц, работников при нарушении законодательства о защите персональных данных.

Вид нарушенияПредусмотренное наказаниеЧем установлено
Нарушение порядка сбора, хранения, использования или распространения персональных данныхШтраф для должностных лиц – от 500 до 1000 руб.Статья 13.11 КоАП РФ
Для юридических лиц- от 5000 до 10 000 руб.
Нарушение законодательства о трудеШтраф для должностных лиц – от 500 до 5000 руб.Статья 5.27 КоАП РФ
Для юридических лиц- от 30 000 до 50 000 руб. или административное приостановление деятельности на срок до девяноста суток.
Ненадлежащее хранение и использование персональных данных, повлекшее за собой материальный ущерб работникуВозмещение морального вреда работнику в денежной форме в размерах, определенных трудовым договором (Ст.237 ТК РФ)Ст.234 ТК РФ
Возмещение материального ущерба работнику в полном объеме (Ст.235 ТК РФ)
Нарушение неприкосновенности частной жизни. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующимся произведении или средствах массовой информацииУголовная ответственностьСт.137 УК РФ
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
2. Те же деяния, совершенные лицом с использованием своего служебного положения, -
наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих его права и свободы, либо несвоевременное предоставление таких документов и материалов, иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо недостоверной инф-цииШтраф для должностных лиц – от 1000 до 3000 руб.Ст. 5.39 КоАП РФ
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, если эти деяния причинили вред правам и за конным интересам граждан (в т. ч. работникам) Уголовная ответственностьСт. 140 УК РФ.
наложение штрафа в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.
Разглашение охраняемой законом информации, ставшей известной работнику при выполнении им трудовых обязанностейМатериальная ответственность работника; дисциплинарная ответственность работника (Ст.192, 195 ТК РФ) вплоть до расторжения трудового договора по пункту «в» статьи 81ТК РФПункт 7 Ст.243 ТК РФ

Наш подход к решению стоящих перед вами задач

Основные цели

  • Приведение обработки персональных данных Заказчика в полное соответствие российскому законодательству о персональных данных.
  • Минимизация затрат Заказчика и выбор оптимальной стратегии приведения информационных систем персональных данных в полное соответствие с требованиями нормативно-правовых актов Российской Федерации и руководящих документов ФСТЭК России и ФСБ России в области использования и обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

Для достижения обозначенных целей проекта компания ИТАУС предлагает выполнить следующие работы:

  • изучение внутренних документов Заказчика на предмет соответствия российскому законодательству о персональных данных;
  • анализ и описание технологических процессов обработки персональных данных, включая неавтоматизированную обработку;
  • уточнение состава и категории персональных данных и составление перечня подразделений и сотрудников, допущенных к обработке персональных данных;
  • объективная оценка состояния существующей системы защиты персональных данных и ее соответствия требованиям законодательства о персональных данных;
  • разработка модели угроз безопасности персональных данных;
  • разработка перечня информационных систем и выполнение классификации информационных систем персональных данных с учетом возможностей по снижению класса;
  • разработка требований по безопасности персональных данных, включая определение перечня защитных технических мер и организационных мероприятий, необходимых для приведения ИСПДн в соответствие требованиям российского законодательства о персональных данных;
  • разработка технического задания (ТЗ) на систему защиты персональных данных (СЗПДн);
  • разработка Плана мероприятий по приведению информационных систем в соответствие с требованиями законодательства в области защиты персональных данных;
  • техническое проектирование СЗПДн;
  • разработка организационно-распорядительных документов по обработке и защите персональных данных;

Как будет реализован проект

Создание системы защиты персональных данных – это сложный многоуровневый процесс, затрагивающий оптимизацию бизнес-процессов организации, внедрение технических средств защиты информации, а также эффективное организационное управление информационной безопасностью.

Исходя из лучших международных практик в области информационной безопасности и бизнес-анализа, опыта реализации аналогичных проектов, компания ИТАУС считает целесообразным реализовать проект в несколько последовательных этапов (см. Рисунок 1). Это позволит более точно спланировать и контролировать процесс создания СЗПДн, а также минимизировать затраты Заказчика.

рис 1

Рисунок 1 - Этапы создания СЗПДн

Обследование и проектирование.

Работы по защите персональных данных начинаются с обследования технологических процессов обработки персональных данных, составления целостной картины об IT-инфраструктуре Заказчика и анализа, применяемых организационных и технических мер обеспечения безопасности персональных данных.

