Оценка соответствия Российским и международным стандартам

Обеспечение соответствия требованиям Федерального закона №152-ФЗ «О персональных данных

27 июля 2006 года был принят, а 26 января 2007 года вступил в силу Федеральный закон №152-ФЗ «О персональных данных», который определяет и предъявляет требования к защите персональных данных субъектов (сотрудников, клиентов, посетителей и т. д.).

С учетом поправок от 25 июля 2011 года (261-ФЗ) к 152-ФЗ «О персональных данных» данный закон предъявляет достаточно жесткие требования к операторам (организациям, обрабатывающим ПД) в части организации процесса защиты персональных данных.

Многие пункты закона требуют разъяснения и то, что кажется не всегда выполнимым, может быть поводом для нетривиального решения задачи.

Задачи, которые мы совместно решаем при проведении работ по защите персональных данных:

  • выявление каналов персональных данных и формы их носителей;

  • документирование существующих процессов обработки персональных данных;

  • ранжирование персональных данных, циркулирующих в компании, составление карт движения и допуска к обработки персональных данных;

  • обоснование требований к организационно техническим мерам обработки персональных данных;

  • обоснование классификации информационных систем используемых для обработки персональные данные;

  • легирование и анализ действующих организационно- технических мер обеспечивающих безопасность обработки персональных данных;

  • разработка моделей угроз безопасности, возникающих при обработке персональных данных в информационных системах клиента;

  • организационно-техническое проектирование системы защиты персональных данных в информационных системах;

  • поставка технических решений, внедрение и сопровождение средств защиты информации;

  • внедрение и контроль внедрения организационных мер защиты обработки персональных данных.

Наш опыт.

За прошедшее время, с даты введения закона в силу, наши специалисты завершили достаточно количество проектов на исполнение требований закона и построение системы безопасности обработки персональных данных. Нам доверяют!

Наш подход.

Мы сформировали собственный подход в решении задачи по построению комплексной системы защиты персональных данных. Как правило это происходит следующим образом:

Шаг 1 Аудит - Выявление существующих ресурсов, систем и источников персональных данных.

Шаг 2 Разработка плана технических и организационных мер по реализации.

Шаг 3 Внедрение решений.

Шаг 4 Сопровождение решений.

Полную уверенность в решении задачи обеспечения защиты персональных данных и выполнение требований закона вы обретаете за 5 шагов.

Аудит существующей системы. Реальный взгляд на вещи.

Безусловно, проведение детального анализа существующих информационных систем, описание бизнес процессов связанных с циркуляцией персональных данных, выявление и систематизация ресурсов задействованных в обработке персональных данных - важнейшая задача в процессе подготовки решения. Мы стремимся увидеть картину своими глазами, что позволяет, в дальнейшем, предложить самые оптимальные решения, учитывая текущую ситуацию компании.

Разработка плана технических и организационных мер по реализации.

Безусловно совместно, опираясь на результаты аудита, мы разрабатываем оптимальный план организационно технических мер. Этот план может включать в себя как минимальный набор действий для выполнения закона, если задача только в этом, так и полный перечень решений для построения комплексной системы защиты персональных данных в информационной среде компании.
Внедрение решений.

Все работы по реализации плана мы берем на себя, обеспечивая сохранение оговоренных сроков внедрения решений.

Сопровождение решений.

На внедрение решений, как правило, все не заканчивается. С каждым из своих клиентов мы продолжаем работу обеспечивая:

  • периодический независимый аудит состояния системы безопасности обработки персональных данных, как наиболее эффективное средство поддержания актуальности;

  • консультирование по вопросам изменений законодательства в области персональных данных;

  • доработка и изменение по требованию перечня организационно-технических мер обеспечения безопасности персональных данных;

  • консультационная деятельность и поддержка во время проведения внешних проверок системы регулирующими органами.

В зависимости от размера вашей компании, сферы деятельности и задач которые вы ставите перед системой защиты персональных данных, мы готовы предложить индивидуальное решение с максимально возможной эффективностью.

