Создание систем защиты

В каждой организации есть информация, разглашение которой может нанести финансовый ущерб или привести к снижению репутации компании. Это может быть коммерческая или служебная тайна или сведения, связанные с профессиональной деятельностью, а также информация, которую нельзя отнести ни к одному из видов тайн, но разглашение которой может повлечь ущерб Вашей компании. В целях минимизации риска необходимо защитить такого рода информацию.

ООО "Комплексная защита информации" поможет Вам в этой проблеме и проведет все необходимые мероприятия по защите Вашей конфиденциальной информации (КИ) в соответствии с действующим законодательством Российской Федерации и существующей нормативно-правовой базой.

Наши специалисты выполнят:
  • Консультации по вопросам защиты конфиденциальной информации;
  • Анализ информационных ресурсов (определение состава, содержания, местонахождения; способов обработки конфиденциальной информации, подлежащей защите; наличия средств защиты информации);
  • Выявление уязвимостей и возможных угроз безопасности информации:
    • Составление перечня уязвимостей и возможных угроз безопасности информации;
    • Оценка актуальности угроз безопасности информации;
    • Создание частной модели угроз безопасности информации;
  • Классификацию систем, обрабатывающих конфиденциальную информацию;
  • Обоснование требований по защите КИ, обрабатываемой на объекте информатизации (ОИ);
  • Оценку достаточности фактически реализованных мер защиты (подготовят заключение об их целесообразности и рекомендации по их совершенствованию);
  • Создание (модернизация) системы защиты конфиденциальной информации:
    • Разработка системы защиты информации;
    • Создание матрицы доступа к защищаемым ресурсам и последующая реализация ее в системе защиты информации;
    • Поставка, установка, наладка, опытная эксплуатация, устранение недостатков по результатам опытной эксплуатации и ввод в эксплуатацию системы защиты информации;
  • Оценку состояния организационно-распорядительной документации по организации защиты конфиденциальной информации на объекте информатизации (подготовят заключение об их достаточности и рекомендации по доработке в случае необходимости);
  • Разработку организационно-распорядительной документации по организации защиты конфиденциальной информации на ОИ:
    • Разработка или доработка Положения по защите конфиденциальной информации;
    • Разработка инструкций по безопасности информации;
    • Разработка журналов регистрации событий.
  • Аттестацию ОИ по требованиям безопасности информации(оценку соответствия требованиям безопасности информации);
  • Техническое обслуживание и сопровождения системы защиты конфиденциальной информации.

    • Началу обработки подлежащей защите конфиденциальной информации предшествует аттестация по требованиям безопасности информации. Это вызвано необходимостью подтверждения эффективности комплекса используемых мер и средств защиты информации. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем конфиденциальности на период времени, установленный в "Аттестате соответствия".

    После выполнения перечисленных работ, Вашей конфиденциальной информации будет обеспечен тот уровень защиты, который Вам необходим и который соответствует действующему законодательству Российской Федерации и существующей нормативно-правовой базе в области защиты информации.

Персональные данные (ПДн) - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператором ПДн является любой государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Оператор обязан принимать организационные и технические меры, для защиты персональных данных от несанкционированного доступа (НСД), уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

Информационные системы персональных данных (ИСПДн) - информационные системы, представляющие собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации - есть на каждом предприятии, в любой организации. Информационной системой персональных данных может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п.

ООО "Комплексная защита информации" поможет Вам разобраться в этой проблеме, а также проведет все необходимые мероприятия по защите Вашей информационной системы, обрабатывающей персональные данные, в соответствии с действующим законодательством Российской Федерации и существующей нормативно-правовой базой.

