современные технологии
для защиты вашего бизнеса

Статьи

Главная Библиотека Статьи
  • О государственной тайне

    Защита государственной тайны

    С начала девяностых годов, когда начались экономические и политические преобразования в Российской Федерации, сама жизнь поневоле привела к неизбежному выводу - система защиты государственной тайны,основанная на принципе тотальной закрытости, не соответствует потребностям и реалиям сегодняшнего дня. Реструктуризация экономики, массовое акционирование государственных предприятий, появление организаций с участием иностранного капитала, дробление крупных промышленных предприятий на более мелкие структуры различной формы собственности - все это требовало изменения в подходах к организации работ, связанных с использованием сведений, составляющих государственную тайну. Было необходимо создать новую систему защиты информации, основанной на балансе интересов государства, общества и отдельного гражданина (а не интересов только государства, как было ранее).

    Кардинальная перестройка системы защиты охраняемых государством сведений началась с принятием в 1993 году Закона РФ "О государственной тайне". Статья 27 закона ввела в действие один из важнейших механизмов управления допуском к государственной тайне и ее защитой – лицензирование предприятий на право выполнения соответствующих работ. Выдача лицензий осуществляется на основании результатов специальной экспертизы и государственной аттестации руководителей. В ходе экспертизы исследуется фактическое состояние работ по защите информации на лицензируемом объекте, уровень квалификации работников, соответствие установленного порядка защиты требованиям нормативных документов, а также прогнозируется способность предприятия нормально функционировать в период срока действия лицензии. Специальная экспертиза должна не только фиксировать недостатки и нарушения, но и предупреждать их возникновение, выявляя и устраняя ошибки и слабые места в организации и фактическом обеспечении работ, ставить задачи по анализу причин возникновения и поиску путей устранения типовых проблем в сфере защиты государственной тайны.

    Лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, расходы по проведению которых относятся на счет предприятия, учреждения, организации, получающих лицензию.

    Постановление Правительства РФ от 1995 года № 333 определяет порядок лицензирования. Любая организация, работающая по каким-либо секретным технологиям государственного значения, прежде всего, обязана получить на право проведения таких работ соответствующую лицензию. Таким образом, лицензирование деятельности предприятий на право работ со сведениями, составляющими государственную тайну, становится одним из основных средств объединения усилий заинтересованных государственных органов в построении новой системы защиты информации.

    Таким образом, лицензирование деятельности предприятий, учреждений и организаций, осуществляющих работы, связанные с использованием сведений, составляющих государственную тайну, выступает в качестве механизма, с помощью которого обеспечивается государственное регулирование в этой области.

    В силу ряда объективных и субъективных обстоятельств, далеко не всегда предприятие имеет возможность самостоятельно организовать и провести весь комплекс мероприятий по созданию условий для работы с государственной тайной. В этом случае целесообразно привлечь к этой работе, на договорной основе, специализированную организацию, имеющую право на осуществление мероприятий и оказание услуг по защите государственной тайны.

    Одной из таких организаций в Санкт-Петербурге является ООО "СпецПроект". Обратившись к нам за помощью, вы получите профессиональную помощь в создании или совершенствовании системы защиты государственной тайны. Вы можете быть уверены, что вашим вопросом займутся опытные специалисты, прошедшие специализированное обучение и имеющие большой опыт в проведении указанных работ.

    Грамотно организованная и полностью реализованная подготовка предприятия к процессу лицензирования, несомненно, будет залогом успешного его прохождения и нормального функционирования режима защиты государственной тайны в дальнейшем.

  • О системе защиты гостайны

    Государственная система защиты государственной тайны в Российской Федерации

    Надежная защита сведений, составляющих государственную тайну, требует от государства разработки и реализации комплекса политических, экономических, организационно-правовых, инженерно-технических, разведывательных, контрразведывательных и иных мер, которые, образуя в своей совокупности четко отлаженную систему, в наибольшей степени способствовали бы качественной защите секретных сведений.

