Общие положения
-
Сведения о персональных данных, включенных в область работ
-
В область работ должны быть включены персональные данные, обрабатываемые Заказчиком в рамках ведения бухгалтерского и кадрового делопроизводства.
-
В область работ должны быть включены только следующие категории субъектов персональных данных:
работники.
-
Сведения о процессах обработки персональных данных, включенных в область работ
-
В область работ должны быть включены все процессы обработки персональных данных субъектов, указанных в п. 15.1.
-
Сведения об объектах, входящих в область работ
-
Работы по обследованию процессов обработки ПДн (состав работ см. в п. 17.2) проводятся удаленно, путем отправки опросных форм и заполнения их работниками Исполнителя, а также интервьюированию по телефонной связи и электронной почте, на следующем объекте Заказчика:
-
Результаты, предоставленные Исполнителем по итогам обследования процессов обработки ПДн для типовых объектов, могут быть тиражированы Заказчиком на остальные объекты без привлечения специалистов Исполнителя, либо с привлечением – на основе дополнительных соглашений между Сторонами.
-
Работы по разработке вариантов проектных решений по созданию системы защиты персональных данных (состав работ см. в п. 17.3) проводятся на следующем объекте Заказчика:
-
Результаты, предоставленные Исполнителем по итогам разработки вариантов проектных решений по созданию системы защиты персональных данных для типовых объектов, могут быть тиражированы Заказчиком на остальные объекты без привлечения специалистов Исполнителя, либо с привлечением – на основе дополнительных соглашений между Сторонами.
-
Цели и задачи работ
-
Целью проекта является приведение процессов обработки ПДн и систем обработки персональных данных Заказчика в соответствие требованиям действующего законодательства РФ (см. п. 14) в области обработки и защиты персональных данных. Частные цели проекта:
оценить текущее состояние процессов обработки ПДн, а также информационных систем (в т.ч. уровень их защищенности), задействованных в обработке ПДн.
составить заключение о степени выполнения требований законодательства РФ, а также руководящих документов ФСТЭК России и ФСБ России, в области обработки и защиты персональных данных в компании Заказчика.
составить рекомендации и определить дальнейшие организационные и технические мероприятия по приведению процессов обработки и информационных систем персональных данных Заказчика в соответствие требованиям законодательства РФ, а также руководящих документов ФСТЭК России и ФСБ России, в области обработки и защиты персональных данных.
разработать комплект документации, необходимой для выполнения требований законодательства РФ, а также руководящих документов ФСТЭК России и ФСБ России, в области обработки и защиты персональных данных, в частности для предъявления регулирующим органам (Роскомнадзор, ФСТЭК России, ФСБ России) при проведении проверок;
разработать различные варианты построения системы защиты персональных данных Компании (далее – СЗПДн).
-
Для достижения поставленных целей Исполнитель должен провести работы по решению следующих задач, разделенных на стадии:
-
Стадия 1. Обследование процессов обработки ПДн:
выявление всех внутренних и внешних (взаимодействие с третьими сторонами) процессов обработки ПДн, осуществляемых как с использованием, так и без использования средств автоматизации;
выявление подразделений и отдельных лиц компании, Заказчика, участвующих в обработке ПДн;
выявление состава и объема обрабатываемых ПДн, а также определение целей и правовых оснований обработки этих сведений;
выявление категорий субъектов ПДн, чьи данные обрабатываются в компании Заказчика;
выявление и документирование информационных систем, в которых производится обработка ПДн, как и с использованием средств автоматизации, так и без использования таковых;
разработка моделей угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
проведение классификации информационных систем персональных данных;
разработка рекомендаций и мероприятий по приведению процессов обработки персональных данных Заказчика в соответствие требованиям законодательства РФ;
-
Стадия 2. Разработка вариантов проектных решений по созданию СЗПДн:
разработка Эскизного проекта СЗПДн, включающего несколько вариантов проектных решений;
разработка проектов организационно-распорядительных документов, регламентирующих правила обработки и защиты персональных данных в компании Заказчика;
-
Состав, порядок выполнения и результаты работ по этапам проекта
-
Общие положения
-
Работы по проведению обследования информационных систем, содержащих персональные данные, техническому проектированию (эскизный проект) системы защиты персональных данных и разработке организационно-распорядительной документации должны состоять из 6 этапов, согласно Календарному плану оказания услуг (Приложение № 1 к Договору).
