Защита персональных данных

Зачем нужна система защиты персональных данных (СЗПДн)

Комплекс мероприятий разного характера, проводимый для активного противодействия возможному несанкционированному доступу к персональным данным, состоящий из управленческих мер, эффективно действующих аппаратных средств защиты, составляет основу эффективно работающей Система защиты персональных данных (СЗПДн).

Целью внедрения надежно работающего комплекса мероприятий является:

- точное соответствие требованиям регулятора о соблюдении положений Федерального закона «О защите персональных данных», положениям утвержденных подзаконных актов, обеспечивающих должный уровень безопасности для используемых персональных данных;

- разработка инструкций, предписывающих выполнение определенных правил при преобразовании используемых ПДн, обеспечивающих их защиту.

  • Решаемые задачи
  • Используемое оборудование
  • Сферы применения

Разработка и внедрение системы защиты персональных данных (СЗПДн) — это ряд мероприятий технического и управленческого характера, ставящих перед собой цель обеспечить комплексную защиту сведений, которые признаются Федеральным Законом от 27.07. 2006 г. N 152-ФЗ персональными данными.

Оператор, которым являются госструктуры и коммерческие предприятия, выполняющие действия по работе с ПДн, заинтересованы в безопасной их обработке, тем самым, признавая необходимость внедрения системы защиты.

Учитывая накопленный при реализации проектов по созданию СЗПДн опыт, представляется возможным определить ряд важных преимуществ от внедрения системы:

На первом месте находится кардинальное снижение как правовых, так и репутационных рисков, возникающих при несоблюдении действующего законодательства относительно сохранности персональных данных.

Вторым важным моментом является тот факт, что научно-обоснованное построение системы защиты позволяет обрабатывать персональные данные сотрудников и клиентов, не опасаясь за их сохранность. Это может стать мощным конкурентным преимуществом при работе с конфиденциальными сведениями частных лиц и информацией, предназначенной лишь для служебного (внутреннего) использования. Грамотно выстроенная СЗПДн легко справляется с наиболее распространенными угрозами – блокирует воздействие вредоносных ПО, предотвращает воровство клиентских баз данных, что часто практикуют уволенные сотрудники.

Третьим фактором, мотивирующим внедрение эффективной СЗПДн, является создание у компании имиджа надежного партнера, которому можно доверять обеспечение конфиденциальности персональных данных.

Как указывают аналитики, частые скандалы, связанные с утечкой конфиденциальной информации, заставляют обращать внимание на систему безопасности при выборе партнера-контрагента. Уже привычными становятся договора о партнерстве либо условия тендера, в которых требуется предоставить задокументированное соответствие СЗПДн действующим нормативным актам.

Не следует забывать, что эффективная СЗПДн обеспечивает непрерывность всех бизнес-процессов в самой компании, устраняет вероятность появления клиентских претензий, обоснованных жалоб со стороны работников, грозных предписания от надзорных органов регулятора.

Этапы выполнения работ по приведению в соответствие 152-ФЗ

1. Инвентаризация, полноценный анализ состояния информационных структур, задействованных в обработке ПДн.

Подобный предпроектный аудит предоставляет объективные сведения о процессах, задействованных при обработке ПДн в компании и мерах по их защите. Специалистами Open Vision в обязательном порядке проводится проверка всей служебной документации, регулярности осуществляемых мероприятий, разработанных для исполнения требований правовой базы относительно безопасности используемых в работе данных ограниченного доступа.

2. Создание концепции системы безопасности, используемой для сохранности персональных данных, предоставление заказчику обоснованных рекомендаций по оптимизации самой обработки ПДн, обеспечению сохранности конфиденциальной информации.

На этом этапе работы квалифицированные специалисты оценивают возможные варианты осуществления проекта, определяют отправные точки для его реализации, устанавливают определенные ограничения по масштабам внедряемого в практику проекта. Определяются основные проблемы, создается обоснование предлагаемых решений. Клиенты получают перечень программно-аппаратных элементов разрабатываемого комплекса защиты информации, с обязательным указанием стоимости по каждому пункту.

3. Уточнение реального уровня защищенности ПДн

В процессе работы определяется возможный тип угроз для защищаемых ПДн, с привязкой к конкретной информационной системе, уточняется предполагаемый состав персональных данных, возможное количество субъектов. Учитывая весь объем полученных сведений, определяется реальное состояние системы безопасности персональных данных.

4. Разработка модели возможных угроз для системы безопасности ПДн, создание модели злоумышленника

Предоставляемый заказчику документ представляет собой систематизированный список возможных угроз для безопасности ПДн при работе с ними в информационных системах персональных данных (ИСПДн). Угрозы безопасности персональных данных (УБПДн) могут возникнуть в результате злонамеренных либо случайных действий физических лиц, деятельности иностранных спецслужб либо специализирующихся на шпионаже организаций, специализированных криминальных группировок, подготавливающих взлом безопасности ПДн, которое затронет права и свободы, как общества, так и государства либо граждан.

5. Разработка Техзадания на строительство СЗПДн

Частное техзадание на построение для определенной информационной структуры СЗПДн определяет ее назначение, преследуемые цели, требования к техническому и организационному обеспечению, план разработки и непосредственного создания СЗПДн.

6. Создание проекта СЗПДн

Создаваемая на этом этапе внедрения СЗПДн проектная документация предусматривает работу, учитывающую предписанные нормативными актами стандарты защищенности данных с ограниченным доступом.

7. Разработка организационно-распорядительной документации

Комплект документов, предписывающих правила обработки, защиты ПДн, состоит из десятков организационно-распорядительных предписаний, которые необходимы для приведения всех процессов по работе и сохранности персональных данных в соответствие с нормативами действующего законодательства.