    Действенность системы защиты государственной тайны в стране зависит от эффективности решения задач в сфере обеспечения сохранности секретов всеми государственными органами: законодательными, исполнительными и судебными. Особое место в рассматриваемой системе занимают органы защиты государственной тайны, которые организуют и обеспечивают защиту государственных секретов в соответствии с функциями, возложенными на них законодательством РФ.

    Их особенность заключается в том, что они, с одной стороны, являются составной частью системы и осуществляют мероприятия по защите государственной тайны, а с другой, - организуют эту систему и осуществляют контроль за ее действенностью.

    В государственную систему защиты государственной тайны входят:

    • Структурные и межотраслевые подразделения по защите информации органов государственной власти;
    • Специальные центры, подчиненные в специальном отношении ФСТЭК России, Минобороны России, ФСБ России;
    • Головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации органов государственной власти, в пределах своей специализации разрабатывающие научные основы и концепции, проекты федеральных программ по защите информации;
    • Предприятия, проводящие работы с использованием сведений, составляющих государственную тайну;
    • Предприятия, специализирующиеся на проведении работ в области защиты сведений, составляющих государственную тайну;
    • Высшие учебные заведения и институты повышения квалификации по подготовке и переподготовке кадров в области защиты государственной тайны и защиты информации.

    В интересах охраны государственных секретов устанавливается общегосударственная система организационно-правовых, воспитательных, инженерно-технических, специальных и других мер. Исходя из того, что обеспечение сохранности информационных ресурсов страны стало одним из главных направлений государственной политики в сфере информатизации, защита государственной тайны теперь основное направление обеспечения государственной безопасности.

    В связи с этим актуальным является правильная организация защиты государственной тайны в Российской Федерации, т.е. создание и эффективное функционирование системы ее защиты. Речь идет о совокупности участвующих в обеспечении сохранности секретов органов, используемых ими средств и методов защиты информации ограниченного доступа, их носителей, а также мероприятий, проводимых в этих целях.

  • О лицензиях на гостайну

    О лицензиях на гостайну

    В соответствии со ст. 27 Закона Российской Федерации "О государственной тайне" допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на право проведения работ со сведениями соответствующей степени секретности. Лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока. Таким образом, лицензирование деятельности предприятий, учреждений и организаций, осуществляющих работы, связанные с использованием сведений, составляющих государственную тайну, выступает в качестве механизма, с помощью которого обеспечивается государственное регулирование в этой области.

    Порядок получения лицензий в области защиты государственной тайны отражен в "Положении о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны", утвержденном постановлением Правительства РФ от 16 апреля 1995 года № 333.

  • О расходах при лицензировании

    О расходах при лицензировании

    Обязательные платежи предприятия – заявителя:

    • первый — за получение каждой лицензии – 2600 рублей;
      — за продление и переоформление каждой лицензии – 200 рублей (с 1 марта 2010 года);
    • второй - согласно договору о проведении специальной экспертизы. Сумма зависит от условий предприятия и становится известной только после анализа заявительных документов предприятия и расчета трудоемкости проведения специальной экспертизы.

    Но для предприятия возможны еще два платежа:

    • если руководитель предприятия примет решение учиться в учебном заведении в зачет государственной аттестации, то он в этом учебном заведении оплатит свою учебу. Отношения руководителя предприятия и руководства учебного заведения носят договорный (между ними) характер;
    • все объекты информатизации должны быть аттестованы на соответствие установленным нормам и требованиям по защите информации для проведения работ со сведениями, соответствующей степени секретности. По результатам аттестации дается разрешение (аттестат соответствия) на обработку секретной информации на данном объекте. Аттестат соответствия выдается только организацией, аккредитованной ФСТЭК России в качестве органа по аттестации. Отношения предприятия - заявителя с организацией, аккредитованной в качестве органа по аттестации, также носят договорный характер.
  • О специальных экспертизах

    О специальных экспертизах

    «Органами, уполномоченными на ведение лицензионной деятельности, являются:

    • по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, - Федеральная служба безопасности Российской Федерации и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (за рубежом);
    • на право проведения работ, связанных с созданием средств защиты информации, - Федеральная служба по техническому и экспортному контролю, Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации, Федеральная служба безопасности Российской Федерации (в пределах их компетенции);
    • на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны - Федеральная служба безопасности Российской Федерации и ее территориальные органы, Федеральная служба по техническому и экспортному контролю, Служба внешней разведки Российской Федерации (в пределах их компетенции).

