Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Услуги:
Услуги по внедрению процессов безопасной разработки: SSDLC, DevSecOps, AppSec
Обучение сотрудников основам безопасной разработки приложений
Новости

Чек-лист. Первые шаги для соответствия требованиям 152-ФЗ

Допустим, вы только сейчас узнали о существовании закона «О персональных данных» (ПДн), он же 152-ФЗ, и не хотите нарваться на предписания Роскомнадзора или административный штраф за его невыполнение. С чего же начать? Рассказываем по пунктам.
1. Проводим обследование текущего порядка обработки персональных данных (ПДн)

· Определяем процессы обработки ПДн, всех субъектов ПДн (лиц, чьи ПДн обрабатываются), цели обработки, перечень ПДн и т.д.
· Выявляем системы, в которых происходит обработка ПДн, а также ПДн, которые хранятся в этой системе, IT-архитектуру информационных систем и ее особенности

2. Вносим изменения на официальный сайт вашей компании

· Размещаем Политику обработки ПДн, содержащую перечень субъектов ПДн, цели обработки ПДн, перечень ПДн, сроки обработки и т.д.
· При наличии формы сбора ПДн размещаем в ней (или под ней) чек-бокс для подтверждения согласия на обработку ПДн и ссылку на согласие и политику
· Размещаем согласие на сбор cookie, если сбор ведется

3. Разрабатываем внутренние организационно-распорядительные документы

· Положение о защите и обработке ПДн
· Приказ о назначении ответственного за обработку ПД
· Приказ о лицах, допущенных к обработке ПДн
· Акт определения уровня защищенности информационных систем, в которых происходит обработка персональных данных (ИСПДн)
· Модель угроз безопасности информации в отношении этих систем
· Акт оценки вреда субъектам ПДн
· Другие инструкции и регламенты в отношении защиты ПДн

4. Обеспечиваем защиту ИСПДн организационными и техническими мерами

С учетом актуальных угроз безопасности ПДн реализуем управление доступом, идентификации и аутентификации, антивирусную защиту, защиту машинных носителей информации и другие меры в соответствии с требованиями Приказа ФСТЭК № 21, в котором указан состав этих мер в зависимости от уровня защищенности информационный системы ПДн.

5. Ну и не забываем подать уведомление об обработке ПДн в Роскомнадзор!

Этого требует регулятор от всех операторов ПДн за небольшими исключениями. Уведомление можно подать несколькими способами: в бумажном виде, на портале Роскомнадзора с использованием усиленной квалифицированной подписи, на портале Госуслуг при наличии подтвержденной учетной записи.

Само уведомление содержит основные сведения об операторе ПДн, правовые основания и цели обработки ПДн, описание применяемых организационных и технических мер защиты ПДн, дату начала обработки ПДн, срок и условие прекращения обработки ПДн, категории ПДн и их субъектов, перечень действий с ПДн, перечень и адреса баз данных, содержащих ПДн, сведения о лицах, ответственных за обработку ПДн.

Может показаться, что это всё? Не совсем так. Ведь теперь это нужно поддерживать в актуальном состоянии! Команда Infosecurity предлагает свою поддержку на всех этапах.

Автор: Ирада Литаврина, ведущий консультант отдела аудита Infosecurity a Softline Company
Защита персональных данных Законодательство Экспертиза Блог