8. Поставка программно-аппаратных средств информационной защиты

Клиенту поставляются программно-аппаратные элементы для внедрения СЗПДн, прошедшие проверку и соответствующие требованиям законов РФ относительно мер информационной безопасности.

9. Монтаж, настройка СЗИ

На данном этапе внедрения СЗПДн осуществляется монтаж оборудования, инсталлирование программного обеспечения, с соответствующей настройкой. В результате проведенных работ заказчик получает комплект СЗИ, совместимый с применяемой информационной структурой для работы с ПДн.

10. Оценка действенности предпринимаемых мер для создания эффективной защиты персональных данных

Определение эффективности разработанных мер безопасности для данных ограниченного доступа осуществляется до момента запуска СЗПДн в эксплуатацию. Контрольное тестирование системы, работающей в коммерческих структурах, требуется проводить каждые 3 года.

11. Аттестация используемых ИСПДн на соответствие современным требованиям информационной безопасности

Аттестация ИСПДн включает в себя комплекс организационно-технических проверок (аттестационных испытаний), направленных на подтверждение соответствия требованиям информационной безопасности. Предусмотрена для госорганизаций.

рассчитать проект
СЗИ от НСД Dallas Lock
СЗИ от НСД Dallas Lock
Применение СЗИ от НСД Dallas Lock в проектах по защите информации ограниченного доступа помогает привести авто...
Просмотр товара
СЗИ от НСД Secret Net
СЗИ от НСД Secret Net
Secret Net – программный комплекс, предназначенный для защиты компьютерных сетей и узлов от использования неав...
Просмотр товара
Сканер уязвимостей XSpider
Сканер уязвимостей XSpider
Интеллектуальный сканнер XSpider способен выявить максимальное количество уязвимостей в информационной системе...
Просмотр товара
рассчитать проект
рассчитать проект

Внедрение СЗПДн предоставляет следующие преимущества:

1. Выполнение оператором всех норм Федерального закона «О персональных данных», гарантируя соблюдение, тем самым, прав и юридически обоснованных интересов субъектов, чьи данные ограниченного доступа хранятся, преобразуются в информсистемах.

2. Заказчик получает в свое распоряжение разработанный комплекс мер, гарантирующий соответствующий уровень защиты преобразуемых ПДн.

3. Устранение вероятности возникновения претензий со стороны регулятора, уголовной, гражданской и админответственности за невыполнение закона «О персональных данных».

Базовый уровень услуги (аудит)

Что получает клиент

Этапы работы (что необходимо сделать)

  • Отчет, подтверждающий соответствие СЗПДн законодательным нормам, квалифицированные рекомендации по работе
  • Пакет документов, регламентирующий процесс обработки ПДн конкретно в организации заказчика

 

  • Заполнить, предложенные в Open Vision анкеты, ответив на вопросы, связанные с процедурой обработки ПДн, функциональностью информсистем
  • Специалисты анализируют соответствие, уточняют «узкие» места, разрабатывают квалифицированные рекомендации, позволяющие устранить несоответствия.
  • Устранение выявленных недоработок осуществляется сотрудниками компании-заказчика.

Расширенная услуга (вплоть до внедрения)

Что получает клиент

Этапы работы (что необходимо сделать)

  • Отчет, подтверждающий соответствие СЗПДн законодательным нормам, квалифицированные рекомендации по работе
  • Пакет документов, регламентирующий процесс обработки ПДн конкретно в организации заказчика
  • Классификацию корпоративных информсистем
  • Готовый проект внедрения СЗПДн
  • Заполнить, предложенные в Open Vision анкеты, ответив на вопросы, связанные с процедурой обработки ПДн, функциональностью информсистем
  • Специалистами Open Vision скрупулезно фиксируются все процессы работы с ПДн, создаются модели угроз, подготавливаются акты классификации информсистем, проектируется непосредственно СЗПДн.
  • Внедрение СЗПДн осуществляется сотрудниками компании-заказчика

 Полный комплект услуг (полное соответствие требованиям законодательства)

Что получает клиент

Этапы работы (что необходимо сделать)

  • Эффективно работающую СЗПДн, отвечающую всем законодательным требованиям
  • Заполнить, предложенные в Open Vision анкеты, ответив на вопросы, связанные с процедурой обработки ПДн, функциональностью информсистем
  • Специалистами Open Vision скрупулезно фиксируются все процессы работы с ПДн, создаются модели угроз, подготавливаются акты классификации информсистем, проектируется непосредственно СЗПДн.
  • Специалистами Open Vision самостоятельно устанавливают СЗПДн, настраивают ее, обеспечивая высокий уровень защиты

 Пакет услуг премиум-класса (ФЗ-152 под ключ)

Что получает клиент

Этапы работы (что необходимо сделать)

  • СЗПДн, полностью отвечающую требования закона
  • Трехлетнюю квалифицированную техподдержку системы безопасности ПДн в эффективно работающем состоянии
  • Оказание помощи при проверке уровня безопасности персональных данных контролирующими органами

 

  • Проводится интервьюирование сотрудников компании в офисе
  • Документируются все процессы работы с данными ограниченного доступа, создаются модели возможных угроз, подготавливаются акты классификации информсистем, разрабатывается проект системы безопасности ПДн.
  • Специалистами Open Vision устанавливаются средства защиты
  • В обязательном порядке проводится обучение сотрудников, используя специальные тренинги
  • Вся необходимая документация оперативно приводится в соответствие с изменениями законодательства в течение 3-х лет
  • Оказание помощи при проверке уровня безопасности персональных данных контролирующими органами
Необходима консультация?

Оставьте ваш мобильный номер или E-mail для запроса консультации:


Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.