Аттестационный центр

Начни защиту персональных данных с нажатия одной кнопки

Аттестационный центр обработки конфиденциальной информации Государственного образовательного учреждения высшего профессионального образования «Томский государственный университет систем управления и радиоэлектроники» (Аттестационный центр обработки конфиденциальной информации ТУСУР) предоставляет услуги по защите конфиденциальной информации, в т.ч. персональных данных.

Особенностью работы Аттестационного центра является оказание полного комплекса услуг, а именно:

  1. Консультации по вопросам информационной безопасности и защиты персональных данных;
  2. Предпроектное обследование информационных систем персональных данных.
    Проведение данных работ является одним из первых этапов при создании системы защиты персональных данных и позволяет получить полную информацию о состоянии безопасности персональных данных, обрабатываемых в информационной системе персональных данных;
  3. Разработка комплекта организационно-распорядительных документов локальной нормативной базы организации в области информационной безопасности, в т.ч. для операторов персональных данных;
  4. Проектирование систем защиты информации, в т.ч. информационных систем персональных данных;
  5. Внедрение систем защиты: поставка, монтаж и настройка программно-аппаратных средств защиты информации;
  6. Обучение обслуживающего персонала (специалистов) по программе, утвержденной ФСТЭК 24.11.2006г. - «Защита конфиденциальной информации в организации», ориентированной на защиту персональных данных;
  7. Аттестация объектов информатизации (автоматизированных систем и защищаемых помещений) в соответствии с требованиями по безопасности информации (при условии соблюдения всех организационных и технических требований).

Все работы проводятся в соответствии с требованиями законодательства Российской Федерации, в том числе нормативно-методических документов Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности России (ФСБ России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) на основании имеющихся лицензий

1 этап работ по защите ПДн

  1. Сбор исходных данных об ИСПДн:
    • перечень персональных данных и систем, обрабатывающих эти данные;
    • цели обработки персональных данных;
    • состав и объем персональных данных.
  2. Оказание консультационных услуг по классификации ИСПДн. Классификация ИСПДн проводится в соответствии с "Порядком проведения классификации информационных систем персональных данных" утвержденным совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года N 55/86/20.
  3. Помощь в оформлении уведомления уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных. Согласно Закону Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
  4. Анализ существующей ИСПдн:
    • категории, объем и требования к характеристиками безопасности информации, обрабатываемой в ИСПДн;
    • имеющаяся организационно-распорядительная документация по защите персональных данных и защите информации в ИВС и ИСПДн;
    • фактическое выполнение требований, определенных в организационно-распорядительных документах;
    • организационная структура подразделений, ответственных за обслуживание ИВС, и обеспечение информационной безопасности;
    • организация физической защиты ресурсов ИВС;
    • организация сетевой инфраструктуры ИВС и каждой из ИСПДн, предоставляемых сетевых и системных сервисах ИВС;
    • серверные платформы, на которых функционируют ИСПДн;
    • автоматизированные рабочие места, входящие в ИСПДн;
    • системное программное обеспечение, входящее в ИСПДн и ИВС;
    • прикладное программное обеспечение ИСПДн;
    • реализованные на данный момент средства защиты информации.
  5. Формирование требований по обеспечению информационной безопасности.

Требования по информационной безопасности определяются на основании анализа угроз безопасности персональных данных. Данный анализ проводится в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных":

  • идентификация активов ИСПДн;
  • определение угроз безопасности;
  • ранжирование угроз безопасности и выделение актуальных угроз;
  • построение частной модели угроз ИСПДн.

Сформированные требования будут включены в "Техническое задание на систему защиты персональных данных".

2 этап работ по защите ПДн

  1. разработка организационно-распорядительной документации, регламентирующей обработку персональных данных в организации;
  • Положение о защите персональных данных, включающее:
    • наименование, адрес организации;
    • цель обработки персональных данных;
    • категории персональных данных;
    • категории субъектов персональных данных;
    • правовое основание обработки персональных данных;
    • перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных;
    • описание мер, которые Оператор обязуется осуществлять при обработке персональных данных, по обеспечению их безопасности при обработке;
    • дата начала обработки персональных данных.
    • срок или условие прекращения обработки персональных данных
  • Положение о подразделении по защите информации;
  • Должностные регламенты лиц, ответственных за защиту персональных данных;
  • План мероприятий по защите персональных данных;
  • План внутренних проверок состояния защиты персональных данных;
  • Форма журнала учёта обращений субъектов персональных данных о выполнении их законных прав;
  • Форма письменного согласия субъектов персональных данных на обработку их данных;
  • Форма электронного журнала обращений пользователей информационной системы к персональным данным
  • разработка технических решений по информационной безопасности. Механизмы безопасности, которые могут быть реализованы в ИСПДн, включают:
    • управление доступом;
    • регистрация и учет;
    • обеспечение целостности;
    • контроль отсутствия не декларированных возможностей;
    • антивирусную защиту;
    • обеспечение безопасного межсетевого взаимодействия ИСПДн;
    • анализ защищенности, обнаружение вторжений.