Наш телефон в Москве +7 (495) 972-98-26

 

Обеспечение соответствия требованиям Федерального закона №161-ФЗ «О национальной платежной системе»

27 июня 2011 года был принят Федеральный закон № 161-ФЗ «О национальной платежной системе» (далее ФЗ «О НПС»). Данный закон устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, деятельность субъектов национальной платежной системы, а также определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе.

Ранее в вопросах обеспечения информационной безопасности организации банковской системы РФ в основном ориентировались на положения комплекса документов Банка России в области стандартизации информационной безопасности, требования и рекомендации которых многие участники банковской системы уже реализовали в своих организациях.

Положения ФЗ «О НПС» устанавливают регулярную отчетность по обеспечению защиты информации при осуществлении переводов денежных средств перед Банком России для операторов платежных систем, операторов по переводу денежных средств и операторов услуг платежной инфраструктуры, а так же устанавливают ответственность за неисполнение установленных в них требований.

Требования ФЗ «О НПС» обязательны к исполнению, для:

  • банков, как операторов по переводу денежных средств;

  • банковских платежных агентов/субагентов (компании, за исключением кредитных организаций, осуществляющие прием платежей физических лиц);

  • операторов платежных систем (например, Visa, MasterCard, Unistream, Western Union, УЭК и т.д.);

  • операторов услуг платежной инфраструктуры (операционный центр, платежный клиринговый центр и расчетный центр).

Независимо от роли, которую организация играет в рамках платежной системы, к ней применимы и обязательны для исполнения требования ФЗ «О НПС» и нормативные документы Банка России, разработанных на основании ФЗ «О НПС».

Мероприятия по выполнению требования ФЗ «О НПС» решают задачи:

  • Оценки состояния текущего уровня безопасности. Позволяет получить актуальную и независимую оценку состояния системы обеспечения информационной безопасности при осуществлении переводов денежных средств в организации.

  • Соответствие текущему законодательству. Позволяет обеспечить соблюдение полного соответствия системы защиты платежей требованиям ФЗ «О НПС» и нормативных документов Банка России, разработанных на его основе.

  • Повышение уровня безопасности до уровня, удовлетворяющего потребностям бизнеса. Позволяет обеспечить необходимый и достаточный уровень защиты информации при осуществлении переводов денежных средств.

  • Оптимизация затрат на информационную безопасность. Позволяет оптимизировать затраты на построение системы обеспечения информационной безопасности компании.

Мы предлагаем комплексный подход к задаче.

Опираясь на опыт нашей команды и результаты успешных внедрений, мы предлагаем своим клиентам комплексную услугу по выполнению требований ФЗ «О НПС» и нормативных документов Банка России, разработанных на его основе.

Наше решение в себя включает:

  • Анализ соответствия требованиям законодательства. При проведении анализа специалисты нашей компании изучают внутренние нормативные документы, проводят интервью с сотрудниками и анализируют процессы обеспечения информационной безопасности в компании.

  • Результатам этого этапа является подробный отчет о проведенном анализе и оценка уровня соответствия информационной системы.

  • Разработку рекомендаций по корректировки системы. Основываясь на результатах анализа, наши специалисты разрабатывают программу мер по совершенствованию системы информационной безопасности компании и приведению ее в соответствие с текущими требованиями законодательства по защите информации в Национальных платежных системах.

  • Результатам этого этапа является подробный список организационно-технических мер, которые требуется внедрить в организации.

  • Совершенствование существующих и разработка необходимых документов. Основываясь на рекомендациях, строго соблюдая требования регламентирующих документов и учитывая особенности бизнес процессов, мы разработаем требуемый пакет документов, правил и инструкций, а в случае необходимости скорректируем и дополним существующую документацию компании.

  • Результатом данного этапа является наличие у вас исчерпывающего пакета документов и правил в соответствии с законодательством РФ.

  • Проектирование и внедрение технических решений. Основываясь на результатах анализа и с учетом потребностей бизнеса, наши специалисты подготовят возможные варианты решения задач по построению или совершенствованию системы информационной компании, а после согласования решения, обеспечат 100% внедрение поставляемых решений, включая:

    • Сертифицированные средства шифрования.

    • Средства антивирусной защиты.

    • Средства противостояния и обнаружения вторжений.

