Услуги

Соответствие ФЗ-152

Проблема защиты персональных данных (ПДн) – это, наверное, самая злободневная, противоречивая, юридически значимая и востребованная в современном обществе сфера обеспечения безопасности информации. И без кардинального решения этой проблемы никакой переход к цифровой экономике не возможен.
В Российской Федерации был принят закон РФ №152-ФЗ от 27.06.2006 «О персональных данных». В адрес этого закона раздаётся много критики со стороны руководителей предприятий,  экономистов, юристов, защитников прав человека и пр., однако  в результате, он все время совершенствуется, в него постоянно вносятся дополнения и изменения.
Оставив в стороне проблему законотворчества, в дальнейшей своей деятельности будем руководствоваться известным принципом: «закон суров, но это закон».
Компания ITCS готова предложить  комплекс работ по оценке соответствия порядка хранения, обработки и защиты персональных данных в соответствии с  законом РФ №152-ФЗ и другими нормативными  документами с ним связанными, а также  по приведению инфраструктуры организации  и ее деятельности, в ходе которой осуществляется обработка персональных данных различных категорий субъектов,  в соответствие требованиям законодательства РФ о защите ПДн.
Состав и содержание работ:
1.    Проведение обследования организации. На этом этапе анализируется правовая, организационная, распорядительная документация, на основании которой функционируют основные бизнес-процессы компании, в том числе лицензии уполномоченных органов на право оперирования ПДн и политики безопасности, используемые в технологических процессах обработки ПДн.
2.    Исследование структуры и состава информационных систем (ИС), хранящих, обрабатывающих и передающих ПДн, а также средства их защиты. На данном этапе анализируется проектная, конструкторская и технологическая (в части технологий обработки информации) документация построения ИС, обрабатывающих ПДн. Производится анализ продуктов и систем информационных технологий, используемых при обработке ПДн и их защите на наличие соответствующих сертификатов и лицензий. Создаётся модель угроз для ИС, обрабатывающих ПДн. Осуществляется проверка ИС ПДн на наличие утечек информации и на проникновение, в том числе инструментальными средствами. Производится классификация ИС по уровням уязвимостей от выявленных угроз.
3.    Классификация и кодирование информации ПДн, обрабатываемых средствами ИС организации. В данном разделе аудита производится проверка классификации ПДн на соответствие  постановлению Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (ПП-1119), если такой классификации нет, то по согласованию с Заказчиком, компания готова её провести. А если  из №152-ФЗ вытекает требование обезличивания ПДн, то производится их кодирование (присвоение кодов соответствия).
4.    Составление заключительного аудиторского отчёта.  Результатом данного отчёта является детальный анализ информации, выявленной в результате исследовательской части аудита (пп.1-3), а также выводы и рекомендации по устранению выявленных в результате аудита несоответствий текущему законодательству РФ об обработке и защите ПДн.
Подробная детализация состава и содержания работ по аудиту безопасности ПДн приведена в приказе ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
В связи с развитием и появлением новых информационных технологий выявился не известный ранее тренд в части оперирования ПДн – перенесение, хранение, накопление и их защиту в независимые центры обработки данных (ЦОД) и в «облака». В этом случае, к совокупности работ, обозначенных выше, добавляются работы связанные с проверкой выполнения норм Федерального закона Российской Федерации от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».  При этом, особое внимание уделяется той части закона, которая обязывает операторов ПДн РФ переносить свои системы и базы данных на сервера, физически располагающиеся на территории РФ, а также провести проверку  исполнения требований законодательства РФ в области безопасности ПДн хостинг-провайдером.

Заполните форму, чтобы заказать один из наших продуктов,
и наши специалисты свяждутся с вами