8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » IT-юристы » 152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

Узнать больше

Вам необходимо подготовить документы по защите ПДн? Вы можете сделать это бесплатно с помощью платформы MEDOED. Так как платформа автоматизирована и интуитивно понятна, вы легко справитесь с процессом получения документов самостоятельно даже без специальных знаний.

Если вы хотите заказать полный аудит по соответствию требованиям 152-ФЗ и проверить, насколько защищены персданные в вашей компании, сформировать модель угроз и требования по защите ПДн, то свяжитесь с нами, заполнив и отправив форму ниже.

Мы предлагаем:

  • Проведение аудита системы защиты персональных данных
  • Разработка полного пакета организационно-распорядительной документации для соответствия требованиям законодательства РФ
  • Проектирование и организация системы защиты персональных данных «с нуля»

Почему мы:

  • Большой опыт в сфере ИБ
  • Знание механизмов хищения ПДн и умение им противостоять

Важно:

В целях выполнения требований законодательства, а также во избежание санкций Роскомнадзора Организации необходимо провести аудит системы защиты персональных данных.

152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн - услуги RTM Group
152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн - от RTM Group
Узнать стоимость?
Перейти

Эксперты по аудиту на соответствие 152-ФЗ

Эксперт по аудиту на соответствие 152-ФЗ Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по аудиту на соответствие 152-ФЗ Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Защита персональных данных

Согласно Федеральному закону № 152-ФЗ лишь две категории лиц могут обрабатывать персональные данные (ПДн): операторы и лица, совершающие обработку персональных данных по поручению оператора.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Каждый оператор обязан принимать меры по защите этих сведений. Как это реализуется на практике?

Информационная безопасность по 152-ФЗ включает в себя, прежде всего, проведение подготовки по статьям 18.1 и 19 закона. Статья 18.1 регламентирует правовую подготовку, статья 19 – техническую.

Правовая подготовка подразумевает разработку внутренней организационно-распорядительной документации. В частности, пункт 4 части 1 статьи 18.1 требует, чтобы организация-оператор регулярно выполняла аудит соответствия своих процедур обработки нормам законодательства. Техническая подготовка означает, что используемые на предприятии компьютерные системы обработки данных должны быть надежно защищены.

На первый взгляд, все требования прописаны достаточно подробно. Однако реализовать их на практике непросто. Те операторы, которые сталкиваются с этой задачей впервые, не всегда могут точно сказать, отвечает ли их подготовка нормативам закона.

 

Чем грозит несоответствие по 152-ФЗ?

За нарушение требований закона обработчик персональных данных несет ответственность. Российское законодательство предусматривает обширные санкции, которые могут налагаться на оператора, не соблюдающего требования Федерального закона (ИП или руководителя предприятия). В числе этих санкций:
Чем грозит несоответствие по 152-ФЗ

  • конфискация несертифицированных средств защиты данных,
  • административная приостановка деятельности организации,
  • прекращение действия лицензии,
  • наложение штрафов,
  • возбуждение дела по признакам преступления, связанного с нарушением прав субъектов обрабатываемых данных,
  • прочие виды административной, гражданской и уголовной ответственности, вплоть до лишения свободы.

Операторам и тем, кто обрабатывает персональные данные избежать перечисленных неприятностей поможет аудит 152-ФЗ. Эксперты RTM Group помогут установить, соответствуют ли документация предприятия и системы защиты данных актуальным нормам.

    Нужна консультация?
    Задать вопрос

     

    Что представляет собой аудит?

    Программа аудита по 152-ФЗ включает изучение, анализ и оценку предприятия нормам 152-ФЗ в области защиты персональных данных. Основная задача – проверить, корректно ли и в полном ли объеме выполняются требования в конкретной компании. Также аудит может включать анализ готовности к инспекции со стороны Роскомнадзора. Здесь стоит отметить, что даже в случае качественной подготовки по букве закона компания не всегда сможет успешно пройти такую проверку. Это связано с тем, что зачастую представитель РКН запрашивает дополнительные сведения и документы, которые в компании могут отсутствовать.