Наши специалисты выполнят:
  • Консультации по вопросам защиты персональных данных;
  • Анализ информационных ресурсов (определение состава, содержания, местонахождения ИСПДн; способов обработки ПДн, подлежащих защите; наличия средств защиты информации);
  • Выявление уязвимостей и возможных угроз безопасности ПДн:
    • Составление перечня уязвимостей и возможных угроз безопасности ПДн;
    • Оценка актуальности угроз безопасности ПДн;
    • Создание частной модели угроз безопасности ПДн;Дн;
  • Классификацию ИСПДн;
  • Обоснование требований безопасности ПДн, обрабатываемых в ИСПДн;
  • Оценку достаточности фактически реализованных мер защиты ПДн подготовят заключение об их целесообразности и рекомендации по их совершенствованию);
  • Создание системы защиты ПДн (СЗПДн), обрабатываемых в ИСПДн:
    • Разработка системы защиты персональных данных, обрабатываемых в ИСПДн;
    • Создание матрицы доступа к персональным данным, обрабатываемым в ИСПДн;
    • Поставка, установка, наладка, опытная эксплуатация, устранение недостатков по результатам опытной эксплуатации и ввод в эксплуатацию системы защиты персональных данных, обрабатываемых в ИСПДн;
  • Оценку состояния организационно-распорядительной документации по организации защиты ПДн (подготовят заключение об их достаточности и рекомендации по доработке в случае необходимости);
  • Разработку организационно-распорядительной документации по организации защиты персональных данных, обрабатываемых в ИСПДн:
    • Разработка Положения по обеспечению безопасности персональных данных при их обработке в ИСПДн;
    • Разработка инструкций по безопасности ПДн, обрабатываемых в ИСПДн;
    • Разработка журналов регистрации событий.
  • Аттестацию ИСПДн по требованиям безопасности информации (оценку соответствия или декларирование требованиям безопасности информации);
  • Техническое обслуживание и сопровождения системы защиты персональных данных.
Основные нормативно-правовые документы, регламентирующие защиту персональных данных:
  • Федеральный закон № 152-ФЗ "О персональных данных" от 27 июля 2006 г.
  • Положение "Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", утверждено постановлением Правительства Российской Федерации № 687 от 15 сентября 2008 г.
  • Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждены Постановлением Правительства РФ от 01 ноября 2012 г. № 1119
  • Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные Приказом ФСТЭК России от 18 февраля 2013 г. № 21
  • Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утверждены Постановлением Правительства РФ от 06 июля 2008 г. № 512
  • Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утверждено Постановлением Правительства РФ от 15 мая 2010 г. № 330
  • Методика определения актуальных угроз безопасности персональным данным при их обработке в информационных системах персональных данных, утверждена зам. директора ФСТЭК России 14 февраля 2008 г.
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена зам. директора ФСТЭК России 15 февраля 2008 г.
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены приказом ФСБ России от 21 февраля 2008 г. № 149/54-144
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/6/6-622

Невыполнение требований указанных документов может привести к конфликту с государственными органами, осуществляющими контроль и надзор в данной сфере деятельности (Роскомнадзор, ФСБ России, ФСТЭК России), привлечением организации и (или) ее руководителя к административной или иным видам ответственности.

Возможны также гражданские иски, принудительное приостановление или прекращение обработки персональных данных, при определенных условиях возможно приостановление деятельности или аннулирование лицензий. Согласно ст. 24 Федерального Закона "О персональных данных" на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством Российской Федерации ответственность.

На настоящий момент предусмотрена следующая административная ответственность для операторов персональных данных:
  • за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных: на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей (ст. 13.11 КоАП РФ);
  • за разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей: на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей (ст. 13.14 КоАП РФ);
  • за отказ в предоставлении, несвоевременное предоставление, предоставление неполной или заведомо недостоверной информации: гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина в размере от пятисот до одной тысячи рублей (ст. 5.39 КоАП РФ).
Преступлениями, влекущими за собой уголовную ответственность, являются:
  • незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев (ст. 137 УК РФ);
  • неправомерный отказ должностного лица в представлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет (ст. 140 УК РФ);
  • неправомерный доступ к охраняемой законом компьютерной информации, содержащейся на машинном носителе, в электронно-вычислительной машине, системе ЭВМ или сети, если это деяние повлекло за собой уничтожение, блокировку, модификацию, либо копирование информации, нарушение работы ЭВМ, системы или сети - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет (ст. 272 УК РФ).

Ключевая (критически важная) система информационной инфраструктуры (КСИИ) - информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.

К КСИИ относятся информационно-управляющие или информационно- телекоммуникационные системы, которые непосредственно осуществляют управление критически важными объектами и (или) информационное обеспечение управления такими объектами.

ООО "Комплексная защита информации" выполнит полный цикл работ по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (КСИИ) в соответствии с ормативно-методическими документами ФСТЭК России.

У Вас есть система, в которой циркулирует открытая информация, и для ее нормального функционирования неприемлемы остановка, сбой, отказ, искажение или подмена информации?

ООО "Комплексная защита информации" поможет Вам обеспечить целостность и доступность информации в такой системе. Примером таких систем могут служить различные базы данных, системы документооборота, удостоверяющие центры.