>  аудит ИС на предмет оценки защищенности ПДн;

>  подготовка необходимых внутренних документов;

>  разработка плана технической защиты;

>  подготовка и подача уведомления в уполномоченный орган.

Передать лицензиату ФСТЭК следующие мероприятия:

>  определение категории информации;

>  определение класса системы;

>  разработка модели актуальных угроз;

>  разработка мер по компенсации угроз.

Если вы решили передать консультантам весь комплекс работ по подготовке вашей ИСПДн к аттестации, то условно проект разделится на два этапа. Один из главных методов снижения затрат – это оптимизация бизнес-процессов и обработки персональных данных в ИС. И второй метод – четкое определение границ ИСПДн, при этом в компании может быть несколько ИСПДн различных классов в рамках единой ИС.

– Реализовать защиту ПДн без затруднения бизнес-процессов, а в некоторых случаях нарушения или остановки бизнес-процессов, практически невозможно (вернее, возможно, но для этого требуется огромное количество денег).

– Да, безусловно, одно из основных требований руководства к ИТ- и ИБ-службам – это обеспечение непрерывности бизнеса. В различных компаниях уровень автоматизации бизнес-процессов может колебаться от 10 до 99%, и с повышением автоматизации требования к ИТ-технологиям, используемым в ИС, ужесточаются. В некоторых информационных системах бизнес-процессы действительно могут быть усложнены, хотя вариантов избежать этого достаточно много. Чтобы правильно и безболезненно для организации подчистить все бизнес-процессы избыточного и, как правило, неоправданного использования персональных данных, желательно обратиться к профессионалам.

– Какие ПК попадают в классификацию ИСПДн? Нужно ли классифицировать все ПК, имеющие доступ к серверу (в которых база не хранится, а только открывается – для обработки, просмотра и т.д.)?