Внедрение защиты – это обязанность оператора. В его качестве выступает юридическое или физическое лицо, предприниматель, которые занимаются сбором, хранением и обработкой информации.
Каждый оператор обязан использовать защиту. Это регламентируется положениями ФЗ №152. Функциональные нормы и правила при этом указаны в ГОСТ Р 51583-2014. По этим стандартам осуществляется проектирование и внедрение СЗ для ПДн.
Цель – предотвращение фактов несанкционированного доступа к ПДн. Наличие защиты – требование со стороны законодательства о защите персональных данных.
Что такое СЗ
СЗ ПДн – комплекс организационно-технических мероприятий, призванный предотвратить несанкционированный доступ к персональным данным, разработанный с учетом актуальности текущих угроз.
Защиту необходимо поддерживать и модернизировать. Если этого не делать, то с течением времени могут появится уязвимости и защиту могут взломать.
Задачи СЗ
- исключение неправомерного доступа к ПДн;
- исключение возможных фактов модифицирования, изменения, компрометации ПДн
- обеспечение доступности, нивелирование фактов блокировки доступа к личным данным;
- разграничение прав доступа;
- интеграция инструментов, обнаруживающих факты непреднамеренного, несанкционированного доступа к ПДн.
Нельзя полагать, что использование лицензионного обеспечения достаточно для соблюдения требований ИСПДН. Это не исключает возможной утечки данных со стороны сотрудников или компрометацию при использовании цифрового сертификата для доступа оператора. Такие действия отражены работой и функционалом операционной системы. В ней могут отсутствовать инструменты для идентификации пользователя или же они не настроены должным образом.
Штрафы за утечку ПДн
При возникновении факта утечки сведений, ответственность за причиненный урон возлагается на оператора. Штрафы за нарушение нормативов ФЗ №152:
- для сотрудников — до 500 тысяч рублей;
- для ИП и юридических лиц — до 1,5 млн. рублей.
При определенных обстоятельствах, выявленные нарушения достаточный повод для аннулирования лицензии или временного ограничения на дальнейшую деятельность компании-оператора ПДн.
Этапы проектирования СЗ
Проектирование СЗ делится на следующие этапы:
- Формирование перечня угроз. Осуществляется анализ используемых угроз, возможные точки проникновения со стороны внутренних и внешних нарушителей и определение возможных способов реализации утечки информации.
- Определение требований для интеграции и последующей настройки защиты для персональных данных. Формируют техническое задание (ТЗ), по которому затем выполняется интеграция защитных систем.
- Проектирование защитной системы, под установленные требования и нормативы ИСПДН.
- Подготовка ОРД (организационно-распорядительных документов). И тут без документов никуда.
- Консультирование, обучение персонала по работе с защитой.
Установка СЗ
Основные этапы инсталлирования СЗ:
- Определение СЗ, соответствующих нормам к используемому программному комплексу для сбора и обработки информации.
- Разработка и внедрение организационных мер для оператора, по которым определяются правила взаимодействия с данными.
- Подготовка документов, по которым определяются правила и порядок взаимодействия с информацией.
- Определение, выявление, анализ технических и программных угроз. Учитывается индивидуальная специфика работы оператора.
- Принятие возможных мер по устранению угроз.
- Испытание, запуск опытной эксплуатации СЗ. При необходимости проводится повторный аудит и выявление дополнительных угроз. Применяются обновленные меры по обеспечению должного уровня безопасности эксплуатируемой системы.
Невозможно заранее определить, сколько занимает установка и последующая настройка защиты информации для информационных систем персональных данных. Это зависит от количества источников информации, из которых формируются ПНД, наличия филиалов у оператора и используемых программных инструментов.
Настройка СЗ
Основные принципы настройки СЗ:
- проектное обследование информационной системы;
- разработка концепции защиты персональных данных с учетом специфики работы оператора;
- определение текущего и необходимого уровня защищенности;
- разработка и формирование угроз несанкционированного доступа;
- интеграция алгоритмов шифрования или шифрования данных, соответствующих ФЗ №152;
- формирование оценки продуктивности используемых мер по защите информации.
По заключению клиент получает акт о завершении установки и испытании СЗ и сопроводительные документы. Они же понадобятся при прохождении аттестации.
Использование СЗ регламентировано для предприятий, которые взаимодействуют с ПДН. Независимо от рода их деятельности: коммерческой, общественной.
Что предлагает ПНК
Наша компания – лицензиат ФСТЭК, специализируется на разработке, интеграции, настройке систем защиты персональной информации в ИСПДН. Дополнительные услуги, которые предлагает наша компания:
- проведение аудита по ФЗ №152;
- подготовка компании, юридического или физического лица к прохождению проверки Роскомнадзора;
- разработка ОРД;
- составление моделей угроз;
- аттестация по ИСПДН;
- аудит и оценка текущего уровня защищенности системы по сбору и обработке персональной информации.
Стоимость услуги по установке и настройке СЗ определяется индивидуально. Цена зависит от характера работы оператора, используемых технических и программных комплексов для взаимодействия с ПДН.
Дополнительно от количества филиалов и сотрудников, имеющие право на внесение изменения в систему. Для расчета и подготовки сметы — свяжитесь с нашим менеджером, оставив заявку на сайте или позвонив по указанным номерам.
Преимущества перед конкурентами:
- практический опыт по установке, настройке СЗ;
- соблюдаем нормативы ФЗ №152 и сопутствующие подзаконные акты;
- взаимодействуем с клиентом очно, в дистанционном режиме;
- разумная ценовая политика;
- предоставляем комплекс услуг на защите персональной информации в ИСПДН.
Интеграция средств защиты персональных данных — это не только требование со стороны ФСТЭК и Роскомнадзора, но и забота о клиентах, контрагентах.