    Лицензии выдаются на основании результатов специальных экспертиз предприятий и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну (далее именуются - руководители предприятий), и при выполнении следующих условий:

    • соблюдение требований законодательных и иных нормативных актов Российской Федерации по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
    • наличие в структуре предприятия подразделения по защите государственной тайны и необходимого числа специально подготовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения защиты государственной тайны;
    • наличие на предприятии средств защиты информации, имеющих сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

    Специальная экспертиза предприятия проводится путем проверки выполнения требований нормативно-методических документов по режиму секретности, противодействию иностранным техническим разведкам и защите информации от утечки по техническим каналам, а также соблюдения других условий, необходимых для получения лицензии.

    Государственными органами, ответственными за организацию и проведение специальных экспертиз предприятий, являются Федеральная служба безопасности Российской Федерации, Федеральная служба по техническому и экспортному контролю, Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации, другие министерства и ведомства Российской Федерации и Государственная корпорация по атомной энергии "Росатом", руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий.

    Для проведения специальных экспертиз эти государственные органы могут создавать аттестационные центры, а также привлекать в установленном порядке предприятия, которые получают лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну, а также на осуществление мероприятий и (или) оказание услуг по защите государственной тайны. Требования к данным предприятиям (аттестационным центрам) определяются органами, уполномоченными на ведение лицензионной деятельности.

    Таким аттестационным центром является Общество с ограниченной ответственностью «Региональный аттестационный центр «ПромЭксперт» (ООО «РАЦ «ПромЭксперт»).

    ООО «РАЦ «ПромЭксперт» осуществляется свою деятельность на основании лицензий выданных Управлением ФСБ России по Санкт-Петербургу и Ленинградской области:

    • на осуществление работ, связанных с использованием сведений, составляющих государственную тайну, от 12 августа 2009 года № 4481, со сроком действия до 12 августа 2014 года;
    • на осуществление мероприятий и (или) оказание услуг по защите государственной тайны, от 12 августа 2009 года № 4482, со сроком действия до 12 августа 2014 года;
    • на осуществление мероприятий и (или) оказание услуг по защите государственной тайны, в части касающейся, проведения специальных экспертиз, от 18 сентября 2009 года № 4543, со сроком действия до 18 сентября 2014 года.

    В соответствии со статьей 27 Закона РФ от 21 июля 1993 года № 5485-1 «О государственной тайне» расходы по проведению специальных экспертиз относятся на счет предприятия, учреждения, организации, получающих лицензию.

  • Об аттестации руководителей предприятий

    Об аттестации руководителей предприятий

    Статья 27 Закона РФ "О государственной тайне" : "Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляются путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности. Лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну..."

    Решением от 13 марта 1996 года № 3 Межведомственная комиссия по защите государственной тайны утвердила и ввела в действие "Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий, учреждений и организаций, ответственных за защиту сведений, составляющих государственную тайну".

    В соответствии с п.11 Положения "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны", утвержденного постановлением Правительства Российской Федерации от 15.04.1995 г. № 333, руководители предприятий, имеющие документ об образовании и (или) о квалификации, выданный организацией, осуществляющей образовательную деятельность, включенной в перечень, определяемый Межведомственной комиссией, считаются прошедшими государственную аттестацию, если со времени окончания организации, осуществляющей образовательную деятельность, прошло не более 5 лет.

    Учебный центр "СпецПроект" включен в "Перечень организаций, осуществляющих образовательную деятельность, по окончании которых выдается документ об образовании и (или) о квалификации, дающий право руководителям организаций, ответственным за защиту сведений, составляющих государственную тайну, считаться прошедшими государственную аттестацию", утвержденный Решением Межведомственной комиссии по защите государственной тайны от 28 апреля 2015 г. № 305.

  • Что такое персональные данные?