    Общая схема аудита и приведения в соответствие 152-ФЗ такова:
    Общая схема аудита по 152-ФЗ

    1. Проверка организационно-правовой подготовки согласно нормам статей 18.1 и 19 (анализ документации).
    2. Проверка технических мер, направленных на защиту конфиденциальных данных согласно статье 19 (анализ защищённости систем, используемых для обработки ПДн).
    3. Оценка готовности к инспекции со стороны Роскомнадзора – проводится согласно стандартизированному плану проверки РКН и включает изучение внутренней документации, инструкции для персонала, консультирование и др.

    Обратите внимание, что аудит по пункту 2 имеет право проводить только организация, имеющая лицензию ФСТЭК РФ на ТЗКИ. Обязательно следует удостовериться в наличии такого документа у организации, выполняющей аудит. RTM Group обладает всеми необходимыми лицензиями и разрешениями, а также выполняет аудит согласно всем актуальным нормам ФЗ.

    Обработка биометрии в МФЦ и Банках в рамках приказа №453

    Согласно требованиям приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации №453 от 12 мая 2023 года, все многофункциональные центры и Банки, обрабатывающие биометрические персональные данные с целью аутентификации клиентов, обязаны проводить оценку соответствия требованиям по защите персональных данных.

    Оценка соответствия производится в области требований приказа ФСТЭК №21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”.

    Приказ ФСТЭК №21 содержит достаточно конкретные требования к системе защиты персональных данных, которые необходимо реализовать с использованием технических средств защиты.

    Согласно требованиям 453 приказа Минцифры, такая оценка должна проводиться ежегодно и с привлечением лицензиата ФСТЭК в области технической защиты конфиденциальной информации. Привлекаемые компании должны иметь лицензию по видам работ б) д) и е) пункта 4 постановления правительства РФ от 03.02.2012 №79.

    Соответствие 152-ФЗ: стоимость услуг

    Стоимость услуг на соответствие 152-ФЗ зависит от ряда факторов, среди которых – срочность, объемы проверяемых документов, сложность систем обработки.

    По итогам каждого этапа в обязательном порядке предоставляется отчёт.

    Отчёт включает в себя:
    Отчет по 152-ФЗ

    • общую оценку соответствия нормам закона,
    • оценку технических средств защиты,
    • оценку документации предприятия в области защиты конфиденциальных данных клиентов,
    • готовность документации к инспекции Роскомнадзора,
    • соответствие оператора требованиям, предусмотренным планом проверки РКН,
    • недочёты и несоответствия, которые могут быть обнаружены сотрудниками РКН.

    Подробнее о ценах

     

    Сертификация СЗПДн

    В соответствии с приказом ФСТЭК от 18 февраля 2013 г. N 21 «ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ» для обеспечения защиты персональных данных, для всех уровней защищенности, должны применяться средства защиты информации, в том числе сертифицированные органами сертификации в области технической защиты информации (ФСБ России действует в области криптографической защиты информации, а ФСТЭК России – в области технической защиты информации некриптографическими методами) и внесенные в государственный реестр сертифицированных средств защиты информации.

    Сегодня на рынке услуг по защите персональных данных можно наблюдать множество предложений по сертификации на соответствие Организации нормативным актам в области защиты персональных данных. По сути такая сертификация проводится в системе добровольной сертификации (не предусмотрена законодательством, регулирующим правоотношения в сфере персональных данных), делается по желанию руководства Организации и является маркетинговым приёмом.

    Главное, что наличие подобного сертификата в Организации не даёт никаких привилегий в глазах регулятора и никак не защитит Организацию от проверок.

     

    Лицензии 152-ФЗ

    Для оказания услуг в области аудита и оценки соответствия 152-ФЗ Организации необходимо обладание лицензиями на соответствующие виды деятельности от контролирующих органов ФСТЭК и ФСБ.

