svidetelstvo min2
Выдача электронной подписи нашим удостоверяющим центром в Дагестане ( г. Махачкала ) осуществляется за 20 минут!
Полный спектр услуг и средств в области защиты информации и персональных данных с выдачей АТТЕСТАТА соответствия.
Выполнение работ по внедрению и обслуживанию
систем безопасности, инженерных и информационных систем.
roskom mini 

Содержание материала

Проведение работ по защите информационных систем персональных данных

  Защита персональных данных ПДнОказание комплексных услуг по приведению обработки персональных данных предприятия (учреждения, организации) в соответствие с требованиями законодательства, включая проведение обследования информационных систем персональных данных, создание и внедрение системы защиты персональных данных и аттестацию информационных систем персональных данных

 Мы предлагаем Вам проведение всего комплекса мероприятий по защите персональных данных от «нулевого цикла» до выдачи аттестата соответствия информационной системы персональных данных по требованиям ФСТЭК и ФСБ России: 

•    Проведение обследования ИСПДн; 
•    Определение уровня защищенности ИСПДн; 
•    Разработка модели угроз ИСПДн; 
•    Разработка технического задания на создание системы защиты персональных данных в ИСПДн; 
•    Разработка комплекта проектов организационно-распорядительных документов; 
•    Разработка программы и методики испытаний системы защиты в ИСПДн; 
•    Обучение специалистов работе со средствами защиты информации, используемыми в системе защиты персональных данных в ИСПДн; 
•    Поставка и настройка средств защиты информации; 
•    Проведение аттестационных испытаний, выдача аттестата соответствия ИСПДн. 

Как известно, с 1 июля 2011 года полностью вступил в силу (начинают действовать санкции за неисполнение требований) Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных». Основная цель закона - защитить права и свободы человека при обработке его личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну: защита конфиденциальной информации является одной из приоритетных задач современного законодательства.

В этой связи и в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» организации, обрабатывающие ПДн граждан Российской Федерации - обязаны обеспечить защиту этих данных.

За несоблюдение положений закона 152-ФЗ «О персональных данных» предусматривается гражданская, уголовная, административная, дисциплинарная и другие виды ответственности. В определенных случаях может быть приостановлена деятельность организации или отзыв лицензии. Именно поэтому защита персональных данных приобретает особенную значимость для предприятий любого масштаба.
Несоблюдение требований законодательства по обеспечению защиты персональных данных может повлечь следующие негативные последствия для должностных лиц или предприятия в целом:
  - лишение права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет (ст.140 УК РФ);
  -  лишение свободы до двух лет (ст.272 УК РФ);
  -  гражданско-правовые иски со стороны клиентов или работников (ст.17 152-ФЗ, ст.89 ТК РФ);
  -  принудительное приостановление или прекращение обработки персональных данных в организации (учреждении) (ст.23 152-ФЗ) и др.

Контроль над выполнением требований в сфере защиты персональных данных выполняют ФСБ РФ, ФСТЭК России, ПРОКУРАТУРА и РОСКОМНАДЗОР которые вправе проводить плановые и внеплановые проверки организаций, обрабатывающих персональные данные. Защита конфиденциальной информации приобрела важность на государственном уровне.

ftek1 fsb1 roscom1   Прокуратура РФ

ГК «Астрал» предлагает услуги по приведению Ваших информационных систем в соответствие с требованиями ФЗ № 152 и документов ФСТЭК, ФСБ по защите персональных данных от «нулевого цикла» до выдачи аттестата соответствия информационной системы персональных данных требованиям ФСТЭК и ФСБ России. У нас Вы можете пройти соответствующие курсы по защите персональных данных, где получите полную информацию о существующих средствах и способах защиты информации.

Построение системы защиты персональных данных нашими специалистами позволяет минимизировать издержки на приведение существующих информационных систем в соответствие законодательству и требованиям регуляторов.


Основные понятия и определения

Главным критерием отнесения информации к персональным данным является ее принадлежность физическому лицу (гражданину), будь то сотрудники компании, клиенты, посетители и т.д.

