Аттестация на соответствие требованиям по безопасности информации, подлежит любой объект информатизации. Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации, и подлежит государственной регистрации в установленном ФСТЭК России порядке.
К объектам информатизации, подлежащим аттестации, относятся: автоматизированные рабочие места, локальные информационные системы и выделенные сервера, на которых ведется обработка персональных данных. Аттестация должна проводиться до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите персональных данных в информационной системе. Поэтому, прежде чем разрешать обработку персональных данных в информационной системе, данные информационные системы должны пройти ряд специальных работ, а именно, учёт всех технических средств обработки, установку и настройку сертифицированных ФСТЭК средств защиты информации.
Наша компания проводит работы по аттестации объектов информатизации по требованиям безопасности информации в соответствии с требованиями ФСТЭК России.
Аттестация информационной системы по требованиям безопасности информации проводится в отношении объектов вычислительной техники и организационных мероприятий.
В результате аттестации объектов информатизации по требованиям безопасности информации, посредством специального документа — "Аттестата соответствия» — подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации по стандартам или иным нормативно-техническим документам по безопасности информации, утвержденным ФСТЭК России. Мы предлагаем Вам полный комплекс услуг по подготовке Вашей системы к проведению аттестации на соответствие требованиям защиты персональных данных и проведению работ по аттестации.
ООО «Гранит» осуществляет деятельность в области защиты информации и имеет действующую лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области технической защиты конфиденциальной информации, и действующую лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации.
Наши специалисты проведут подбор, установку, настройку, и испытания всех необходимых средств защиты. А так же подготовят всю организационно распорядительную документацию.
В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
|
Комплекс услуг позволяет построить полноценную систему защиты персональных данных, полностью соответствующую требованиям Российского законодательства в области защиты персональных данных. Услуга выполняется в три этапа.
- Обследование систем обработки персональных данных: Данный этап начинается с обследования систем обработки персональных данных. Он включает в себя сбор и анализ необходимой информации для создания системы защиты персональных данных (далее - СЗПДн). Результаты, полученные в ходе проведения работ, служат основой для определения актуальных угроз безопасности персональных данных и разработки технического задания на создание СЗПДн. Отчётные документы:
- Аналитический отчет;
- Модели угроз и потенциального нарушителя безопасности ПДн;
- Техническое задание на создание СЗПДн.
- Подготовка нормативной и технической документации в области обработки и защиты персональных данных: Этапом данной стадии является подготовка комплекта организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных (ПДн). Комплект организационно-распорядительной документации:
- Приказ о проведении работ по защите ПДн;
- Перечень ПДн;
- Перечень помещений, предназначенных для обработки и хранения ПДн;
- Перечень должностей и третьих лиц, допущенных к обработке ПДн;
- Положение о разграничении прав доступа к обрабатываемым ПДн в ИСПДн;
- Положение об обработке и защите персональных данных;
- Политика компании в отношении обработки ПДн клиентов;
- Уведомление об обработке ПДн;
- Согласие на обработку ПДн;
- Обязательство о неразглашении ПДн;
- Акт определения уровня защищенности ИСПДн;
- Инструкция ответственного за организацию обработки ПДн;
- Инструкция ответственного за обеспечение безопасности ПДн;
- Журнал учета машинных носителей информации;
- Журнал учета обращений субъектов персональных данных.
- Внедрение технических средств защиты персональных данных:
На данном этапе осуществляется поставка и внедрение средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации. Документы:
- Акт внедрения средств защиты информации;
- Заключительная стадия Согласно статье 19 Федерального закона №152-ФЗ, Оператор проводит оценку эффективности принимаемых мер до ввода ИСПДн в эксплуатацию. Для государственных и муниципальных организаций данная процедура проходит в виде аттестации ИСПДн по требованиям безопасности конфиденциальной информации.
Документы для государственных и муниципальных организаций:
- Акт классификации автоматизированной системы;
- Программа и методика аттестационных испытаний;
- Протокол оценки соответствия;
- Заключение;
- Аттестат соответствия;
Документы для иных юридических лиц:
- Акт соответствия ИСПДн требованиям законодательства
|
ООО «Гранит» обладает всеми необходимыми для проведения аттестации объектов информатизации нормативно-методическими документами в соответствии с перечнем ФСТЭК России. |