    Лицензия на деятельность:

    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

    Для соответствия требованиям регулятора в направлении защиты персональных данных проверяемой организации необходимо использовать только лицензионное ПО и средства защиты информации, имеющие поддержку посредством выпуска обновлений от вендора.

     

    Почему RTM Group

    • Мы поможем Вам увидеть реальную картину защищенности данных, а не просто, формально провести аудит. Отчет наших экспертов подробно описывает каждую из выявленных проблем и дает конкретные рекомендации по их устранению, их выполнение обеспечивает успешное прохождение проверок.
    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности.
      Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Являемся постоянными Исполнителями работ по 821-П, 757-П, 683-П для российских банков, некредитных финансовых организаций, а также платежных систем.
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по аудиту на соответствие 152-ФЗ

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:




    Оглавление:

    Что означает соответствие 152-ФЗ? Чем грозит несоответствие по 152-ФЗ? Что представляет собой аудит? Аудит для банков, МФЦ и компаний, обрабатывающих биометрию Стоимость аудита 152-ФЗ Почему RTM Group Заказать аудит по 152-ФЗ


    Видео по аудиту на соответствие 152-ФЗ

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту на соответствие 152-ФЗ

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Аудит системы защиты персональных данных на соответствие 152-ФЗ

    Анализ документации
    Анализ защищённости систем, используемых для обработки ПДн
    Оценка готовности к инспекции Роскомнадзора

    Подробное описание
     

    от 150 000 руб.

    Подготовка пакета документов

    от 100 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    Команда IT-юристов №1 в России

    Юристы с профильной подготовкой в информационных технологиях

    3 лицензии

    ФСТЭК России и ФСБ России

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Наши отзывы по аудиту на соответствие 152-ФЗ

    Благодарность от АО «Институт Гидропроект»
    24.03.2021
    Уважаемый Федор Александрович! АО «Институт Гидропроект» выражает благодарность специалистам компании ООО «РТМ ТЕХНОЛОГИИ» за проведение аудита процессов обработки персональных данных и приведение их к соответствию существующим требованиям по защите. По итогу работ специалисты ООО «РТМ ТЕХНОЛОГИИ» дали объективную оценку эффективности процессов обработки персональных данных в АО «Институт Гидропроект», а также необходимые рекомендации по повышению уровня безопасности информационных систем персональных данных. АО «Институт Гидпропроектов» высоко оценил профессионализм и вовлеченность ваших специалистов, и выражает отдельные слова благодарности Гончарову Андрею Михайловичу, Алтухову Артёму Валерьевичу и Кунавину Валерию Евгеньевичу. Надеемся на продолжение эффективного сотрудничества в области обеспечения информационной безопасности в будущем и желаем успехов Вашей компании. Генеральный директор Е.Н. Беллендир
    Благодарность от ООО «ВИВА»
    20.05.2021
    Компания ООО «ВИВА» выражает благодарность Вам и экспертам ООО «РТМ ТЕХНОЛОГИИ» за оказание услуг «Аудит системы защиты персональных данных». Мы искренне благодарим Вас за своевременность, оперативность и ответственность при оказании услуги. За период нашей совместной работы ООО «РТМ ТЕХНОЛОГИИ» зарекомендовали себя как надежный исполнитель, способный выполнять сложные задачи на высоком профессиональном уровне. Желаем Вам процветания и успехов в реализации новых проектов. С уважением, директор ООО «ВИВА» Чистова И.А.
    Благодарность от компании "Оптимальная тепловая энергетика"
    19.07.2021
    Благодарим менеджера по работе с ключевыми клиентами Федора Мартынова и эксперта по защите ПнД Гончарова Андрея за оперативную, грамотную консультацию. Вопрос был разложен по полочкам, доступно и профессионально. Очень доброжелательное и вежливое отношение к клиентам. Рекомендуем компанию RTM Group. Быстрое, четкое решение проблем.
    Благодарность от компании ООО "ТаймВэб"
    26.07.2021
    ООО «ТаймВэб» благодарит компанию RTM Group (ТОО «РТМ ТЕХНОЛОГИИ») за профессиональный подход к проведению аудита системы защиты персональных данных на соответствие требованиям 152-ФЗ по и разработке организационно-распределительной документации в части защиты ПДн. Отмечаем высокий уровень компетентности специалистов, а в частности Гончарова Андрея Михайловича и Кунавина Валерия Евгеньевича. Надеемся на дальнейшее сотрудничество и рекомендуем компанию как надежного партнера. Генеральный директор ООО "ТаймВэб" Баширов Андрей Владимирович