Персональные данные - любая информация, относящаяся к определенному лицу: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Обработка персональных данных - действия с персональными данными, включая сбор, хранение, использование, обезличивание, блокирование, уничтожение персональных данных.

Конфиденциальность персональных данных – требование, обязательное для соблюдения получившим доступ к персональным данным лицом не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Организации, использующие в своих информационных системах персональные данные, являются операторами ИСПДн.

Кто такой оператор персональных данных? Под определение оператора ПДн подпадает любая организация, независимо от ее размера и формы собственности.

Требования к компаниям разного уровня предъявляются различные. Жесткость требований определяется классом, под который попадает ИСПДн, существующая в компании.


Классификация информационных систем персональных данных (ИСПДн)

Согласно постановлению правительства РФ от 1 ноября 2012 г. N 1119, установлены требования к защите персональных данных при их обработке в информационных системах, и введены 3 типа актуальных угроз от которых зависит требуемый уровень защищенности.

Под актуальными угрозами понимаются условия и факторы, создающие опасность несанкционированного доступа к персональным данным(в том числе случайного), в результате которого данные могут быть уничтожены, изменены, блокированы, копированы, предоставлены или распространены.

Угрозы 1-го типа - угрозы, связанные с наличием недокументированных возможностей в используемом системном программном обеспечении.

Угрозы 2-го типа - актуальны угрозы, связанные с наличием недокументированных возможностей в используемом прикладном программном обеспечении.

Угрозы 3-го типа - актуальны угрозы, не связанные с наличием недокументированных возможностей в используемом системном и прикладном программном обеспечении.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности.

Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

  1. организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  2. обеспечение сохранности носителей персональных данных;
  3. утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  4. использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4-ого уровня защищенности необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 3-ого уровня защищенности, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных 2-ого уровня защищенности, необходимо выполнение следующих требований:

  1. автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным;
  2. создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Соотношение типа угроз/уровня защищенности/и типа обрабатываемой информации

  Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа
4 уровень защищенности     Информационная система обрабатывает:
  • общедоступные персональные данные
  • иные категории персональных данных сотрудников оператора
  • иные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов).
3 уровень защищенности   Информационная система обрабатывает:
  • общедоступные персональные данные сотрудников
  • общедоступные персональные данные лиц, не являющихся сотрудниками (менее чем 100000 субъектов)
  • иные категории персональных данных сотрудников
  • иные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов).
Информационная система обрабатывает:
  • биометрические персональные данные
  • иные категории персональных данных лиц, не являющихся сотрудниками (более чем 100000 субъектов).
2 уровень защищенности Информационная система обрабатывает:
  • общедоступные персональные данные.
Информационная система обрабатывает:
  • специальные категории персональных данных сотрудников оператора
  • специальные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов)
  • иные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов).
Информационная система обрабатывает:
  • специальные категории персональных данных лиц, не являющихся сотрудниками (более чем 100000 субъектов).
1 уровень защищенности Информационная система обрабатывает:
  • либо специальные категории персональных данных
  • биометрические персональные данные
  • иные категории персональных данных.
Информационная система обрабатывает:
  • специальные категории персональных данных лиц, не являющихся сотрудниками (более чем 100000 субъектов).
 

Цели защиты персональных данных

В течение августа 2011 года на портале ИСПДн.ру проводился опрос по самым актуальным вопросам информационной безопасности.

Зачем нужно тратить силы и средства на защиту ПДн в организации?

OprosPoZI

На самом деле целями защиты персональных данных являются:

  • Предотвращение утечки, хищения, утраты, искажения, подделки персональных данных субъектов;
  • Защита от несанкционированного доступа и действий по уничтожению, модификации, искажению, копированию, блокированию информации, касающейся персональных данных и предотвращение других форм незаконного вмешательства в информационные ресурсы;
  • Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
  • Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения;
  • Предотвращение следующего возможного ущерба субъекту ПДн:
    - нанесение вреда здоровью субъекта ПДн;
    - незапланированные и (или) непроизводительные финансовые или материальные затраты субъекта;
    - потеря субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;
    - нарушение конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия.

