Соответствие закону о ПДн (152-ФЗ)

Если в штате компании находятся сотрудники и у клиентов собираются контакты для рассылок, архива или других нужд, то необходимо проверить документацию на соответствие требованиям положениям 152-ФЗ.

Любая информация, позволяющая идентифицировать или охарактеризовать пользователя, можно назвать личной. Когда кадровый специалист вносит в базу сведения паспорта нового работника, согласно законодательному определению, он занимается обработкой персональных данных, которые формируются в ИСПДн. Такая система должна соответствовать определенным требованиям. При этом меры защиты должны обеспечивать безопасность хранение и конфиденциальность информации.

Чтобы классифицировать ИСПДн, необходимо определить два критерия:

• категорию обрабатываемых ПД;
• объем — до 100 тыс., более 100 тыс. и сведения сотрудников Оператора, не ограниченные по количеству.

Персональные данные бывают специальными (раса, национальность, религия, сексуальная ориентация), биометрическими (отпечатки пальцев, ДНК и другие факторы), общедоступными и иные, которые нельзя причислить ни к одной из вышеперечисленных групп.

В зависимости от объема выбирают классы защиты информации, относящейся к категории персональных данных:

• К4 — «легкий» класс, означающий, что в системе не собираются и не обрабатываются критически важных сведения.
• К3 — нарушения в подобной ИС могут повлечь за собой небольшие негативные проблемы.
• К2 — нарушения могут привести к незначительным последствиям.
• К1 — высокий класс, незащищенность которого может повлечь серьезные проблемы для субъекта ПД.

Чем выше оценка уровня защищенности, тем больше мер по гарантии кибербезопасности сведений физических лиц потребуется выполнять.

К процессу обеспечения безопасности информации каждый руководитель компании относится с разным уровнем серьезности. Одна группа не делает ничего и надеется, что проверка их не настигнет, другая скачивает шаблоны необходимых документов и редактирует их. Третья поручает хранение сведений провайдеру.

Чтобы соответствовать положениям 152–ФЗ, оптимальным выходом для компании станет выстраивание защищенного от атак внутреннего периметра информационной безопасности. Работа в этом направлении начинается с подбора комиссии, которая проведет анализ ИС персональных данных физических лиц. В результате сведениям, находящимся в информационной системе, будет присвоен класс защищенности. Такой подход позволит выстроить модель потенциальных угроз, которые могут нарушить безопасность автоматизированной обработки и хранения персональных данных.

После проведенных мероприятий выстраивают систему мер по противодействию киберугрозам. Работы начинают с определения текущего уровня защиты ИС. После этого разрабатывают перечень возможных угроз. Вероятность осуществления каждой киберугрозы определяет эксперт.

После составления списка всех возможных для системы угроз специалист рассчитывает коэффициент реализуемости для каждой из них. Цифровые значения показывают, насколько вероятно, что ИС окажется под действием данной кибератаки. Список возможных угроз повторно анализируется. Из него выводится те киберугрозы, которые актуальны для конкретной информационной системы. После того как специалист узнает, что в теории может угрожать ИС, выстраивают меры обеспечения безопасности данных в зависимости от каждого возможного типа атак.

После разработки списка действий и технических способов защиты ИС актуализируется общий перечень возможных угроз. Из него удаляются все средства и мероприятия, которые не могут быть осуществлены в текущей ИС. Когда перечень обновлен, его необходимо соотнести его со списком актуальных угроз, которые выявлялись на предыдущем этапе. Если киберугроза не будет нейтрализована, то следует дополнить ее другими мероприятиями.

Опираясь на составленный актуальный список требований к ИС, нужно выбрать, закупить и установить специализированные средства защиты информации (СЗИ). Кроме этого, потребуется разработать комплекс мер, необходимых для того, чтобы пункты составленного списка были выполнены.

Реализовать подобный проект поможет ITCOM Security. За годы работ на рынке информационной безопасности внутри компании накопился значительный опыт реализации комплексных мер для криптографической защиты персональных данных. Специалисты помогут подобрать специализированное программное обеспечение и СКЗИ, а также разработать необходимый пакет документов (политики, инструкции, положения). После выполнения комплекса работ процессы информационной безопасности будут налажены в полном соответствии с требованиями закона.

Для того чтобы узнать цены и заказать разработку мер по защите персональных данных на предприятии, оставьте заявку на сайте. Менеджеры компании ответят на вопросы и посчитают стоимость индивидуального коммерческого предложения с перечнем услуг, которые будут необходимы учреждению для соответствия 152–ФЗ.