    Наши кейсы

    Сокрытие части инфраструктуры предприятия

    При анализе ситуации было обнаружено, что две функционирующие ИСПДн не были включены в область оценки. Организации-заказчику требовалось провести анализ ситуации и устранить указанные проблемы.

    Анализ процессов обработки персональных данных

    Проведение анализа процесса обработки ПДн. Выяснилось, что у заказчика имеются проблемы в области уничтожения и хранения данных, а также других аспектах, в итоге процесс обработки ПДн значительно улучшился с точки зрения безопасности.

    Услуги для вас

    Услуга ИТ-юристы | Ведение судебных процессов

    ИТ-юристы | Ведение судебных процессов

    - Сопровождение и поддержка текущей деятельности организации
    - Услуги IT-юристов в судебных процессах
    - Какими судебными делами занимаются ИТ-юристы?
    - Контакт между юристами и ИТ-профессионалами
    - Почему юристы RTM Group?
    - Как заказать услуги ИТ-юриста?
    Услуга Организация безопасного рабочего места бухгалтера (защита системы ДБО)

    Организация безопасного рабочего места бухгалтера (защита системы ДБО)

    — Какие нарушения внутри организации создают дополнительные уязвимости системы ДБО?
    — Почему до 2018 года клиентам было сложно доказать вину банка в случае возникновения инцидента?
    — Описание этапов проведения работ по защите системы ДБО
    — Конфиденциальность и гарантии после создания безопасного рабочего места бухгалтера
    Услуга Экспертиза по анализу защищенности программного обеспечения или IT-системы

    Экспертиза по анализу защищенности программного обеспечения или IT-системы

    - Подходы к проведению анализа защищенности
    - Пентесты
    - Анализ защищенности систем дистанционного банкинга (ДБО)
    - Какие могут быть последствия неустранения обнаруженных уязвимостей?
    - Какие действия должны быть произведены при наличии обнаруженных уязвимостей?
    - Технический аудит информационной безопасности
    - Судебная экспертиза по анализу защищенности
    Услуга Услуги по обеспечению информационной безопасности

    Услуги по обеспечению информационной безопасности

    - Какие услуги предлагают профессионалы по ИБ?
    - Решение любых вопросов по обеспечению информационной безопасности
    Услуга Аудит информационной безопасности

    Аудит информационной безопасности

    — Цели аудита информационной безопасности
    — Процесс аудита информационной безопасности
    — Стандарты и виды аудита информационной безопасности
    — Варианты аудитов информационной безопасности
    — Планы и программы аудита информационной безопасности
    — Этапы аудита информационной безопасности
    — Отчет по аудиту информационной безопасности
    — Где заказать аудит информационной безопасности
    Услуга Полная защита для операторов персональных данных

    Полная защита для операторов персональных данных

    — Приведение процессов обработки в соответствие требованиям законодательства
    — Разработка ОРД в области законной обработки и защиты персональных данных
    — Моделирование угроз
    — Консультация работников в области обеспечения защиты и защищенной обработки ПДн
    — Сопровождение работ по внедрению средств защиты
    — Сопровождение проверок регуляторов

    Продукты и решения для вас

    Офисный пакет

    Офисный пакет

    Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
    ПК (АРМ)

    ПК (АРМ)

    ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
    Сервер

    Сервер

    Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
    Системы защиты информации

    Системы защиты информации

    Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
    СХД

    СХД

    Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
    DLP

    DLP

    DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
    SIEM

    SIEM

    SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

    Межсетевые экраны

    Межсетевые экраны

    Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
    Управление уязвимостями

    Управление уязвимостями

    Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

    Антивирусы

    Антивирусы

    Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
    Цифровая криминалистика

    Цифровая криминалистика
    Операционные системы

    Операционные системы

    Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

    Информационная безопасность

    Информационная безопасность

    Нам доверяют

    Полезные статьи

    Статья Что такое ГОСТ 57580?

