Соответствие требованиям регуляторов в области защиты персональных данных
Провести экспертную оценку состояния и уровня зрелости информационной безопасности компании, определить степень соответствия требованиям регуляторов, сформировать план по приведению системы информационной безопасности этим требованиям, разработать концепцию развития информационной безопасности в целом. Эффективные средства защиты информационных активов компании.
Нормативно-правовые акты, а также международные и отраслевые стандарты предъявляют требования к обеспечению информационной безопасности: обязуют компании принимать меры по охране конфиденциальности информации, также содержат рекомендации по применению организационных мер и технических средств, направленных на защиту конфиденциальной информации (информации ограниченного доступа).
Понятие «конфиденциальность информации» трактуется по-разному, но всегда подразумевает необходимость предотвращения утечки (разглашения) информации.
Решения позволяют компаниям соответствовать требованиям отраслевых стандартов и законодательства:
- 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- 152-ФЗ «О персональных данных»
- Требования по защите коммерческой тайны (98-ФЗ)
- Требования по защите инсайдерской информации (224-ФЗ)
- Требования по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и другие)
- Приказ ФСТЭК России №17, №21, Постановление Правительства РФ №1119, Методические рекомендации ФСТЭК России
- Требования по защите информации в АСУ ТП (Приказ ФСТЭК России №31)
- Требования к безопасности данных индустрии платежных карт - PCI DSS
- СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»
- РС БР ИББС-2.9-2016 «Предотвращение утечек информации»
- Комплексный международный стандарт по информационной безопасности ISO 27001
- Международные нормативно-правовые акты и стандарты (Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act of 2002 и т.д.)
149-ФЗ "Об информации, информационных технологиях и о защите информации"
Информация ограниченного доступа (конфиденциальная информация) – информация, доступ к которой ограничен федеральными законами. Обладатель информации обязан принимать меры по защите информации.
Результат работы по внедрению:
Аудит на соответствие требованиям в области информационной безопасности, предъявляемым нормативными актами и отраслевыми стандартами, имеет очень большое значение – на его основе формируется представление о текущем уровне соответствия действующему законодательству и планируются меры по устранению несоответствий и расхождений.
- Точная оценка степени соответствия состояния информационной безопасности компании стандартам и требованиям федеральных законов
- Разработка и реализация предложений по приведению в соответствие с требованиями информационной безопасности
- Минимизация рисков привлечения к ответственности за невыполнение требований
- Выявление существующих явных и потенциальных угроз и уязвимостей
Важно это знать
Основные законы в области информации , технологий и обработки данных.
Регулируется 152-ФЗ «О персональных данных», а перечень мер по защите персональных данных определен в ПП-1119 и Приказе ФСТЭК России №21.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Требования к защите персональных данных распространяются на организации, их обрабатывающие (по сути, на все организации).
- Меры наказания за разглашение персональных данных определены в следующих документах: ст. 13.11 КоАП РФ, ст. 137 УК РФ, ст. 81 п.6 пп. «в» ТК РФ
Регулируется 98-ФЗ «О коммерческой тайне»
Коммерческая тайна - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
- Меры наказания за разглашение коммерческой тайны определены в следующих документах: ст. 13.14 КоАП РФ, ст.183 УК РФ, ст. 81 п.6 пп. «в» ТК РФ
Регулируется 395-1-ФЗ «О банках и банковской деятельности», а также статьей 857 ГК РФ
Банковская тайна - сведения об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иные сведения, устанавливаемых кредитной организацией.
- Меры наказания за разглашение банковской тайны определены в следующих документах: ст. 13.14 КоАП РФ, ст.183 УК РФ, ст. 81 п.6 пп. «в» ТК РФ
Риски информационной безопасности
Согласно определению ISO/IEC 27005:2008 риски информационной безопасности – это потенциальные возможности использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации. Другими словами, риски информационной безопасности – это вероятные потери организации в результате инцидентов.
Риски информационной безопасности связаны с нарушениями конфиденциальности, целостности и доступности информационных активов компании. Они являются, как правило, результатом промышленного шпионажа, саботажа, кибератак на информационные ресурсы, а также целевых атак на компьютеры организации.
- Конкуренты выходят на рынок быстрее
- Сокращение рыночной доли компании, отток клиентов к конкурентам
- Потеря бизнеса
- Нарушение непрерывности производственных и бизнес-процессов
- Финансовые потери (недополученная прибыль, расходы на нейтрализацию последствий и т.д.)
- Распространение негатива как внутри компании, так и за ее пределами
- Информационные вбросы негативного или компрометирующего характера («черный PR»)
- Клевета в отношении компании и должностных лиц
- Разглашение секретной информации в соцмедиа
- Потеря доверия к веб-ресурсам компании (вследствие DDoS-атак)
- Слив конфиденциальной информации нелояльными сотрудниками
- Проигранные конкурсы и тендеры
- Мошенничество с использованием корпоративных ресурсов компании
- Халатность персонала при работе с конфиденциальной информацией
- Переход сотрудников к конкурентам с наработками и базами данных
- Отток клиентов на ресурсы конкурирующих компаний
- Недоступность веб-ресурсов компании (нарушение доступности)
- Несоответствие требованиям регуляторов, влекущее за собой санкции
- Утечки персональных и конфиденциальных данных, приводящие к судебным искам
- Использование сотрудниками корпоративных ресурсов в противозаконных целях
- Промышленный шпионаж и следующие за ним длительные и дорогостоящие судебные тяжбы
- Невозможность доказать в судебном порядке факт совершения сотрудником преступления
Для оценки рисков необходимо определить, какие бизнес-процессы в организации наиболее критичны, а какие - менее (так называемый Business Impact Analysis). Какие угрозы и уязвимости могут повлиять на непрерывность бизнес-процессов и как минимизировать вероятность этих угроз?
В рамках комплекса мер в области управления рисками информационной безопасности необходимо обеспечить:
- Оценку рисков утечки конфиденциальной информации
- Разработку модели угроз утечки информационных активов
- Разработку процедур реагирования на инциденты
- Подготовку рекомендаций по развитию процесса защиты от утечек
- Внедрение технических средств защиты
Результат работы
В результате внедрения и использования решений компания получает уверенность в безопасности конфиденциальных данных, системное понимание информационных потоков организации, снижение бизнес-рисков.
- Уверенность в безопасности ценных и конфиденциальных данных
- Понимание внутренних и внешних информационных потоков в организации
- Выявление фактов внутреннего фрода (сговоров, мошенничества, промышленного шпионажа и т.д.)
- Определение степени лояльности персонала к компании
- Защищенные конфиденциальные данные, веб-ресурсы и инфраструктура предприятия