//

Оценка соответствия требованиям 152-ФЗ

Федеральный закон N 152-ФЗ «О персональных данных» устанавливает правовые и организационные основы обработки ПДн, права субъектов ПДн, обязанности операторов, порядок осуществления надзора в данной области. Требования к защите ПДн при их обработке в ИСПДн устанавливаются Правительством Российской Федерации (постановление Правительства РФ от 01.11.2012 г. №1119), а состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн – ФСТЭК России (приказ ФСТЭК России от 18.02.2013 г. № 21).

Документы предъявляют существенные требования как к организационным, так и к техническим мерам, которые необходимо реализовывать в организации. Плюс к этому, требуется периодическая (не реже 1 раза в 3 года) оценки эффективности реализованных в рамках СЗПДн мер по обеспечению безопасности ПДн. Несоблюдение требований может повлечь за собой судебные разбирательства и выплату штрафов в размере сотен тысяч рублей.

НТЦ «Вулкан» выполняет в интересах заказчика работы по оценке соответствия деятельности организации требованиям Федерального закона N 152-ФЗ «О персональных данных».

Состав работ

  • Изучение внутренней нормативной документации и проверки ее соответствия требованиям нормативных актов.
  • Анализ существующих в организации процессов обработки и защиты ПДн.
  • Обследование ИСПДн.
  • Опрос персонала для изучения процессов обеспечения безопасности ПДн.
  • Оценка уровня осведомленности сотрудников в вопросах обеспечения безопасности ПДн и соблюдения требований внутренних нормативных документов.
  • Анализ существующих в организации мер по обеспечению информационной безопасности ИСПДн.
  • Выработка рекомендаций по улучшению процессов обеспечения безопасности ПДн и совершенствованию СЗПДн.

Работы по оценке соответствия проводятся с на основе авторской методики НТЦ «Вулкан»:

  • Определяется перечень требований:
    • анализируются требования в масштабах организации;
    • проверяется выполнение данных требований в масштабах организации.
  • Анализируется особенности бизнес-процессов, существующих в организации.
  • Анализируются ИСПДн организации и используемые организационные и технические меры по обеспечению безопасности ПДн, в том числе:
    • идентификация и аутентификация субъектов доступа и объектов доступа;
    • управление доступом субъектов доступа к объектам доступа;
    • ограничение программной среды;
    • защита машинных носителей информации, на которых хранятся или обрабатываются ПДн;
    • регистрация событий безопасности;
    • антивирусная защита;
    • обнаружение (предотвращение) вторжений;
    • контроль (анализ) защищенности ПДн;
    • обеспечение целостности ИСПДн и ПДн;
    • обеспечение доступности ПДн;
    • защита среды виртуализации;
    • защита технических средств;
    • защита ИСПДн, ее средств, систем связи и передачи данных;
    • выявление инцидентов;
    • управление конфигурацией ИСПДн и системы защиты ПДн.
  • Проводится предварительная оценка соответствия организации требованиям Федерального закона «О персональных данных».
  • Разрабатывается план работ («дорожная карта») по приведению организации в соответствие с требованиями 152-ФЗ, включающий в себя мероприятия:
    • по изменению существующих процессов обработки ПДн;
    • по изменению правил взаимодействия с третьими лицами;
    • по разработке нормативных документов в области обработки и защиты ПДн;
    • по внедрению средств защиты ПДн.
  • Проводится разработка нормативных актов в соответствии с требованиями 152-ФЗ по следующим направлениям:
    • обработка ПДн;
    • обеспечение безопасности ПДн.

Оценка соответствия осуществляется на основе:

  • информации, содержащей подтверждения выполнения положений Федерального закона N 152-ФЗ «О персональных данных»;
  • анализа соответствия порядка применения мер по обеспечению безопасности ПДн требованиям Приказа ФСТЭК России от 18.02.2013 г. № 21;
  • результатов мониторинга (наблюдения) выполнения положений 152-ФЗ.

Преимущества

Оценка позволяет определить оптимальные направления работ по повышению уровня соответствия установленным требованиям. Внешняя оценка позволяет наиболее объективно оценить состояние защищенности ПДн.