    Что такое ГОСТ 57580?

    - Понятие ГОСТ 57580
    - Краткий обзор ГОСТ 57580
    - Применение ГОСТа
    - Заключение
    Статья Электронные паспорта. Есть ли риск утечки персональных данных?

    Электронные паспорта. Есть ли риск утечки персональных данных?

    Электронный паспорт – новый документ, удостоверяющий личность, который Правительство РФ планирует в ближайшем будущем ввести повсеместно.
    Статья Защита персональных данных при аутсорсинговой обработке

    Защита персональных данных при аутсорсинговой обработке

    Обработка персональных данных… многие слышали, читали об этом, но понять до конца трудно, «что это такое и с чем это едят».
    Статья Что такое базовая модель угроз ФСТЭК?

    Что такое базовая модель угроз ФСТЭК?

    Моделирование угроз, реальное предназначение модели угроз, основные документы по теме. Описание процесса разработки.
    Статья Типы и классификация ИСПДн

    Типы и классификация ИСПДн

    Статья о том, что такое ИСПДн, какие типы и классификации ИСПДн существуют, чем они отличаются и как их определить. От экспертов RTM Group.
    Статья Классификация информационных систем

    Классификация информационных систем

    Рассказываем про актуальную классификацию информационных систем по всем существующим критериям. Материал от экспертов RTM Group.
    Статья Защита персональных данных

    Защита персональных данных

    Статья о мерах по защите персональных данных. Разбираем основные понятия, участие субъекта и оператора, а также актуальное законодательство по теме.
    Статья Банк данных угроз безопасности информации. Что такое банк угроз ФСТЭК?

    Банк данных угроз безопасности информации. Что такое банк угроз ФСТЭК?

    — Содержимое банка угроз ФСТЭК;
    — Цель Банка угроз;
    — Банк угроз ФСТЭК: основные моменты.
    Статья Защита биометрических персональных данных

    Защита биометрических персональных данных

    — Хранение и защита биометрических данных;
    — Защита биометрических данных и закон;
    — От чего необходимо защищать биометрические данные?;
    — Защита биометрических данных: основные моменты.
    Статья Особенности реализации GDPR

    Особенности реализации GDPR

    25 мая 2018 года вступил в силу регламент Европейского союза о защите персональных данных. Данный регламент был разработан для защиты персональных данных резидентов и жителей ЕС, а его главной особенностью является то, что его требования распространяются не только на страны Евросоюза.
    Статья Аттестация объектов информатизации по ГОСТ

    Аттестация объектов информатизации по ГОСТ

    В этой статье рассмотрим аттестацию объектов информатизации для ГИС. Узнаем нормативную базу области, рассмотрим суть и основные этапы.
    Статья Как защитить персональные данные в соответствии с новым приказом Минцифры №453

    Как защитить персональные данные в соответствии с новым приказом Минцифры №453

    Особое внимание операторам биометрических ПДн необходимо обратить на новый Приказ Минцифры № 453,который пришел на замену Приказа № 930.
    Статья Правила защиты персональных данных: обучение сотрудников компании

    Правила защиты персональных данных: обучение сотрудников компании

    Какой идеальной бы с технической точки зрения не была система защиты персональных данных, огромную угрозу несут сами сотрудники компании, поэтому важно проводить обучение сотрудников правилам защиты информации.
    Статья Моделирование угроз на предприятии