    Согласно ст.3 Федерального закона "О персональных данных" под персональными данными следует понимать любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его:

    • фамилия, имя, отчество;
    • год, месяц, дата и место рождения;
    • адрес;
    • семейное, социальное, имущественное положение;
    • образование, профессия;
    • доходы;
    • другая информация.

    Закон выделяет отдельный класс общедоступных персональных данных - это персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

    Вывод: под персональными данными следует понимать любую информацию, позволяющую идентифицировать человека и/или получить о нем дополнительную информацию. Любой список сотрудников вашего предприятия, напечатанный на бумаге или хранимый в файле на диске - это персональные данные и их надо защищать.

    Любые действия с персональные данными называются обработкой. Эти действия совершает оператор персональных данных.

  • Что такое оператор и обработка персональных данных?

    Федеральный Закон "О персональных данных вводит следующие определения:

    • оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
    • обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
    • распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
    • использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
    • блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
    • уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
    • обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
    • информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
    • конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
    • трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
  • Что такое ИСПДн?

    Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. (Федеральный закон от 27.07.2006 N 152-ФЗ"О персональных данных").

    В зависимости от обрабатываемой в ИСПДн информации и ее объемов, ей присваивается класс и оформляется акт классификации в соответствии с Приказом об утверждении порядка проведения классификации информационных систем персональных данных.

  • Как защищать персональные данные?

    В данном разделе нам хотелось бы рассказать о необходимых мероприятиях по защите персональных данных. Для проведения большинства из них, даже только для нужд собственной организации, требуется наличие соответствующих лицензий. Вы можете пройти процедуру лицензирования, получить их и заняться защитой персональных данных самостоятельно.

    Если вам дорого время и ресурсы, то вы можете обратиться к нам. Группа компаний "СпецПроект" имеет все необходимые лицензии для защиты персональных данных.

    Любой оператор, осуществляющий обработку персональных данных, столкнувшись с проблемой необходимости выполнения требований ФЗ-152 по обеспечению безопасности персональных данных, неизбежно задается вопросом - как защищать персональные данные. Вопрос этот является, пожалуй, самым актуальным на сегодняшний день и требует профессионального подхода в поисках решения.

    При построении системы защиты ПДн, как правило, выделяют две основополагающие части — это разработка и реализация организационных мер по обеспечению безопасности персональных данных и внедрение (эксплуатация) технических, программно-аппаратных средств защиты персональных данных.

    Организационные меры по защите персональных данных являются первостепенными при проектировании системы защиты ПДн и в отдельных случаях, при отсутствии автоматизированной обработки ПДн, могут являться достаточными для обеспечения должного уровня безопасности персональных данных. К подобным мерам, главным образом, относятся:

    • разработка организационно-распорядительной документации, регламентирующей процесс сбора, хранения, обработки и иных действий с ПДн;
    • разработка перечня мероприятий, необходимых для построения эффективной системы защиты персональных данных.

    Технические меры обеспечения безопасности персональных данных заключаются в предотвращении несанкционированного воздействия (кража, модификация, блокирование и т.д.) на персональные данные путем доступа к ним по средствам технических каналов, возникающих при автоматизированной обработке ПДн.

    При обработке ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, при этом важно учитывать к какому классу относится рассматриваемая информационная система персональных данных и какие угрозы безопасности ПДн являются актуальными согласно разработанной модели угроз безопасности ПДн. Основным требованием, предъявляемым к техническим средствам обеспечения безопасности ПДн, является наличие сертификата ФСТЭК России, подтверждающего соответствие данного продукта требованиям руководящих документов в области защиты информации.

  • Какие нужны средства защиты?

    Средства защиты персональных данных

    Использование технических, программных и программно-аппаратных средств защиты ПДн является важным и неотъемлемым элементом построения эффективной системы обеспечения безопасности ПДн при их автоматизированной обработке.

    Современный рынок средств защиты информации предоставляет огромное количество разнообразных технических решений, реализующих защитные механизмы тем или иным методом. Все они в равной степени имеют плюсы и минусы, проявляющиеся в процессе эксплуатации.