-
Стадия 1. Обследование процессов обработки ПДн
-
На данной стадии проекта выполняются следующие работы:
-
Этап 1. Инициация проекта и предоставление Заказчиком первичных сведений об объекте обследования (заполнение опросных форм 1-го потока2 и сбор необходимой документации)
Цель этапа:
получить путем анкетирования Заказчика информацию, необходимую для первичного ознакомления с областью предстоящих работ, а также для дальнейшего анализа при планировании и выполнении работ по проекту.
проводится инициирующая встреча проектных команд Исполнителя и Заказчика, на которой проводится презентация предстоящего проекта, определяется и согласуется схема коммуникаций Заказчика и Исполнителя в ходе проекта, а также Заказчику передается перечень документации, которую необходимо предоставить для анализа и опросные формы для заполнения;
специалисты Исполнителя оказывают консультационную помощь в сборе первичных сведений об объекте обследования - заполнении опросных форм и сборе необходимой документации;
после предоставления Заказчиком первичных сведений специалисты Исполнителя проводят проверку корректности и полноты заполнения опросных форм и предоставленной документации.
официальный старт проекта;
согласована схема коммуникаций Заказчика и Исполнителя в ходе проекта;
Исполнителем получены от Заказчика заполненные опросные формы и необходимая для документация для анализа.
-
Этап 2. Анализ первичных сведений и планирование работ на объектах Заказчика
Цель этапа:
Составить представление о составляющих элементах процессов обработки персональных данных (физические объекты, подразделения, информационные системы, персональные данные, обеспечение безопасности и т. д.) и на основе полученной информации спланировать дальнейшие работы по обследованию процессов обработки ПДн непосредственно на объектах Заказчика.
специалисты Исполнителя анализируют полученные от Заказчика опросные формы и документацию, разрабатывают документ «План выполнения работ на объектах Заказчика», включающий первичный график интервьюирования специалистов Заказчика.
Исполнителем получено представление об элементах организационной, ИТ и ИБ инфраструктурах Заказчика, в которых производится обработка ПДн;
согласован первичный график интервьюирования специалистов Заказчика;
специалисты Исполнителя и Заказчика готовы к изучению процессов обработки ПДн непосредственно на объектах Заказчика.
-
Этап 3. Изучение процессов обработки ПДн на объектах Заказчика
Цель этапа:
собрать всю необходимую информацию о процессах обработки ПДн и зафиксировать текущее состояние указанных процессов.
в соответствии с первичным графиком интервьюирования специалистами Исполнителя проводится интервьюирование сотрудников бизнес-подразделений Заказчика, участвующих в обработке персональных данных, сотрудников занимающихся контролем и обеспечением ИТ-инфраструктуры и информационной безопасности, анализ дополнительной документации, выявленной в ходе проведения интервью;
результаты проведения каждого интервью обобщаются в протоколе проведения интервью и согласовываются с интервьюируемым специалистом Заказчика.
специалистами Исполнителя получена и документирована вся необходимая информация об элементах процессов обработки ПДн (персональные данные, сотрудники, физические носители, места хранения, технические и программные средства обработки, третьи стороны и т.д.), являющаяся основой для разработки отчетной документации и всех дальнейших мероприятий;
с представителями Заказчика согласовано состояние процессов обработки ПДн на момент завершения работ на объектах Заказчика, зафиксированное в Протоколах проведения интервью.
-
Этап 4. Анализ собранной информации и разработка отчетной документации
Перед началом работ по данному этапу Заказчику направляются опросные формы 2-го потока, которые уже содержат информацию по элементам процессов обработки ПДн, полученную на первой этапе. Заказчику необходимо предоставить детализированную информацию по указанным элементам, необходимую для разработки некоторых технических отчетных документов.
Цель этапа:
документально зафиксировать и согласовать с Заказчиком результаты проведенных мероприятий по обследованию процессов обработки персональных данных, включающие заключение о степени выполнения требований законодательства РФ в области ПДн, а также рекомендации по составу необходимых для проведения мероприятий по организации корректной обработки и защиты персональных данных.
специалисты Исполнителя разрабатывают и согласовывают с Заказчиком отчетные документы.