    Моделирование угроз на предприятии

    Особенности процессов моделирования угроз и расчета рисков, их взаимосвязи и рекомендации к их составлению для тех, на кого распространяются требования к моделированию угроз (операторы ПДн, субъекты КИИ и т.д.) и оценка рисков (кредитные и некредитные финансовые организации).
    Статья Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

    Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

    Для функционирования в штатном режиме, финансовым организациям необходимо реализовать правильную систему защиты информации (далее — система ЗИ). Контроль за исполнением необходимых требований осуществляют регуляторы в лице Банка России (далее — БР), ФСБ, ФСТЭК, Роскомнадзора и Минцифры. Они предоставляют компаниям необходимую нормативную базу, позволяющую правильно выстроить систему ЗИ в компании.
    Статья Обзор проекта отраслевого стандарта защиты данных

    Обзор проекта отраслевого стандарта защиты данных

    Участники Ассоциации больших данных (АБД) работают над внедрением добровольного отраслевого стандарта, который поможет защищать данные. Этот стандарт разработан для установления общих правил и норм в области защиты информации (ЗИ), особенно в контексте большого объема данных.
    Статья Ваши персданные все равно утекут — что с этим делать?

    Ваши персданные все равно утекут — что с этим делать?

    В этой статье эксперты RTM Group рассказали, насколько серьезно организации заботятся о сохранности персональных данных и о том, где и кем они могут быть использованы в случае утечки.
    Статья Защита персональных данных: почему не уделяют внимания и почему придется уделить

    Защита персональных данных: почему не уделяют внимания и почему придется уделить

    Регуляторы со стороны Роскомнадзора (далее — РКН) и ФСБ серьезно взялись за организации, которые обрабатывают персональные данные (далее — ПДн). На это указывают новые документы, которые уже вступили в силу.
    Статья Что представляет собой Федеральный закон «О персональных данных» N 152-ФЗ и какая ответственность за его нарушения

    Что представляет собой Федеральный закон «О персональных данных» N 152-ФЗ и какая ответственность за его нарушения

    Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – № 152-ФЗ, Закон, ФЗ «О персональных данных») регулирует отношения связанные с обработкой персональных данных, осуществляемой государственными органами, муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств (ст. 1 № 152-ФЗ).

    Статья Юрист в сфере IT. Кто он?

    Юрист в сфере IT. Кто он?

    Профессия IT-юриста носит универсальный характер и востребована во всех секторах экономики, где используются новые информационные технологии.

    Статья Положение ЦБ РФ №821-П

    Положение ЦБ РФ №821-П

    Центральный Банк утвердил новое положение №821-П на замену №719-П, где  определены новые и пересмотрены старые требования по защите информации.
    Статья Обзор проекта федерального закона № 502113-8 «О внесении изменений в Уголовном кодексе Российской Федерации»

    Обзор проекта федерального закона № 502113-8 «О внесении изменений в Уголовном кодексе Российской Федерации»

    В проекте федерального закона говорится о внесении изменений в статью 272 УК РФ, а именно — дополнение этой статьи подпунктом 272.1, который будет отличаться более точной областью применения.
    Статья Консультации граждан на портале «Госуслуги» при помощи технологии ChatGPT

    Консультации граждан на портале «Госуслуги» при помощи технологии ChatGPT

    Внедрение технологии ChatGPT на портале «Госуслуги» России представляет собой значительный шаг вперед в области обслуживания граждан.
    Статья Гайд для родителей: как обеспечить безопасность детей в интернете

    Гайд для родителей: как обеспечить безопасность детей в интернете

    В интернете дети получают доступ к информации, образованию и общению, но существует растущая угроза террористической пропаганды. Это поднимает вопросы о безопасности детей в сети и необходимости принятия мер для их защиты.
    Статья Методы безопасного хранения паролей: от простых приемов до использования менеджеров паролей

    Методы безопасного хранения паролей: от простых приемов до использования менеджеров паролей

