26.07.2006 Правительством РФ принят Федеральный закон № 152 "О персональных данных", согласно которому все организации, обрабатывающие сведения, относящиеся к персональным данным, не позднее 1 июля 2011 года должны привести свои информационные системы по обработке и защите персональных данных в соответствие с его требованиями.

Целью комплекса услуг, предлагаемого АО СА ОМЕГА, является выполнение требований нормативных документов по защите персональных данных.

Комплекс услуг по защите персональных данных осуществляется в несколько этапов:

1. Обследование систем обработки персональных данных
2. Проектирование системы защиты персональных данных
3. Разработка организационно-распорядительных документов
4. Внедрение системы защиты персональных данных
5. Аттестация системы защиты персональных данных
6. Сопровождение системы защиты персональных данных

Приблизительный перечень проводимых работ и разрабатываемых документов.

Целями работ по обследованию ИСПДн Заказчика являются:

• определение  перечня обрабатываемых персональных данных в организации Заказчика;
• определение перечня информационных систем обработки персональных данных;
• определение состава сотрудников, привлеченных к обработке персональных данных;
• классификация информационных систем обработки персональных данных;
• определение угроз безопасности персональных данных в информационных систем обработки персональных данных;
• определение требований по обеспечению безопасности персональных данных при их обработке в информационных системах.

Перечень мероприятий.

• Определение местоположения фактического размещения подразделений, имеющих доступ к ЛВС.
• Опрос персонала.
• Анкетирование персонала.
• Определение мест и порядка хранения носителей (бумажных и машинных) защищаемой информации.
• Анализ существующего порядка допуска персонала к защищаемой информации.
• Определение возможности доступа к информации с различных сегментов ЛВС.
• Анализ перечня сегментов ЛВС на предмет необходимости доступа к защищаемой информации.
• Определение перечня помещений, в которых необходима циркуляция защищаемой информации.
• Анализ достаточности мер по физической охране помещений.
• Анализ достаточности мер по предотвращению несанкционированного ознакомления с защищаемой информацией на бумажных носителях и экранах видеомониторов.
• Анализ существующей инфраструктуры ЛВС.
• Анализ размещения рабочих станций, серверов, коммутационного оборудования и кабельных коммуникаций.
• Анализ эффективности мер по обеспечению информационной безопасности при организации межсетевого взаимодействия.
• Анализ эффективности мер по обеспечению информационной безопасности при передаче через телекоммуникационные сети общего пользования.
• Проведение инвентаризации технических средств ЛВС.
• Выявление технических средств, способствующих снижению общего уровня защищенности ЛВС (точек беспроводного доступа Wi-Fi, GSM и проч.).
• Выявление информационных ресурсов (в т.ч. хранилищ защищаемой информации) и полномочий на доступ к ним.
• Анализ должностных обязанностей персонала, имеющего доступ к защищаемой информации.
• Проведение инвентаризации программных средств ЛВС.
• Анализ легальности использования программных средств.
• Проведение инвентаризации средств защиты информации в ЛВС.
• Анализ наличия сертификатов соответствия ФСТЭК России на используемые средства защиты информации.
• Определение степеней конфиденциальности защищаемой информации.
• Анализ необходимости обеспечения целостности защищаемой информации.
• Анализ необходимости обеспечения доступности защищаемой информации.
• Уточнение перечня актуальных угроз безопасности информации.
• Определение перечня необходимых мероприятий.
• Определение перечня средств защиты информации, необходимого для обеспечения информационной безопасности.
• Подготовка нескольких вариантов проектов обеспечения информационной безопасности в ЛВС.
• Составление сравнительной таблицы эскизных проектов.
• Экспертная оценка и обоснование выполнения требований ст. 22 Федерального закона №152-ФЗ «О персональных данных».

Перечень документов:

• Инструкция о порядке обработки персональных данных без использования средств автоматизации;
• Инструкция о порядке обработки персональных данных с использованием средств автоматизации;
• Должностные инструкции специалистов, непосредственно осуществляющих обработку персональных данных;
• Должностные инструкции специалистов, обеспечивающих безопасность персональных данных;
• Акт классификации ИСПДн;
• План-схема контролируемой зоны;
• Перечень аппаратных средств из состава основных технических средств и систем, используемых в ИСПДн;
• Перечень средств защиты персональных данных;
• Сертификаты соответствия требованиям безопасности информации на используемые средства защиты;
• Инструкция пользователя ИСПДн;
• Инструкция администратора безопасности ИСПДн;
• Инструкция по организации парольной защиты;
• Инструкция по проведению антивирусной защиты;
• Инструкция по проведению анализа состояния защищенности ИСПДн;
• Инструкция по разграничению доступа к ресурсам ИСПДн при межсетевом взаимодействии;
• Инструкция по изменению списка пользователей ИСПДн и наделению их правами доступа к ресурсам ИСПДн;
• Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИСПДн;
• Порядок организации резервного копирования персональных данных;
• Порядок организации физической охраны ИСПДн;
• Приказ об утверждении списка пользователей ИСПДн;
• Технический паспорт ИСПДн;
• Приказ о назначении администратора безопасности персональных данных;
• Перечня документов Управления, содержащих персональные данные и информационных систем персональных данных;
• Протоколы заседания постоянно действующей  технической комиссии