Целью данного этапа является оценка обстановки и выбор на её основе оптимальной стратегии обеспечения безопасности персональных данных.

На данном этапе специалисты компании ИТАУС  решают следующие задачи:

  • анализ технологических процессов обработки персональных данных, включая неавтоматизированную обработку;
  • разработка перечня персональных данных, обрабатываемых в организации, а также перечня подразделений и сотрудников, допущенных к такой обработке;
  • юридический анализ внутренних документов на предмет соответствия законодательству о персональных данных;
  • оценка состояния обеспечения безопасности персональных данных;
  • анализ защищенности информационных систем персональных данных с помощью специализированных программных средств, разработка рекомендаций по устранению уязвимостей компонентов ИТ-инфраструктуры ИСПДн: ОС, СУБД, локальная сеть, приложения;
  • разработка модели угроз и модели нарушителя согласно требованиям ФСТЭК России и ФСБ России;
  • разработка рекомендаций по оптимизации бизнес-процессов обработки персональных данных;
  • классификация и описание информационных систем персональных данных с учетом возможностей по снижению класса;
  • формирование требований по обеспечению безопасности персональных данных и разработка технического задания на систему защиты персональных данных;

Построение СЗПДн

Для выполнения требований законодательства о защите персональных данных Заказчику необходимо применять организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

В соответствии с разработанными на предыдущем этапе требованиями обеспечения безопасности персональных данных и техническим проектом на систему защиты персональных данных компания ИТАУС предлагает провести работы по созданию системы защиты персональных данных.

Целью данных работ является построение в соответствии с требованиями руководящих документов ФСТЭК России и ФСБ России системы защиты персональных данных.

На данном этапе специалисты компании ИТАУС решают следующие задачи:

  • разработка нормативной и организационно-распорядительной документации в соответствии с требованиями документов ФСТЭК России и ФСБ России;
  • разработка рабочей документации на систему защиты персональных данных;
  • поставка, монтаж и настройка средств защиты информации;
  • выполнение приёмо-сдаточных испытаний.

Результатом работ на этом этапе является сданная в эксплуатацию система защиты персональных данных.

Сопровождение

В процессе эксплуатации СЗПДн могут возникнуть предпосылки для ее доработки. Например, при необходимости пересмотра класса ИСПДн, в результате предписаний контрольно-надзорных органов по итогам проверок и пр. Наша компания обеспечит сервисную и консультационную поддержку режима защиты персональных данных на безопасном уровне в соответствии с законодательством России.

В ходе оказания сервисной поддержки предполагается:

  • проведение аудитов с целью контроля и анализа вносимых в ИСПДн изменений на предмет соответствия требованиям законодательства о персональных данных;
  • консультирование по вопросам обеспечения безопасности ПДн;
  • сопровождение программных и технических средств, установленных в ИСПДн;
  • сопровождение Заказчика при проведении проверок контрольно-надзорных органов в сфере защиты персональных данных.

 

Результаты и состав отчетных документов

Результатом работ на этапе «Обследование и проектирование» будет являться:

  1. Отчет об обследовании, содержащий:
  • описание технологических процессов обработки персональных данных в ИСПДн и рекомендации по их оптимизации;
  • рекомендации по защите персональных данных, обрабатываемых без использования средств автоматизации;
  • рекомендации по изменениям, которые нужно внести в типовые договоры;
  • описание ИСПДн;
  • акт классификации ИСПДн;
  • оценку соответствия текущего состояния защищенности ПДн требованиям законодательства России;
  • требования по обеспечению безопасности персональных данных в ИСПДн;
  1. Перечень персональных данных, обрабатываемых в организации.
  2. Перечень подразделений и сотрудников, допущенных к обработке персональных данных
  3. Модели угроз и нарушителя, согласно требованиям ФСТЭК России и ФСБ России;
  4. Акт классификации ИСПДн;
  5. План мероприятий по приведению ИСПДн в соответствие требованиям законодательства России в области защиты ПДн
  6. Техническое задание на проектирование СЗПДн.
  7. Технический проект на СЗПДн:
  • ведомость технического проекта;
  • пояснительная записка к техническому проекту;
  • спецификация поставляемых программно-аппаратных средств защиты.