    Эксперты RTM Group рассказали, как на самом деле нужно хранить пароли и что нужно делать, чтобы их не взломали злоумышленники.
    Статья Что нужно, чтобы защитить персональные данные? Руководство для малых компаний, заботящихся о безопасности

    Что нужно, чтобы защитить персональные данные? Руководство для малых компаний, заботящихся о безопасности

    В современном мире, где защита персональных данных становится одним из важнейших вопросов, каждый человек оставляет следы своей активности в интернете, к примеру, при совершении онлайн-покупок, взаимодействии в социальных сетях или при посещении веб-сайтов. Очень важно осознавать, что эти данные могут быть использованы без нашего ведома и согласия, если не будут адекватно защищены.
    Статья Осторожно – дети в интернете

    Осторожно – дети в интернете

    Количество мошеннических атак на детей с использованием сети Интернет, в частности мессенджеров и социальных сетей, резко увеличилось с 2020 года. По числу обращений мы видим рост более чем на 100% от года к году. В этом материале мы вместе с психологом разобрали самые популярные схемы и методы противодействия киберпреступникам.

    FAQ: Часто задаваемые вопросы

    Мы не являемся оператором по персданным, просто интернет-магазин. Чему мы должны соответствовать?

    Здравствуйте.
    Если интернет-магазин осуществляет сбор и обработку данных клиентов (имя, email, номер телефона и проч.), то юридическое лицо автоматически становится оператором персональных данных. В этой ситуации необходимо соответствовать не только 152-ФЗ, но и постановлению правительства №1119.

    Кто такой администратор безопасности ПДн?

    Администратор безопасности персональных данных (ПДн) – роль, на которую назначается сотрудник организации для обеспечения защиты ПДн. В круг типовых задач администратора безопасности ПДн входит настройка механизмов защиты ОС, конфигурирование используемых средств защиты информации и анализ их логов, предоставление прав доступа пользователей к информационным ресурсам, а также ряд других задач для обеспечения целостности, конфиденциальности и доступности ПДн.

    Здравствуйте. Помогите разобраться: предприятие обрабатывает ПД работников в ИСПД типа 1С, Success Factors. В состав ПД входят обычные ПД и биометрические (фото). Обеспечение какого уровня защищенности необходимо?

    Согласно пункту г) статьи 11 Постановления Правительства РФ от 1 ноября 2012 г. N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, системы, обрабатывающие биометрические персональные данные, требуется защищать в соответствии с 3 уровнем защищенности ИСПДн. В зависимости от угроз, характерных для информационной системы (наличие незадекларированных возможностей в системном либо в прикладном программном обеспечении) может потребоваться обеспечение безопасности в соответствии со 2 либо 1 уровнем защищенности (пункт в) статьи 10, пункт а) статьи 9 Постановления 1119). Если в информационной системе обрабатываются персональные данные без биометрии, то при обработке данных менее 100000 субъектов требуется защита в соответствии с 4 уровнем защищенности ИСПДн (пункт б) статьи 12 Постановления 1119).

    Является ли театр оператором персональных данных?

    Если в Театре используются информационные системы, обрабатывающие ПДн, то, согласно Федеральному закону № 152 “О персональных данных”, Театр является оператором этой системы и обязан обеспечить безопасность персональных данных с помощью системы защиты ПДн. Оператор персональных данных обязан определить перечень ИСПДН, в которых обрабатываются ПДн и реализовать систему защиты ПДн.

    Выбор средств защиты информации для системы защиты ПДн осуществляется оператором во исполнение Федерального закона № 152 “О персональных данных”.

    Для обеспечения безопасности персональных данных оператор должен:

    1. Определить угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (модель угроз согласно методике ФСТЭК от 5 февраля 2021 г.);
    2. Обеспечить применение мер по обеспечению безопасности персональных данных для уровней защищенности персональных данных (согласно ПП № 1119);
    3. Обеспечить применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    4. Проводить оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
    5. Вести учет машинных носителей персональных данных.