Вам, как специалисту, поручено разработать концепцию политики защиты данных с целью реализации мер по обеспечению безопасности персональных данных (152-ФЗ, ПП1119, Приказ ФСТЭК России №21 и другие документы). В процессе проведения аудита и формирования политики защиты персональных данных Вы должны решить следующие задачи:
Концепция политики защиты данных, должна предусматривать:
Исходные данные
Научно-исследовательская компания «Демо Лаб» (далее - Оператор) занимается контрактной разработкой и продажей перспективных электронных систем в интересах государственных и коммерческих организаций.
Компания обладает значительной клиентской базой, детальной информацией о партнёрах, заказчиках, клиентах за 10 лет работы. Клиентская база (около 2000 клиентов) составляет основу для деятельности по направлению продаж электронных компонент, но не оказывает влияния на направление системных разработок.
С точки зрения кадрового, бухгалтерского и финансового документооборота компания является типовой для Российской федерации.
Сотрудники (300 человек) могут обмениваться информацией посредством Почты/Email, мессенджеров/WhatsApp. Также у ряда сотрудников есть корпоративные сотовые телефоны, через которые также проходит обмен информацией.
ИСПДн Оператора (клиентская часть приложения, реализующая интерфейс пользователя) функционирует на базе АРМ под управлением ОС MS Windows 10 и состоит из следующих программных компонентов:
ИСПДн предназначены для автоматизации обработки информации:
В ИСПДн одновременно обрабатываются персональные данные менее чем 100000 субъектов персональных данных. Все информационные системы Оператора, кроме ИСПДн Сбис, являются локальными информационными системами, поскольку входящие в ее состав технические средства обработки информации размещены в пределах одного здания. В качестве среды передачи данных используется локальная сеть Оператора.
Информационная система персональных данных Оператора, функционирующая на базе АРМ специалистов кадровой службы, бухгалтерии обрабатывает следующую информацию о сотрудниках:
|
№ п/п |
Название Объекта защиты |
Состав объекта защиты |
|---|---|---|
|
|
|
№ п/п |
Название периметра |
Список |
|---|---|---|
|
|
|
№ п/п |
Название Политики |
Тип политики (Политика защиты данных, Политика защиты данных на агентах) |
Объекты защиты |
Правила срабатывания |
|---|---|---|---|---|
|
|
|
№ п/п |
Правило |
Описание правила |
|---|---|---|
|
|