Результатом работ на этапе «Построение СЗПДн» будет являться:

  1. Пакет нормативной и организационно-распорядительной документации в составе:
  • Политика информационной безопасности
  • Положение об обработке персональных данных;
  • Положение об организации и обеспечению защиты персональных данных;
  • Положение о структурном подразделении, отвечающем за защиту персональных данных;
  • Приказ о назначении ответственного за обеспечение безопасности персональных данных работника
  • Приказ о составе комиссии по классификации ИСПДн
  • Приказ о назначении администраторов безопасности ИСПДн
  • Приказ об утверждении мест хранения материальных носителей ПДн
  • Приказ о назначении комиссии по уничтожению документов с ПДн
  • Инструкция по порядку учета и хранения съемных носителей информации
  • Инструкция по резервному копированию и восстановлению массивов информации;
  • Инструкция по ликвидации нештатных ситуаций;
  • Инструкция по проведению антивирусного контроля;
  • Инструкция по организации парольной защиты;
  • Руководство пользователя по обеспечению безопасности ИСПДн
  • Руководство администратора по обеспечению безопасности ИСПДн
  • Раздел должностных инструкций персонала ИСПДн в части обеспечения безопасности ПДн в процессе их обработки;
  • Регламент о предоставлении прав доступа к персональным данным;
  • Регламент реагирования на запросы субъектов персональных данных;
  • Регламент обмена/выдачи информации (к договору между организациями);
  • Уведомление об обработке персональных данных (при необходимости)
  • Типовая форма письменного согласия субъектов персональных данных на обработку ПДн
  • шаблоны необходимых журналов регистрации и учета.

 

  1. Рабочая документация на СЗПДн.
  2. Функционирующая СЗПДн. Акт о переводе в эксплуатацию.

 

Результатом работ на этапе «Сопровождение» будет являться:

  1. Акты об оказании услуг.
  2. Отчетная документация по результатам проведенных работ.

Компания ИТАУС при оказании услуг по защите персональных данных, руководствуется следующими принципами:

  • минимизация затрат Заказчика;
  • выполнение всех работ в заданные сроки;
  • привлечение на проект сертифицированных специалистов;
  • приоритетность организационно-правовых мер при проведении работ;

Обеспечение защиты персональных данных - это сложный многоуровневый процесс, затрагивающий оптимизацию бизнес-процессов компании, внедрение технических средств защиты информации, а также эффективное организационное управление информационной безопасностью.

В современных организациях хранятся и обрабатываются данные о сотрудниках, клиентах, посетителях и других физических лицах.

С развитием доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Средства интеграции и быстрой обработки персональных данных, могут быть использованы злоумышленниками и создать угрозу правам и законным интересам человека.

Защита машинных носителей информации (ЗНИ)

Утечка, несанкционированное изменение или нарушение доступности этих данных приводит не только к финансовым издержкам, но может создать риск полной остановки деятельности организации.

ИТАУС имеет все необходимые лицензии на осуществление работ в области защиты персональных данных в организации.

Обработка и защита персональных данных проводятся компетентными специалистами, имеющими опыт оказания услуг по защите конфиденциальной информации, анализа технологических процессов организаций (бизнес- процессов), проведения аттестаций объектов информатизации.

ИТАУС, оказывая услуги по защите персональных данных, руководствуется следующими принципами:

  • минимизация претензий со стороны регулирующих органов - оказание услуг в соответствии с требованиями законодательства о персональных данных;
  • минимизация вмешательства в бизнес-процессы - выполнение требований регулирующих органов в балансе с интересами бизнеса компании;
  • минимизация затрат - решения ИТАУС направлены на выбор оптимальной стратегии защиты персональных данных на предприятии с учетом имеющихся у Заказчика ресурсов.

Реализуются эти принципы комплексом мероприятий:

ОБСЛЕДОВАНИЕ И ПРОЕКТИРОВАНИЕ

Целью данного этапа является оценка обстановки и выбор на её основе оптимальной стратегии обеспечения безопасности персональных данных.

ВНЕДРЕНИЕ СРЕДСТВ ЗАЩИТЫ

В организации внедряются информационные системы защиты персональных данных только ведущих российских и международных компаний-поставщиков, таких как КриптоПро, Информзащита, Info tecs, IBM и др.

АТТЕСТАЦИЯ

Результатом данного этапа является аттестованная информационная система персональных данных и сданная в промышленную эксплуатацию система защиты персональных данных.

СОПРОВОЖДЕНИЕ

Проведение планового аудита информационных систем и анализ вносимых изменений в ИТ-инфраструктуру на предмет нарушения требований российского законодательства о защите персональных данных

Опросник СЗПДн

email

Есть вопросы?

Оставьте заявку и мы ответим на них и расскажем все о предоставляемых услугах.

Контакты