    По результатам разработки технических решений по защите персональныхданных будет сформирован документ "Технический проект на систему защитыперсональных данных".

  • разработка требований по доработке средств защиты ИСПДн.
  • 3 этап работ по защите ПДн

    • доработка средств защиты ИСПДн;
    • внедрение системы защиты персональных данных:
      • установка и настройка дополнительных средств защиты информации, предусмотренных техническим проектом;
      • контроль реализации требований по информационной безопасности в ИСПДн;

    Итогом работы будет являться полностью настроенная система защиты персональных данных.

    4 этап работ по защите ПДн

    • работы по аттестации ИСПДн на соответствие требованиям ФСТЭК России.

    Результатом данной работы будет являться "Заключение о соответствии ИСПДн требованиям по информационной безопасности".

    5 этап работ по защите ПДн

    • Заключение договора на сопровождение технических средств ИСПДн.
    • Заключение договора на сопровождение средств защиты информации в составе ИСПДн

    1 этап работ по защите ПДн

    1. Сбор исходных данных об ИСПДн:
      • перечень персональных данных и систем, обрабатывающих эти данные;
      • цели обработки персональных данных;
      • состав и объем персональных данных.
    2. Оказание консультационных услуг по классификации ИСПДн. Классификация ИСПДн проводится в соответствии с "Порядком проведения классификации информационных систем персональных данных" утвержденным совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года N 55/86/20.
    3. Помощь в оформлении уведомления уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных. Согласно Закону Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
    4. Анализ существующей ИСПдн:
      • категории, объем и требования к характеристиками безопасности информации, обрабатываемой в ИСПДн;
      • имеющаяся организационно-распорядительная документация по защите персональных данных и защите информации в ИВС и ИСПДн;
      • фактическое выполнение требований, определенных в организационно-распорядительных документах;
      • организационная структура подразделений, ответственных за обслуживание ИВС, и обеспечение информационной безопасности;
      • организация физической защиты ресурсов ИВС;
      • организация сетевой инфраструктуры ИВС и каждой из ИСПДн, предоставляемых сетевых и системных сервисах ИВС;
      • серверные платформы, на которых функционируют ИСПДн;
      • автоматизированные рабочие места, входящие в ИСПДн;
      • системное программное обеспечение, входящее в ИСПДн и ИВС;
      • прикладное программное обеспечение ИСПДн;
      • реализованные на данный момент средства защиты информации.
    5. Формирование требований по обеспечению информационной безопасности.

    Требования по информационной безопасности определяются на основании анализа угроз безопасности персональных данных. Данный анализ проводится в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных":

    • идентификация активов ИСПДн;
    • определение угроз безопасности;
    • ранжирование угроз безопасности и выделение актуальных угроз;
    • построение частной модели угроз ИСПДн.

    Сформированные требования будут включены в "Техническое задание на систему защиты персональных данных".

    2 этап работ по защите ПДн

    1. разработка организационно-распорядительной документации, регламентирующей обработку персональных данных в организации;
    • Положение о защите персональных данных, включающее:
      • наименование, адрес организации;
      • цель обработки персональных данных;
      • категории персональных данных;
      • категории субъектов персональных данных;
      • правовое основание обработки персональных данных;
      • перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных;
      • описание мер, которые Оператор обязуется осуществлять при обработке персональных данных, по обеспечению их безопасности при обработке;
      • дата начала обработки персональных данных.
      • срок или условие прекращения обработки персональных данных
    • Положение о подразделении по защите информации;
    • Должностные регламенты лиц, ответственных за защиту персональных данных;
    • План мероприятий по защите персональных данных;
    • План внутренних проверок состояния защиты персональных данных;
    • Форма журнала учёта обращений субъектов персональных данных о выполнении их законных прав;
    • Форма письменного согласия субъектов персональных данных на обработку их данных;
    • Форма электронного журнала обращений пользователей информационной системы к персональным данным
  • разработка технических решений по информационной безопасности. Механизмы безопасности, которые могут быть реализованы в ИСПДн, включают:
    • управление доступом;
    • регистрация и учет;
    • обеспечение целостности;
    • контроль отсутствия не декларированных возможностей;
    • антивирусную защиту;
    • обеспечение безопасного межсетевого взаимодействия ИСПДн;
    • анализ защищенности, обнаружение вторжений.

    По результатам разработки технических решений по защите персональныхданных будет сформирован документ "Технический проект на систему защитыперсональных данных".

