Вне зависимости от структуры и масштаба организации, её положения на рынке вопрос защиты персональных данных не теряет своей актуальности. Организациям, допустившим утечку информации, грозят финансовые, репутационные потери, а также потенциальные санкции со стороны государственных регуляторов. Согласно опросу Security Magazine 2019 года, 78% респондентов предпочитают отказываться от онлайн услуг пострадавшей от утечки компании, а 36% вовсе прекратят взаимодействие.
В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и подзаконными нормативными документами, регламентирующими защиту персональных данных (далее – ПДн), установлены правила в отношении порядка обработки и обеспечения безопасности ПДн. Указанные правила носят обязательный характер для всех организаций на территории Российской Федерации независимо от размера, оборота и организационно-правовой формы.
Данные регуляции относятся и к информационным системам персональных данных (далее – ИСПДн).
ООО «НАЦ» предлагает услугу по подготовке к прохождению процедуры оценки эффективности (аттестации) системы защиты ПДн, а также по проведению данной оценки.
В рамках услуги мы осуществляем:
- оценка достаточности разработанных внутренних нормативных актов и соответствия их содержания требованиям по безопасности информации;
- оценка правильности выбора уровней защищенности ПДн и мер защиты;
- оценка соответствия состава и структуры программно-технических средств ИСПДн представленной документации;
- оценка состояния организации работ и выполнения организационно-технических требований по защите информации;
- оценка достаточности мер физической охраны технических средств информационной системы;
- оценка уровня подготовки кадров и распределения ответственности персонала.
Аттестационные испытания включают следующие мероприятия и работы:
- оценку соответствия технического паспорта объекта информатизации, акта определения уровня защищенности информационной системы, состава и содержания эксплуатационной документации на систему защиты информации объекта информатизации и документов по защите информации владельца объекта информатизации требованиям по защите информации и Порядку организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну, утвержденному 29 апреля 2021 г. Приказом ФСТЭК России №77 (далее – Порядок);
- обследование объекта информатизации на предмет оценки соответствия объекта информатизации и условий его эксплуатации требованиям по защите информации, а также документам, предусмотренным пунктом 11 Порядка;
- проверку наличия документов, содержащих результаты анализа уязвимостей, проведенного на этапах предварительных или приемочных испытаний системы защиты информации объекта информатизации;
- проверку наличия сведений о средствах защиты информации, установленных на объекте информатизации, в реестре сертифицированных средств защиты информации, ведение которого осуществляет ФСТЭК России в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. № 55 (зарегистрирован Минюстом России 11 мая 2018 г., регистрационный № 51063) (в случае наличия требования об обязательном применении сертифицированных средств защиты информации), или документов, подтверждающих проведение оценки соответствия средств защиты информации требованиям по безопасности информации в формах, отличных от сертификации;
- проверку наличия у владельца объекта информатизации работников, ответственных за обеспечение защиты информации в ходе эксплуатации объекта информатизации, в том числе за проведение оценки угроз безопасности информации, управление (администрирование) системой защиты информации (администраторов безопасности), управление конфигурацией объекта информатизации, реагирование на инциденты, информирование и обучение персонала, контроль за обеспечением уровня защиты информации, а также проверку достаточности установленных для них обязанностей в соответствии с требованиями по защите информации;
- оценку уровня знаний и умений работников владельца объекта информатизации, ответственных за обеспечение защиты информации, в соответствии с установленными для них обязанностями в эксплуатационной документации и документах по защите информации владельца объекта информатизации;
- оценку соответствия принятых на объекте информатизации организационных мер требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;
- оценку соответствия принятых на объекте информатизации технических мер по защите информации от несанкционированного доступа (воздействия на информацию) требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации.
Обладая большим опытом оценки эффективности различных систем и всеми необходимыми лицензиями, ООО «НАЦ» может разработать необходимую методику оценки и провести работы с учетом особенностей построения систем и процессов обработки информации Заказчика.