Оценка соответствия требованиям 152-ФЗ
Федеральный закон N 152-ФЗ «О персональных данных» устанавливает правовые и организационные основы обработки ПДн, права субъектов ПДн, обязанности операторов, порядок осуществления надзора в данной области. Требования к защите ПДн при их обработке в ИСПДн устанавливаются Правительством Российской Федерации (постановление Правительства РФ от 01.11.2012 г. №1119), а состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн – ФСТЭК России (приказ ФСТЭК России от 18.02.2013 г. № 21).
Документы предъявляют существенные требования как к организационным, так и к техническим мерам, которые необходимо реализовывать в организации. Плюс к этому, требуется периодическая (не реже 1 раза в 3 года) оценки эффективности реализованных в рамках СЗПДн мер по обеспечению безопасности ПДн. Несоблюдение требований может повлечь за собой судебные разбирательства и выплату штрафов в размере сотен тысяч рублей.
НТЦ «Вулкан» выполняет в интересах заказчика работы по оценке соответствия деятельности организации требованиям Федерального закона N 152-ФЗ «О персональных данных».
Состав работ
- Изучение внутренней нормативной документации и проверки ее соответствия требованиям нормативных актов.
- Анализ существующих в организации процессов обработки и защиты ПДн.
- Обследование ИСПДн.
- Опрос персонала для изучения процессов обеспечения безопасности ПДн.
- Оценка уровня осведомленности сотрудников в вопросах обеспечения безопасности ПДн и соблюдения требований внутренних нормативных документов.
- Анализ существующих в организации мер по обеспечению информационной безопасности ИСПДн.
- Выработка рекомендаций по улучшению процессов обеспечения безопасности ПДн и совершенствованию СЗПДн.
Работы по оценке соответствия проводятся с на основе авторской методики НТЦ «Вулкан»:
- Определяется перечень требований:
- анализируются требования в масштабах организации;
- проверяется выполнение данных требований в масштабах организации.
- Анализируется особенности бизнес-процессов, существующих в организации.
- Анализируются ИСПДн организации и используемые организационные и технические меры по обеспечению безопасности ПДн, в том числе:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся или обрабатываются ПДн;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности ПДн;
- обеспечение целостности ИСПДн и ПДн;
- обеспечение доступности ПДн;
- защита среды виртуализации;
- защита технических средств;
- защита ИСПДн, ее средств, систем связи и передачи данных;
- выявление инцидентов;
- управление конфигурацией ИСПДн и системы защиты ПДн.
- Проводится предварительная оценка соответствия организации требованиям Федерального закона «О персональных данных».
- Разрабатывается план работ («дорожная карта») по приведению организации в соответствие с требованиями 152-ФЗ, включающий в себя мероприятия:
- по изменению существующих процессов обработки ПДн;
- по изменению правил взаимодействия с третьими лицами;
- по разработке нормативных документов в области обработки и защиты ПДн;
- по внедрению средств защиты ПДн.
- Проводится разработка нормативных актов в соответствии с требованиями 152-ФЗ по следующим направлениям:
- обработка ПДн;
- обеспечение безопасности ПДн.
Оценка соответствия осуществляется на основе:
- информации, содержащей подтверждения выполнения положений Федерального закона N 152-ФЗ «О персональных данных»;
- анализа соответствия порядка применения мер по обеспечению безопасности ПДн требованиям Приказа ФСТЭК России от 18.02.2013 г. № 21;
- результатов мониторинга (наблюдения) выполнения положений 152-ФЗ.
Преимущества
Оценка позволяет определить оптимальные направления работ по повышению уровня соответствия установленным требованиям. Внешняя оценка позволяет наиболее объективно оценить состояние защищенности ПДн.