Содержание
- 1 Защита персональных данных сертификация
- 2 Сертификация средств защиты информации (СЗИ) по требованиям безопасности информации: сертификация и сертификационные испытания в системах сертификации ФСТЭК России, Минобороны России, ФСБ России, «АйТи-Сертифика»
- 3 Персональные данные
- 4 152-ФЗ «О персональных данных»
- 5 Защита персональных данных сертификация
- 6 Защита персональных данных сертификация
- 7 Персональные данные
Защита персональных данных сертификация
08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).
Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.
Обучение
Реклама
Партнеры
Форум
Цитата |
---|
В соответствии с Приказом 58 от 5.02.2010 г. п.2.12 для класса К2 и К3 необходимость использования сертифицированных средств определяется оператором.
Да откуда же вы это взяли??
Уже не первый раз читаю и поражаюсь, как можно извернуть то, что написано.
А написано там так:
2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом)
Здесь речь идёт про контроль отсутствия НДВ, а не про сертификацию. И не вводите людей в заблуждение.
Дмитрий, как написал AlexG, только СЗИ д/б сертифицированы — то, что по вашей модели угроз является защитой от возможных угроз. А всё остальное ПО — нет.
Источник: http://ispdn.ru/forum/forum1/topic2649/
Сертификация средств защиты информации (СЗИ) по требованиям безопасности информации: сертификация и сертификационные испытания в системах сертификации ФСТЭК России, Минобороны России, ФСБ России, «АйТи-Сертифика»
АО «НПО «Эшелон» выполняет услуги по сертификации программного обеспечения, средств защиты информации, автоматизированных систем и систем менеджмента информационной безопасности (СУИБ).
АО «НПО «Эшелон» аккредитовано в качестве органа по сертификации ФСТЭК России и испытательных лабораторий в системах обязательной сертификации Минобороны России, ФСБ России, ФСТЭК России и добровольной сертификации «АйТи-Сертифика».
Испытательная лаборатория АО «НПО «Эшелон» проводит полный перечень испытаний продуктов и систем, в том числе:
- на соответствие требованиям по защищенности от несанкционированного доступа к информации;
- на отсутствие недекларированных возможностей (в т.ч. программных закладок);
- на соответствие заданию безопасности (по требованиям ГОСТ Р ИСО/МЭК 15408);
- на соответствие реальных и декларируемых в документации функциональных возможностей ( в т. числе и на соответствие требованиям Технических Условий);
- на соответствие криптографическим и инженерно-криптографическим требованиям (КИКТ) к программным датчикам случайных чисел (ПДСЧ);
- на соответствие требованиям по безопасности технологий разработки;
- на соответствие требованиям международных стандартов, стандартов предприятия и др.
За последние несколько лет сотрудники АО «НПО «Эшелон» участвовали в сертификации более 700 продуктов и систем ведущих российских и зарубежных производителей:
В 2007-2012 гг. сотрудниками компании проведено более 200 экспертиз материалов сертификационных испытаний, в т.ч. продуктов Microsoft, Oracle, Cisco, Check Point, Nortel, Huawei, Avaya, Juniper Networks и др.
АО «НПО «Эшелон» имеет опыт сертификации продуктов и профилей защиты по требованиям ГОСТ Р ИСО/МЭК 15408-2002.
Сотрудники АО «НПО «Эшелон» являются экспертами ряда федеральных, ведомственных и аккредитованных органов по сертификации СЗИ и лицензированию в области защиты информации.
Кроме того, АО «НПО «Эшелон» проводит аудит и сертификацию систем управления (менеджмента) информационной безопасности на соответствие ГОСТ ИСО 27001-2006 в системе добровольной сертификации и ISO 27001 в системе BSI.
Учебный центр АО «НПО «Эшелон» проводит авторские курсы по подготовке экспертов испытательных лабораторий.
Для оценки себестоимости работ по сертификации продуктов, систем и средств защиты информации просим присылать запрос на адрес: mail
Источник: http://npo-echelon.ru/services/certification/
Персональные данные
Любая организация должна обеспечивать информационную безопасность персональных данных (ПДн) своих сотрудников, клиентов и партнеров в соответствии с Федеральным законом №152-ФЗ «О персональных данных». Для выполнения требований организации внедряют организационные и технические меры защиты персональных данных.
НПО «Эшелон» оказывает полный комплекс услуг по защите персональных данных в организациях:
- анализ выполнения нормативных требований по защите персональных данных;
- разработка внутренних регламентирующих документов по организации, обработке и защите персональных данных;
- техническое проектирование системы защиты персональных данных;
- поставка и внедрение средств защиты информации;
- аттестация информационных систем персональных данных по требованиям безопасности информации.
Наши специалисты успешно делятся своим практическим опытом в ходе проведения курса «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» (программа курса согласована со ФСТЭК России) в учебном центре «Эшелон».