Отчет «Результаты обследования процессов обработки ПДн в Компании», включающий в себя следующие приложения:
-
Приложение А. Оценка степени выполнения требований законодательства РФ;
-
Приложение Б. Рекомендуемый перечень мероприятий в рамках обработки ПДн;
-
Приложение В. Оценка степени выполнения требований по информационной безопасности в ИСПДн Компании;
-
Приложение Г. Перечень ПДн, обрабатываемых в Компании;
-
Приложение Д. Перечень подразделений и лиц, допущенных к работе с персональными данными, обрабатываемыми в Компании;
-
Приложение Е. Перечень ИСПДн Компании (проект документа Заказчика);
-
Приложение Ж. Модели угроз безопасности ПДн при их обработке в ИСПДн Компании (проекты документов Заказчика для каждой ИСПДн);
-
Приложение З. Акты классификации ИСПДн Компании (проекты документов Заказчика для каждой ИСПДн);
-
Приложение И. Протоколы проведения интервью в ходе изучения процессов обработки ПДн в Компании;
-
Приложение К. Документы, полученные от Заказчика и используемые в отчете.
-
Стадия 2. Разработка вариантов проектных решений по созданию СЗПДн
-
На данной стадии проекта выполняются следующие работы:
-
Этап 5. Разработка проектов организационно-распорядительной документации
Цель этапа:
разработать адаптированный пакет организационно-распорядительной документации, соответствующий всем требованиям законодательства, предъявляемым к документационному обеспечению операторов ПДн, отражающий внутренние организационные и инфраструктурные особенности процессов обработки ПДн Заказчика, а также удовлетворяющий требованиям системы документационного обеспечения Заказчика.
специалистами Заказчика и Исполнителя совместно рассматривается структура и состав Базового пакета организационно-распорядительной документации, предложенного Исполнителем. По результатам данного обсуждения Заказчиком принимается решение о составе и структуре пакета организационно-распорядительной документации, необходимой ему, исходя из его потребностей и существующей системы документационного обеспечения;
специалистами Исполнителя разрабатываются и согласовываются с Заказчиком документы, в соответствии с утвержденными ранее составом и структурой.
согласованный с Заказчиком пакет документов, разработанных на основе Базового набора организационно-распорядительной документации:
-
Приказ о распределении ролей и создании комиссии по защите персональных данных в Компании;
-
Приказ об обеспечении безопасности персональных данных, обрабатываемых в Компании.
-
Положение об обеспечении безопасности персональных данных в Компании;
-
Положение об обработке персональных данных в Компании.
-
Перечень персональных данных, обрабатываемых в Компании;
-
Перечень подразделений и лиц, допущенных к обработке персональных данных в Компании.
-
Регламент реагирования на запросы субъектов персональных данных;
-
Регламент проведения классификации информационных систем персональных данных;
-
Регламент проведения контрольных мероприятий по защите персональных данных;
-
Регламент учета, хранения и уничтожения носителей персональных данных;
-
Регламент реагирования на инциденты информационной безопасности в информационных системах персональных данных.
-
Инструкция работника по правилам обработки персональных данных;
-
Инструкция администратора по организации антивирусной защиты систем обработки персональных данных;
-
Инструкция администратора по организации парольной защиты в системах обработки персональных данных.
-
Этап 6. Разработка Эскизного проекта СЗПДн, включающего несколько вариантов проектных решений
Цель этапа:
рассмотреть различные варианты создания СЗПДн Заказчика и выбрать окончательный вариант, наиболее подходящий Заказчику.
специалистами Исполнителя производится разработка возможных вариантов проектных решений по реализации СЗПДн. По каждому из вариантов в обязательном порядке указывается
-
описание реализации подсистем СЗПДн в рамках проектного решения;
-
состав необходимых мероприятий по подготовке к вводу в действие СЗПДн (изменение ИСПДн, изменение процессов обработки ПДн, подготовка персонала и т.п.);
-
предварительный (ориентировочный) расчет стоимости проектного решения.
согласованный с Заказчиком Эскизный проект, включающий несколько вариантов проектных решений по созданию СЗПДн;
Заказчику предоставлена вся информация, необходимая для выбора окончательного проектного решения по созданию СЗПДн.
От Исполнителя
|
От Заказчика
|
|
|
___________________/_________________/
М.П.
|
___________________/_________________/
М.П.
|
|