    • Средства аутентификации и другие требуемые решения.

  • Работа с персоналом и повышения осведомленности. Мы подготовим и донесем до ваших сотрудников требуемые регламенты, правила и инструкции в области обеспечения информационной безопасности.

За подробной информацией по вопросам выполнения требований ФЗ «О НПС» обращаетесь по телефону +7 (495) 972-98-26.

 

Обеспечение соответствия требованиям СТО БР ИББС


 

Банком России 21.06.2010 для кредитных организаций введен в действие Стандарт Банка России, который рекомендуется к внедрению.

Выполнение требований Стандартов Банка России позволяет построить комплексную систему защиты информационных активов Банка, обрабатываемых как в ИСПДн, так и в иных информационных системах, в которых обрабатывается конфиденциальная информация.

Внедрение решений в соответствии с СТО БР ИББС имеет смысл если:

  • для вас важно построить комплексную систему информационной безопасности организации в соответствии с законодательством и снизить существующие риски;

  • вы стремитесь к повышению уровня доверия со стороны партнеров и регулирующих органов;

  • стоит задача выполнение требований законодательства по защите персональных данных;

  • в ваши планы входит построение комплексной системы информационной безопасности с возможностью сертификации по международным стандартам;

  • для вас важно повысить уровень защиты критичных бизнес-процессов и информационных ресурсов компании.

Мы обладаем ценным практическим опытом успешного внедрения Стандарта Банка России в ряде кредитных организациях, что подтверждено независимым аудитом на соответствие.

Совместными усилиями мы выработаем персонализированный план реализации процесса внедрения стандарта, здесь нам помогает опыт наших специалистов и четкое понимание тех целей, которые вы преследуете.

Вероятнее всего план будет включать в себя 5 составляющих.

1. Оценка соответствия существующей системы банка требованиям стандарта.

Оценку соответствия мы проводим по всем групповым показателям Стандарта СТО БР ИББС, часть из которых касается защиты персональных данных, и определяют основные направления:

  • o текущий уровень информационной безопасности;

  • o менеджмент управление информационной безопасностью;

  • o осознание информационной безопасности.

Результатом оценки является определение текущего состояние информационной безопасности банка и соответствие стандарту, в том числе и в рамках защиты персональных данных.

2. Оценка рисков информационной безопасности и их анализ.

Проводимая работа позволяет определить и составить перечень рисков, существующих в компании и провести их ранжирование по степени критичности (в том числе и в части защиты персональных данных).

Итогом работы станет набор конкретных рекомендаций по устранению выявленных несоответствий и план мероприятий по повышению степени соответствия требованиям СТО БР ИББС.

3. Разработка требуемой документации и плана мероприятий по внедрению.

В полном соответствии со стандартом и на основании реального опыта наших специалистов мы разработаем полный перечень необходимых документов и список мер, обеспечивающих эффективное решение стоящих перед организацией задач.

4. Реализация программы внедрения.

Совместными усилиями мы осуществим внедрение плана мероприятий по приведению системы информационной безопасности в соответствие со стандартом. Пи этом мы осуществляем:

  • консультационную работу для повышения уровня ваших специалистов;

  • проведение мероприятий своими силами;

  • поставку технических решений и их сопровождение;

  • оценку результатов внедрения и адаптационные работы.

5. Оценка соответствия созданной системы требованиям СТО БР ИББС
Полный аудит созданной системы информационной безопасности на соответствие стандарту СТО БР ИББС станет завершающим этапом работы.

После завершения внедрения стандарта или вне этого процесса мы готовы обеспечить вам:

  • Поддержку для проведения самооценки системы на соответствие стандарту.

  • Оказать помощь в переходе на новую версию стандарта.

  • Осуществить консультирование по вопросам изменений стандарта и предложить план корректирующих мер.

  • Провести независимый аудит системы, подтвердив соответствие стандарту.

  • Оказать поддержку при внешней проверке регулирующих органов.

На каком бы этапе внедрения стандарта вы бы не находились, какую цель бы не преследовали, каким бы игроком кредитной сферы вы бы не являлись, мы найдем оптимальное решения для Ваших задач.