Соответствие требованиям
152-ФЗ

Соответствие ФЗ «О персональных данных»

Подробнее

Соответствие требованиям 152-ФЗ

Если в вашей компании есть хотя бы пара сотрудников и вы собираете у клиентов контакты для рассылок, архива или других нужд, значит вы должны проверить свою компанию на соответствие требованиям 152ФЗ.

Что такое персональные данные?

Любые данные, позволяющая идентифицировать или охарактеризовать его личность можно назвать персональными. Когда Ваш кадровый специалист, заносит в базу паспортные данные нового сотрудника, согласно законодательному определению он занимается обработкой персональных данных, которые формируются в информационную систему персональных данных (ИСПДн).

Ваша информационная система должна соответствовать определенным требованиям, чтобы обеспечить безопасное хранение и конфиденциальность персональных данных.

Чтобы классифицировать вашу ИСПДн, нужно определить два критерия, а позже выбрать класс защищенности

  • категорию обрабатываемых ПД. ПД бывают специальными (раса, национальность, религия, сексуальная ориентация), биометрическими (отпечатки пальцев, ДНК и др факторы, по которым можно установить личность), общедоступными (те, которые без труда можно найти, например, в справочнике или интернете) и иные (все данные, которые нельзя причислить ни к одной из вышеперечисленных групп).
  • объем обрабатываемых ПД. 3 варианта: до 100 тыс., более 100 тыс., и данные сотрудников Оператора, не ограниченные не объему.

К4 — самый «легкий» класс, означающий, что в системе не собирается и не обрабатывается критически важных сведений, утечка которых повлечет сколько нибудь негативных последствий для владельца ПД.

К3 — нарушения в подобной ИС могут повлечь за собой небольшие негативные последствия.

К2 — нарушения повлекут серьезные проблемы.

К1 — и, соответственно, самый высокий класс, незащищенность которого может привести к серьезным последствиям для субъекта ПД.

Налаживание процесса защиты персональных данных в организации

К процессу защиты каждый относится с разным уровнем серьезности. Некоторые не делают ничего и надеются, что проверка их никогда не настигнет, другие скачивают шаблоны необходимых документов, редактируют под свои данные и считают, что этого достаточно. Третьи отдают хранение данных на откуп провайдера и думаю, что подобный подход освобождает их от ответственности. Что, конечно же, не так. Провайдер, конечно, может обеспечивать хранение и уничтожение персональных данных, но за сбор и обработку все ещё отвечает Операторт.е. компания.

Чтобы соответствовать 152ФЗ, оптимальным выходом станет выстраивание защищенного от атак периметра вокруг данных внутри компании.

Начать стоит с подбора комиссии, которая проведет анализ ИС персональных данных. Результатом их работы станет присвоение ИС класса, в зависимости от хранимых и обрабатываемых в ней данных, а также выстроить модель угроз, которые могут ей грозить и оценить, насколько она защищена.

После выстроить систему мер по противодействию от выявленных угроз и провести итоговую аттестацию.

Выявление перечня возможных угроз для ИС

Начать стоит с определения текущего уровня защиты ИС. После этого потребуется разработать перечень возможных угроз. Вероятность осуществления каждой из определенных в ходе анализа угроз определяется с помощью эксперта.

После составления списка всех возможных для системы угроз, эксперт рассчитывает для каждой коэффициент реализуемости. Т.е. в цифровых значениях показывает, насколько вероятно, что система действительно окажется под действием данной угрозы и насколько серьезный вред эта угроза может системе нанести. Самые маловероятные отсеиваются. После этого список анализируется повторно и из него выводится список угроз, актуальных для конкретной информационной системы, для которой выстраивается система защиты.

После того, как вы знаете, что в теории может угрожать вашей информационной системе, пора подумать о том, как обезопасить себя от каждого возможного типа атакПора приступить к разработке списка действий и способов защиты ИС.

Далее общий перечень актуализируетсяиз него удаляются все защитные средства и мероприятия, которые не могут быть осуществлены в текущей ИС. Когда перечень актуализирован, его необходимо соотнести со списком актуальных угроз, которые выявлялись на предыдущем этапе. Если какаято угроза не нейтрализована мерами из списканеобходимо дополнить его дополнительными защитными мероприятиями. И так до тех пор, пока в списке не останется ни одной  «незакрытой» угрозы.

Выбор и поставка СЗИ

Опираясь на составленный актуальный список мер и требований к ИСПДн нужно выбрать, закупить и установить специализированные СЗИ, а также разработать комплекс системных правил, требований и мер, необходимых для того, чтобы все пункты составленного вами списка были выполнены. Формируется проект защиты информации.

Реализовать данный проект вам поможет компания  ITCOM Security. За 5 лет на рынке ИБ внутри компании накопился огромный опыт реализации комплексных мер для защиты информации.

Специалисты помогут подобрать специализированное программное обеспечение и СКЗИ, а также разработать весь необходимый пакет бумаг (политики, инструкции, положения). После этого этапа работы, все процессы защиты информации будут налажены в полном соответствии с требованиями ФЗ 152.

Оставьте заявку на сайте и менеджеры нашей компании ответят на все вопросы и рассчитают для вас коммерческое предложение с перечнем услуг, которые будут необходимы вашей компании для соответствия 152ФЗ.

Стоимость

Для получения консультации и просчета стоимости услуги по Вашим параметрам, оставьте заявку на сайте, и наш менеджер свяжется с Вами в течение нескольких минут.

Преимущества работы с нами

Статус нашей компании подтвержден лицензиям ФСТЭК и ФСБ
В нашем штате работают только сертифицированные специалисты с многолетним опытом работы
Мы являемся партнерами «Лаборатория Касперского», Infotecs, AXOFT и других ведущих компаний
Мы оказываем широкий спектр услуг: от оценки до комплексного обеспечения ИБ компании
Нашими клиентами являются ЦЗН г. Краснодара, ГБУ ЛО «МФЦ», ФГУП «ФЭО» Росатом и др.
Индивидуальный подход к каждому клиенту

Консалтинг ИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Заказать обратный звонок