  • разработка требований по доработке средств защиты ИСПДн.
  • 3 этап работ по защите ПДн

    • доработка средств защиты ИСПДн;
    • внедрение системы защиты персональных данных:
      • установка и настройка дополнительных средств защиты информации, предусмотренных техническим проектом;
      • контроль реализации требований по информационной безопасности в ИСПДн;

    Итогом работы будет являться полностью настроенная система защиты персональных данных.

    4 этап работ по защите ПДн

    • работы по аттестации ИСПДн на соответствие требованиям ФСТЭК России.

    Результатом данной работы будет являться "Заключение о соответствии ИСПДн требованиям по информационной безопасности".

    5 этап работ по защите ПДн

    • Заключение договора на сопровождение технических средств ИСПДн.
    • Заключение договора на сопровождение средств защиты информации в составе ИСПДн

    1 этап работ по защите ПДн

    1. Сбор исходных данных об ИСПДн:
      • перечень персональных данных и систем, обрабатывающих эти данные;
      • цели обработки персональных данных;
      • состав и объем персональных данных.
    2. Оказание консультационных услуг по классификации ИСПДн. Классификация ИСПДн проводится в соответствии с "Порядком проведения классификации информационных систем персональных данных" утвержденным совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года N 55/86/20.
    3. Помощь в оформлении уведомления уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных. Согласно Закону Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
    4. Анализ существующей ИСПдн:
      • категории, объем и требования к характеристиками безопасности информации, обрабатываемой в ИСПДн;
      • имеющаяся организационно-распорядительная документация по защите персональных данных и защите информации в ИВС и ИСПДн;
      • фактическое выполнение требований, определенных в организационно-распорядительных документах;
      • организационная структура подразделений, ответственных за обслуживание ИВС, и обеспечение информационной безопасности;
      • организация физической защиты ресурсов ИВС;
      • организация сетевой инфраструктуры ИВС и каждой из ИСПДн, предоставляемых сетевых и системных сервисах ИВС;
      • серверные платформы, на которых функционируют ИСПДн;
      • автоматизированные рабочие места, входящие в ИСПДн;
      • системное программное обеспечение, входящее в ИСПДн и ИВС;
      • прикладное программное обеспечение ИСПДн;
      • реализованные на данный момент средства защиты информации.
    5. Формирование требований по обеспечению информационной безопасности.

    Требования по информационной безопасности определяются на основании анализа угроз безопасности персональных данных. Данный анализ проводится в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных":

    • идентификация активов ИСПДн;
    • определение угроз безопасности;
    • ранжирование угроз безопасности и выделение актуальных угроз;
    • построение частной модели угроз ИСПДн.

    Сформированные требования будут включены в "Техническое задание на систему защиты персональных данных".

    2 этап работ по защите ПДн

    1. разработка организационно-распорядительной документации, регламентирующей обработку персональных данных в организации;
    • Положение о защите персональных данных, включающее:
      • наименование, адрес организации;
      • цель обработки персональных данных;
      • категории персональных данных;
      • категории субъектов персональных данных;
      • правовое основание обработки персональных данных;
      • перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных;
      • описание мер, которые Оператор обязуется осуществлять при обработке персональных данных, по обеспечению их безопасности при обработке;
      • дата начала обработки персональных данных.
      • срок или условие прекращения обработки персональных данных
    • Положение о подразделении по защите информации;
    • Должностные регламенты лиц, ответственных за защиту персональных данных;
    • План мероприятий по защите персональных данных;
    • План внутренних проверок состояния защиты персональных данных;
    • Форма журнала учёта обращений субъектов персональных данных о выполнении их законных прав;
    • Форма письменного согласия субъектов персональных данных на обработку их данных;
    • Форма электронного журнала обращений пользователей информационной системы к персональным данным
  • разработка технических решений по информационной безопасности. Механизмы безопасности, которые могут быть реализованы в ИСПДн, включают:
    • управление доступом;
    • регистрация и учет;
    • обеспечение целостности;
    • контроль отсутствия не декларированных возможностей;
    • антивирусную защиту;
    • обеспечение безопасного межсетевого взаимодействия ИСПДн;
    • анализ защищенности, обнаружение вторжений.

    По результатам разработки технических решений по защите персональныхданных будет сформирован документ "Технический проект на систему защитыперсональных данных".

  • разработка требований по доработке средств защиты ИСПДн.
  • 3 этап работ по защите ПДн

    • доработка средств защиты ИСПДн;
    • внедрение системы защиты персональных данных:
      • установка и настройка дополнительных средств защиты информации, предусмотренных техническим проектом;
      • контроль реализации требований по информационной безопасности в ИСПДн;

    Итогом работы будет являться полностью настроенная система защиты персональных данных.