Источник: http://npo-echelon.ru/services/ispdn/
152-ФЗ «О персональных данных»
С 01.01.2011 г. вступил в силу федеральный закон №152-ФЗ «О персональных данных». Работа с персональными данными на компьютерах с использованием программного обеспечения, не имеющего сертификата соответствия ФСТЭК, с 01.07.2011 г. будет являться нарушением ФЗ «О персональных данных» и повлечет за собой наказание в соответствии с действующим законодательством.
В соответствии с п. 1 ст. 3 Закона №152-ФЗ персональные данные составляет любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Операторами обработки персональных данных являются органы государственной власти, органы местного самоуправления, юридические лица, физические лица, осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обладая достаточно широкой сферой действия, Закон №152-ФЗ распространяется, в том числе и на трудовые отношения. Согласно ст. 85 Трудового кодекса РФ к персональным данным работника относит информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника.
В соответствии со ст. 7 Закона №152-ФЗ операторы и третьи лица, получающие доступ к персональным данным, должны обеспечивать их конфиденциальность.
В числе мер по обеспечению безопасности персональных данных при их обработке ст. 19 Закона №152-ФЗ на оператора возлагается обязанность принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных установлены Постановлением Правительства РФ от 17 ноября 2007 года №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», правовыми актами, нормативными актами Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ.
Одним из таких требований является использование системы защиты персональных данных и в том числе программного обеспечения, которое сертифицировано в системах сертификации ФСТЭК России, ФСБ России.
С момента вступления в силу Закона №152-ФЗ обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с таким законом, что предполагает исполнение операторами всех требований к используемому программному обеспечению. В отношении информационных систем персональных данных, созданных до 1 января 2010 года, установлен срок — 1 января 2011 года, не позднее которого такие системы должны быть приведены в соответствие с требованиями указанного закона.
Что именно сертифицируется в процессе сертификации?
При сертификации продукта на соответствие российским требованиям по безопасности сертифицируются именно встроенные в продукт средства защиты информации.
Если организация обязана использовать продукты с сертифицированными средствами защиты информации (к таким организациям, как уже говорилось, относятся все государственные организации), но продукт, который она хочет использовать еще не сертифицирован, то организация должна использовать с таким продуктом стороннее средство защиты информации именно для этого продукта. Такие средства защиты обычно называют наложенными средствами. Именно так до сертификации Windows для целей соответcтвия законодательству использовались некоторые разработки российских компаний.
Использование наложенных средств защиты информации не только существенно удорожает продукт, но и подчас резко снижает возможность взаимодействия этого продукта с другими программными и аппаратными продуктами. Поэтому производители сертифицируют свои продукты со встроенными средствами защиты информации – так удобнее и дешевле для заказчиков, которые хотят быть законопослушными.
Как видно из приведенных выдержек из законодательства, некоторые организации должны не только использовать продукты с сертифицрованными средствами защиты информации, но и должны аттестовывать свои рабочие места.
Поясним некоторые связи использования сертифицированных продуктов и аттестации рабочих мест для работы с конфиденциальной информацией:
- Процедуру аттестации рабочих мест для работы с конфиденциальной информацией проводят органы ФСТЭК и их лицензиаты по всей стране.
- Сертифицированный продукт часто является необходимым (но недостаточным) условием получения аттестата на рабочее место для работы с конфиденциальной информацией.
Что Закон требует защищать?
Персональные данные (ПД ).
Какие категории ПД подлежат защите согласно Приказу ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных»?
- Категория 1 — специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- Категория 2 — персональные данные, которые позволяют идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
- Категория 3 — персональные данные, которые позволяют идентифицировать субъекта персональных данных.
- Категория 4 — обезличенные и (или ) общедоступные персональные данные.
Пример: Отдельно фамилия является данными 4-й категории, сочетание фамилии и адреса — третьей, фамилия, адрес, номера страховок и карт — второй, а если к этим данным добавлена электронная медкарта, то такие персональные данные относятся к первой категории.
Вывод: Все компании имеют ХПД=3 и ниже и, следуя Закону «О персональных данных», должны защищать персональные данные (использовать антивирусную защиту).
Кто должен защищать персональные данные?
В соответствии со ст. 19 Закона «О персональных данных», оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Соответственно, защищать персональные данные должен Оператор
«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо , организующие и (или ) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».
Вывод: Любая компания или организация, имеющая контакты как с юридическими, так и с физическими лицами, должна защищать ПД таких лиц в том случае, если этих данных достаточно для персонализации. Как показывает практика, большинство компаний имеют и хранят такие данные.
Где Закон требует защищать ПД?
«В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты».
Вывод: Соответственно ИСПДн для любой компании или организации , хранящей или обрабатывающей персональные данные, имеющей подключения к открытым сетям или предусматривающей обмен данными, обязательно применение шифрования данных и электронной цифровой подписи, а также обеспечение защиты от атак из внешних сетей, включая антивирусную защиту.