    Однако, определяющим требованием к средствам защиты информации, в соответствии с федеральным законодательством в области защиты информации и п. 13 г) Постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», является наличие сертификата ФСТЭК России, удостоверяющего соответствие технического продукта требованиям руководящих документов по защите информации. Таким образом, выбирая средство защиты информации для реализации технических мер по обеспечению безопасности ПДн, необходимо руководствоваться Государственным реестром средств защиты информации, сертифицированных по требованиям безопасности информации ФСТЭК России.

  • Какие лицензии требуются?

    Лицензирование деятельности по защите персональных данных

    Технические меры защиты информации предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов организации.

    Технические средства защиты информации делятся на два основных класса:

    • средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации, антивирусная защита, межсетевые экраны, средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
    • средства защиты информации от утечки по техническим каналам (использование экранированных кабелей, установка высокочастотных фильтров на линии связи, установка активных систем зашумления и т.д.).

    В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

    • для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности (техническая защита конфиденциальной информации);
    • требуется тщательное обследование информационных ресурсов организации в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите, определение состава и структуры каждой информационной системы ПДн (ИСПДн), анализ уязвимых звеньев и возможных угроз безопасности ПДн, оценка ущерба от реализации угроз безопасности ПДн, анализ имеющихся в распоряжении мер и средств защиты ПДн).

    На основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн, определение класса информационных систем ПДн, при необходимости обосновывается использование средств шифрования).

    Далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн, согласование документов с регуляторами, разработка технического задания на создание системы защиты ПДн, развертывание и ввод в эксплуатацию системы защиты ПДн), аттестация информационных систем ПДн по требованиям безопасности информации. Работы по аттестации выполняются при наличии соответствующей лицензий ФСТЭК(на техническую защиту конфиденциальной информации).

  • Санкции за невыполнение требований по защите персональных данных

    Невыполнение требований по обработке и защите персональных данных может привести к приостановке основной деятельности, судебным разбирательствам и прочим неприятностям.

    В этом разделе мы собрали воедино информацию из действующих кодексов Российской Федерации.

  • Какие мероприятия необходимы?

    Мероприятия по защите персональных данных

    На сегодняшний день сказано и написано достаточно о том как можно обеспечить безопасность персональных данных при автоматизированной обработке. Однако, при таком разнообразии информации легко запутаться, определяя, что является важным при построении эффективной системы защиты персональных данных.

    Специалисты в области защиты информации выделяют основные этапы построения системы обеспечения безопасности персональных данных.

    Первым этапом является аудит персональных данных. Данный этап включает в себя обследование и разработку заключения по оценке уровня защищённости ПДн на предприятии, в том числе проведение следующих мероприятий:

    • оценка соответствия существующих информационных процессов требованиям действующего законодательства в области обеспечения безопасности ПДн;
    • анализ существующих правил организации защиты информации;
    • подготовка перечня необходимых документов, регламентирующих систему защиты ПДн;
    • разработка перечня первостепенных мер по обеспечению безопасности ПДн и построению эффективной защиты информации.

    Одной из наиболее важных целей аудита ПДн является возможность оценить величину финансовых затрат предприятия на построение системы защиты персональных данных, отвечающей требованиям федерального законодательства.

    Второй этап – разработка документации по защите информации, содержащей персональные данные, в соответствии с требованиями законодательства РФ.

    Следующим этапом можно выделить разработку технического решения по обеспечению безопасности персональных данных.

    Четвертым этапом является внедрение технических, программных и программно-аппаратных средств защиты информации, в содержащие ПДн автоматизированные системы, в соответствии с требованиями ФСБ России и ФСТЭК России.

    Следующей ступенью построения и реализации системы защиты персональных данных является внедрение нормативной документации, регламентирующей доступ к информации, содержащее ПДн, ее сбор, хранение, распространение, использование и уничтожение в соответствии с требованиями действующего законодательства.

    Заключительным этапом построения системы защиты персональных данных на предприятии является аттестация информационных систем на соответствие требованиям действующего законодательства, руководящих и других нормативных документов, в результате которой предприятию выдается аттестат соответствия на информационную систему.