Наши услуги
Защита ИСПДн
Что такое ИСПДн и зачем нужна защита
ИСПДн — это информационная система, в которой осуществляется обработка персональных данных работников, клиентов, пациентов, контрагентов и иных субъектов ПДн.
Защита ИСПДн обязательна для всех операторов персональных данных и регламентируется:
Наш подход
Мы реализуем защиту ИСПДн как управляемый проект с понятным результатом.
1. Обследование
2. Разработка модели угроз и проектной документации
3. Разработка организационно-распорядительной документации (ОРД)
Разрабатываем полный пакет документов:
4. Внедрение средств защиты
В зависимости от архитектуры системы внедряем:
5. Тестирование, оценка эффективности мер и ввод в эксплуатацию
На завершающем этапе выполняется проверка корректности реализованных мер защиты и их соответствие требованиям
ФСТЭК России (в соответствии с Приказ ФСТЭК России № 21).
В рамках этапа проводятся:
Результат этапа — подтверждённое соответствие ИСПДн требованиям приказа ФСТЭК № 21 и готовность к проверкам регуляторов.
Стоимость
Стоимость формируется индивидуально и зависит от:
ИСПДн — это информационная система, в которой осуществляется обработка персональных данных работников, клиентов, пациентов, контрагентов и иных субъектов ПДн.
Защита ИСПДн обязательна для всех операторов персональных данных и регламентируется:
- Федеральный закон № 152-ФЗ, Постановление Правительства № 1119
- ФСТЭК России (приказ №21 )
- ФСБ России (в части СКЗИ)
Наш подход
Мы реализуем защиту ИСПДн как управляемый проект с понятным результатом.
1. Обследование
- инвентаризация информационных систем и потоков ПДн;
- определение состава обрабатываемых персональных данных;
- определение уровня защищённости ИСПДн;
- анализ архитектуры (серверы, сети, VPN, СЗИ, удалённый доступ).
2. Разработка модели угроз и проектной документации
- определение актуальных угроз и формирование модели угроз безопасности информации;
- разработка технического задания на систему защиты;
- формирование перечня необходимых организационных и технических мер.
3. Разработка организационно-распорядительной документации (ОРД)
Разрабатываем полный пакет документов:
- политика обработки персональных данных;
- положение о защите ПДн;
- приказы о назначении ответственных лиц;
- регламент управления доступом;
- регламент реагирования на инциденты;
- журналы учёта и формы актов.
4. Внедрение средств защиты
В зависимости от архитектуры системы внедряем:
- межсетевые экраны (NGFW);
- средства антивирусной защиты;
- системы предотвращения вторжений;
- средства контроля действий пользователей;
- DLP-системы;
- СКЗИ (при необходимости).
5. Тестирование, оценка эффективности мер и ввод в эксплуатацию
На завершающем этапе выполняется проверка корректности реализованных мер защиты и их соответствие требованиям
ФСТЭК России (в соответствии с Приказ ФСТЭК России № 21).
В рамках этапа проводятся:
- контроль правильности настройки средств защиты информации;
- проверка разграничения прав доступа пользователей;
- анализ журналов безопасности;
- тестирование сетевых и прикладных механизмов защиты;
- контроль выполнения организационных мер.
- подтверждение реализации всех обязательных мер безопасности;
- проверку соответствия фактической конфигурации проектным решениям;
- анализ устойчивости ИСПДн к актуальным угрозам;
- оформление результатов в виде отчёта.
- акт оценки эффективности мер защиты;
- протоколы проверок;
- перечень реализованных мер;
- рекомендации (при необходимости);
- эксплуатационная документация.
Результат этапа — подтверждённое соответствие ИСПДн требованиям приказа ФСТЭК № 21 и готовность к проверкам регуляторов.
Стоимость
Стоимость формируется индивидуально и зависит от:
- количества ИСПДн;
- уровня защищённости;
- числа пользователей;
- сложности инфраструктуры;
- необходимости внедрения СЗИ.
- Обследование и модель угроз — от 80 000 ₽
- Разработка полного пакета ОРД — от 150 000 ₽
- Комплексное внедрение системы защиты — от 250 000 ₽