    4 этап работ по защите ПДн

    • работы по аттестации ИСПДн на соответствие требованиям ФСТЭК России.

    Результатом данной работы будет являться "Заключение о соответствии ИСПДн требованиям по информационной безопасности".

    5 этап работ по защите ПДн

    • Заключение договора на сопровождение технических средств ИСПДн.
    • Заключение договора на сопровождение средств защиты информации в составе ИСПДн

    1 этап работ по защите ПДн

    1. Сбор исходных данных об ИСПДн:
      • перечень персональных данных и систем, обрабатывающих эти данные;
      • цели обработки персональных данных;
      • состав и объем персональных данных.
    2. Оказание консультационных услуг по классификации ИСПДн. Классификация ИСПДн проводится в соответствии с "Порядком проведения классификации информационных систем персональных данных" утвержденным совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года N 55/86/20.
    3. Помощь в оформлении уведомления уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных. Согласно Закону Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
    4. Анализ существующей ИСПдн:
      • категории, объем и требования к характеристиками безопасности информации, обрабатываемой в ИСПДн;
      • имеющаяся организационно-распорядительная документация по защите персональных данных и защите информации в ИВС и ИСПДн;
      • фактическое выполнение требований, определенных в организационно-распорядительных документах;
      • организационная структура подразделений, ответственных за обслуживание ИВС, и обеспечение информационной безопасности;
      • организация физической защиты ресурсов ИВС;
      • организация сетевой инфраструктуры ИВС и каждой из ИСПДн, предоставляемых сетевых и системных сервисах ИВС;
      • серверные платформы, на которых функционируют ИСПДн;
      • автоматизированные рабочие места, входящие в ИСПДн;
      • системное программное обеспечение, входящее в ИСПДн и ИВС;
      • прикладное программное обеспечение ИСПДн;
      • реализованные на данный момент средства защиты информации.
    5. Формирование требований по обеспечению информационной безопасности.

    Требования по информационной безопасности определяются на основании анализа угроз безопасности персональных данных. Данный анализ проводится в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных":

    • идентификация активов ИСПДн;
    • определение угроз безопасности;
    • ранжирование угроз безопасности и выделение актуальных угроз;
    • построение частной модели угроз ИСПДн.

    Сформированные требования будут включены в "Техническое задание на систему защиты персональных данных".

    2 этап работ по защите ПДн

    1. разработка организационно-распорядительной документации, регламентирующей обработку персональных данных в организации;
    • Положение о защите персональных данных, включающее:
      • наименование, адрес организации;
      • цель обработки персональных данных;
      • категории персональных данных;
      • категории субъектов персональных данных;
      • правовое основание обработки персональных данных;
      • перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных;
      • описание мер, которые Оператор обязуется осуществлять при обработке персональных данных, по обеспечению их безопасности при обработке;
      • дата начала обработки персональных данных.
      • срок или условие прекращения обработки персональных данных
    • Положение о подразделении по защите информации;
    • Должностные регламенты лиц, ответственных за защиту персональных данных;
    • План мероприятий по защите персональных данных;
    • План внутренних проверок состояния защиты персональных данных;
    • Форма журнала учёта обращений субъектов персональных данных о выполнении их законных прав;
    • Форма письменного согласия субъектов персональных данных на обработку их данных;
    • Форма электронного журнала обращений пользователей информационной системы к персональным данным
  • разработка технических решений по информационной безопасности. Механизмы безопасности, которые могут быть реализованы в ИСПДн, включают:
    • управление доступом;
    • регистрация и учет;
    • обеспечение целостности;
    • контроль отсутствия не декларированных возможностей;
    • антивирусную защиту;
    • обеспечение безопасного межсетевого взаимодействия ИСПДн;
    • анализ защищенности, обнаружение вторжений.

    По результатам разработки технических решений по защите персональныхданных будет сформирован документ "Технический проект на систему защитыперсональных данных".

  • разработка требований по доработке средств защиты ИСПДн.
  • 3 этап работ по защите ПДн

    • доработка средств защиты ИСПДн;
    • внедрение системы защиты персональных данных:
      • установка и настройка дополнительных средств защиты информации, предусмотренных техническим проектом;
      • контроль реализации требований по информационной безопасности в ИСПДн;

    Итогом работы будет являться полностью настроенная система защиты персональных данных.

    4 этап работ по защите ПДн

    • работы по аттестации ИСПДн на соответствие требованиям ФСТЭК России.

    Результатом данной работы будет являться "Заключение о соответствии ИСПДн требованиям по информационной безопасности".

    5 этап работ по защите ПДн

    • Заключение договора на сопровождение технических средств ИСПДн.
    • Заключение договора на сопровождение средств защиты информации в составе ИСПДн