ОКАЗАНИЕ УСЛУГ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Организации, которые обрабатывают персональные данные, обязаны выполнять предусмотренные Федеральным законом №152-ФЗ требования, в том числе:
- Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. (п.1, ст.19);
- Обеспечивать безопасность персональных данных путем определения актуальных угроз, применения организационных и технических мер защиты, контролировать эффективность принимаемых мер (п.2, ст.19);
- Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. (п.2, ст.18.1).
Требования по защите информации и ее безопасности должны учитываться на всех стадиях эксплуатации программно-аппаратных и технических комплексов и систем. Вместе с тем, организация эксплуатации указанных комплексов и систем должна обеспечивать актуальность реализованных защитных функций.
Основной перечень работ
-
Проведение обследования автоматизированных систем Заказчиков в части обработки персональных данных:
- анализ информационных ресурсов;
- анализ уязвимых звеньев и возможных угроз безопасности персональных данных;
- оценка вероятности реализации угроз безопасности персональных данных;
- анализ имеющихся в распоряжении мер и средств защиты персональных данных.
-
Обоснование требований по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных:
- разработка модели угроз безопасности персональных данных;
- разработка модели нарушителя безопасности персональных данных;
- составление перечня и проведение оценки актуальных угроз безопасности персональных данных;
- определение класса информационных систем персональных данных.
- Разработка и согласование с уполномоченными службами Заказчиков требований к системам защиты персональных данных и формирование предложений по комплексной защите информационных систем персональных данных.
- Разработка документов, регламентирующих вопросы обеспечения безопасности персональных данных и эксплуатации систем защиты персональных данных в информационных системах персональных данных.
- Проведение работ по защите информации в информационных системах персональных данных.
- Проведение работ по оценке соответствия информационных систем персональных данных требованиям безопасности персональных данных с выдачей документа, подтверждающего соответствие.