Наша работа - Ваша уверенность
Кейс «Создание системы защиты персональных данных»

Мы уже не раз говорили, что защита персональных данных (ПДн) в организации – одна из самых важных задач в информационной безопасности в целом.

Этот кейс был реализован для Региональной Службы по тарифам Ростовской области.

Цели проекта

Заказчиком было установлены 3 ключевые цели:

  • исключение несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать хищение, утрата, утечка, уничтожение, изменение, блокирование, копирование, распространение персональных данных;
  • обеспечение постоянного сотрудникам доступа к персональным данным и средствам их обработки;
  • выполнение требований нормативных правовых актов Российской Федерации, руководящих и методических документов ФСТЭК России, ФСБ России, регламентирующих вопросы защиты персональных данных.

  • Также отдельной важной задачей было проведение аттестации информационной системы на соответствие требованиям законодательства по защите информации.

    Об этапах работы

    Общий порядок действий по созданию системы защиты ПДн включал в себя:

    1. Предпроектные работы.

    Под предпроектными работами подразумевается сбор данных о программных и технических средствах, о путях взаимодействия с данными, определение состава и типа обрабатываемых данных. На этом этапе также было разработано аналитическое обоснование модернизации системы защиты ПДн, в том числе согласно требованиям ФСТЭК.

    1. Проектирование системы защиты персональных данных.

    На этом этапе мы разработали:

    — техническое задание на создание системы защиты ПДн на основании Модели угроз и нарушителя безопасности ПДн;

    — эскизный проект системы защиты ПДн;

    — проект организационно-распорядительных документов.

    1. Поставка средств защиты информации и их пуско-наладка.

    Решенная задача —  закупка и передача заказчику программного обеспечения для построения системы защиты ПДн. Осуществили пуско-наладку системы защиты ПДн. Для проверки заданных функций проводились приемочные испытания.

    1. Аттестация объектов информатизации.

    Аттестация проводилась с применением следующих методов и испытаний:

  • экспертно-документальный – проверка соответствия объектов установленным требованиям на основании экспертной оценки полноты и достаточности представленных документов по обеспечению мероприятий по защите информации;
  • инструментальный – контроль с применением тестов, проводящийся с целью подтверждения реализации функций защиты информации от несанкционированного доступа, соответствующих установленному классу защищенности объектов информатизации.

  • По каждому этапу была обязательна разработка документации как отчетной по этапам, так и итоговой по приемочным испытаниям. Это было неотъемлемым требованием заказчика.

    Если вы хотите провести анализ защищенности персональных данных или организация нуждается в построении системы защиты персональных данных – смело обращайтесь в ООО «Рубикон».

    Предлагаем пройти самопроверку организации на соблюдение закона 152-ФЗ «О персональных данных».

    Поиск
    Мы в соцсетях
    Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
    Дзен-канал компании «Рубикон»
    Услуги

    Подпишитесь на получение новостей

    Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

    Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

    Принять