Техническая защита персональных данных

Проектирование и оценка соответствия системы защиты ПДн требованиям законодательства

Законодательные требования

Оператор в соответствии со ст. 19 Федерального закона №152-ФЗ «О персональных данных» обязан принимать необходимые правовые, организационные и технические меры для защиты ПДн.

Согласно п. 2 ст. 19 152-ФЗ, обеспечение безопасности ПДн достигается за счет выполнения следующих мероприятий:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Безопасность ПДн при их обработке в информационной системе обеспечивается с помощью системы защиты ПДн, нейтрализующей актуальные угрозы.

Система защиты персональных данных

Система защиты ПДн разрабатывается оператором в соответствии с требованиями Постановления правительства РФ №1119 и включает в себя организационные и технические меры защиты.

Выбор средств защиты для системы защиты ПДн осуществляется оператором в соответствии с нормативными правовыми актами ФСБ и ФСТЭК России. Документ, определяющий состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДнПриказ ФСТЭК России №21.

Согласно Приказу ФСТЭК №21, выбор мер по обеспечению безопасности ПДн включает:

1) определение базового набора мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с приложением к Приказу ФСТЭК №21;

2) адаптацию базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);

3) уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к Приказу ФСТЭК №21, в результате чего определяются меры по обеспечению безопасности ПДн, направленные на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной информационной системы;

4) дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации.

Стоит отметить, что выбор и реализация вышеуказанных мер потребуют от оператора специальных знаний и умений, а также временных и финансовых затрат.

Наши услуги

Наши специалисты помогут вам:

  • определить объект защиты;
  • составить перечень обрабатываемых ПДн и определить уровень их защищенности;
  • определить и описать основные характеристики и конфигурации существующих ИСПДн;
  • оценить соответствие системы защиты ПДн требованиям нормативно-правовых актов ФСБ и ФСТЭК;
  • оценить эффективность технических и организационных мер по обеспечению безопасности ПДн;
  • подобрать и интегрировать в существующую инфраструктуру недостающие средства защиты ПДн;
  • разработать техническое задание на создание системы защиты ПДн;
  • подобрать сертифицированные средства защиты информации.

Работы в рамках данной услуги варьируются в зависимости от потребностей вашего бизнеса.

Обратитесь к нам

Мы поможем вам обеспечить техническую защиту ПДн и выполнить требования законодательства с минимальными затратами.

Перед разработкой или оптимизацией системы защиты ПДн рекомендуем вам пройти аудит соответствия.