В области защиты персональных данных (ПДн) наша компания выполняет весь комплекс работ по построению защиты информационной системы персональных данных (ИСПДн).


Мероприятия по защите персональных данных

Мы предлагаем Вам проведение всего комплекса мероприятий по защите персональных данных от «нулевого цикла» до выдачи аттестата соответствия информационной системы персональных данных требованиям ФСТЭК и ФСБ России:

  • Проведение обследования ИСПДн, классификация ИСПДн;
  • Разработка модели угроз ИСПДн;
  • Разработка технического задания на создание системы защиты персональных данных в ИСПДн;
  • Разработка комплекта проектов организационно-распорядительных документов;
  • Разработка программы и методики испытаний системы защиты в ИСПДн;
  • Обучение специалистов работе со средствами защиты информации, используемыми в системе защиты персональных данных в ИСПДн;
  • Поставка и настройка средств защиты информации;
  • Проведение аттестационных испытаний, выдача аттестата соответствия ИСПДн требованиям ФЗ №152 2006 года.

Построение системы защиты персональных данных нашими специалистами позволяет минимизировать издержки на приведение существующих информационных систем в соответствие законодательству и требованиям регуляторов.

Группа компаний «Астрал» является привилегированным партнером компаний, выпускающих средства защиты информации, компаний, разрабатывающих средства антивирусной защиты, защищенные межсетевые экраны, средства помехоподавления и др.

Данный статус позволяет ГК «Астрал» выполнять работы любой сложности и объема защиты персональных данных. Для каждого клиента наши специалисты создают индивидуальное решение, которое позволяет полностью устранить проблемы защиты персональных данных и конфиденциальной информации.


Санкции за невыполнение требований по защите персональных данных

Кодекс Статья Название статьи Максимальная мера наказания
КоАП 5.27 Нарушение законодательства о труде штраф 50.000 руб. + приостановление деятельности на срок до 90 суток + дисквалификация должностного лица до 3-х лет
КоАП 5.39 Отказ в предоставлении или предоставление не полной или ложной информации, затрагивающей гражданина Штраф 1.000 руб
КоАП 13.11 Нарушение порядка сбора, хранения, использования и распространения персональных данных Штраф 10.000 руб
КоАП 13.12 Нарушение правил защиты или использование не сертифицированных средств; нарушение условий лицензии ФСТЭК / ФСБ Штраф 20.000 руб. + конфискация + приостановление деятельности на срок до 90 суток
КоАП 13.13 Деятельность в области защиты персональных данных без лицензии ФСТЭК/ ФСБ Штраф 20.000 руб. + конфискация
КоАП 13.14 Разглашение персональных данных Штраф 5.000 руб.
КоАП 19.4 Невыполнение требований или воспрепятствование исполнению обязанностей ФСТЭК Штраф 10.000 руб.
КоАП 19.5 Невыполнение в срок требований надзорного органа или ФСТЭК Штраф 500.000 руб. + дисквалификация должностного лица до 3-х лет
КоАП 19.6 Непринятие мер по устранению нарушений Штраф 500 руб.
КоАП 19.7 Непредставление или представление в неполном или искаженном виде в Россвязькомнадзор сведений об операторе ПДн Штраф 5.000 руб.
КоАП 19.20 Осуществление деятельности без лицензии или с нарушением ее условий Штраф 20.000 руб. + приостановление деятельности на срок до 90 суток
УК 137 Нарушение неприкосновенности частной жизни Штраф 300.000 руб. + исправительные работы на срок до 240 часов + арест до 6-ти месяцев
УК 171 Незаконное предпринимательство Штраф 300.000 руб. + обязательные работы на срок до 1-го года + арест до 6-ти месяцев + лишение права занимать должность на срок до 5-ти лет
ТК 81 Разглашение охраняемой законом тайны увольнение
ТК 90 Нарушение норм получения, обработки и защиты персональных данных увольнение
ТК 237 Неправомерные действия или бездействия работодателя Размер возмещения морального ущерба определяет суд

 

JSN Epic is designed by JoomlaShine.com