Исключение составляют сети, не обменивающиеся информацией с внешним миром. Но таких, наверное, и не бывает.
C какой целью сертифицируется антивирусное ПО согласно Закону?
«Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей (НДВ )».
Какие компании должны использовать средства, сертифицированные на НДВ?
«Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей».
«Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом) ».
Вывод: Сертифицированные на НДВ продукты должны использоваться только для ИС 1-го класса.
Кто производит классификацию ИСПДн?
«Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или ) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных».
Вывод: ИСПДн классифицирует их владелец. Это значит, что компания всегда может доказать проверяющим органам достаточность принятых в организации мер защиты персональных данных.
Как классифицировать информационную систему?
- Определяем требуемый уровень защиты персональных данных.
- В соответствии с уровнем защиты и рекомендациями ФСТЭК формируем список угроз, актуальных для данного предприятия.
- В соответствии с уровнем защиты и приказом ФСТЭК формируем список продуктов, необходимых к внедрению.
Другие требования Закона
Выдержки из Приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
Обеспечение централизованно управляемой файловой защиты.
«2 .4. При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 2.1 настоящего Положения, основными методами и способами защиты информации от несанкционированного доступа являются:
… централизованное управление системой защиты персональных данных информационной системы».
Обеспечение системы распределения доступа (офисный контроль).
«2 .2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений»
Ответственность за нарушение требований Федерального закона «О персональных данных»
«Лица , виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».
В нашем каталоге Вы найдете Сертифицированное ПО:
Источник: http://sof2.ru/sertifikatsiya-MS/152fz/
Защита персональных данных сертификация
АССОЦИАЦИЯ СПЕЦИАЛИСТОВ
ПО БЕЗОПАСНОСТИ
Пн — Пт: 10:00 — 18:00
Видео (кликните для воспроизведения). |
GDPR — General Data Protection Regulation
25 мая 2018 года вступил в действие Регламент (ЕС) N 2016/679 Европейского парламента и Совета ЕС от 27 апреля 2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных — Общий Регламент о защите персональных данных (General Data Protection Regulation, GDPR), что существенно ужесточает требования по работе с персональными данными и делает недостаточным соответствие только российскому законодательству в области защиты персональных данных ФЗ-152, ФЗ-242 и др.
Положения данного Регламента носят трансграничный характер. ЕС распространяет его действие на организации, предоставляющие сервис, товары или услуги потребителям Европейского Союза. При этом не важно, где зарегистрирована компания — в ЕС или за его пределами, в том числе и на территории Российской Федерации.
Ассоциация Специалистов по Безопасности (АСБ)
является официальным аккредитованным центром по сертификации систем и средств защиты информации (СЗИ), систем менеджмента информационной безопасности (СМИБ), персонала, продукции и услуг на соответствие требованиям Европейского Регламента защиты персональных данных GDPR на территории РФ и стран СНГ — свидетельство об аккредитации № 079-IRQ-ISMS-GDPR от 25.06.2018 г., выданное международным евразийским органом по сертификации систем менеджмента, персонала, продукции и услуг IRQ — International Register of Quality, официального партнера Европейской Академии по защите персональных данных EUGDPR Academy® (http://eugdpr.academy/).
Для выполнения работ по сертификации в области защиты информации компания АСБ обладает всеми необходимыми лицензиями. Ознакомиться можно в разделе «Лицензии и сертификаты»
В РФ и странах СНГ подтвердить соответствие EU GDPR или пройти добровольную сертификацию , получив сертификат соответствия «Certificate of Compliance GDPR» обязаны все сферы бизнеса, оперирующие данными европейских пользователей, такие как:
- Туроператоры, туристические агентства;
- Агентства медицинского туризма;
- Гостиницы и отели;
- Авиа и др. транспортные компании;
- Компании банковского и страхового сектора;
- ИТ-компании, интернет-магазины, онлай-агрегаторы, операторы мобильной связи, разработчики онлайн игр;
- Образовательные учреждения;
- Медицинские и фармацевтические компании;
- Больницы и клиники;
- Компании, работающие в сфере экспорта продукции и услуг;
- И иные сферы бизнеса, работающие с персональными данными.
Ответственность за несоблюдение требований GDPR:
- Штрафы 20 млн. евро или до 4% от годового мирового оборота компании.
- Взыскание компенсаций по судебным обращениям субъектов персональных данных.
- Взыскание убытков, предъявляемых со стороны контрагентов в связи с несоблюдением положений GDPR и договорных обязательств по защите персональных данных.
- Убытки в связи с внезапным расторжением договоров с иностранными партнерами.
- Убытки в связи с невозможностью своевременно заключить договор с европейским контрагентом, из-за несоответствия компании требованиям GDPR.
- И многие другие риски.
Сертификация системы менеджмента защиты персональных данных «Certificate of Compliance GDPR» – подтверждение соответствия требованиям EU GDPR в системе сертификации IRQ международного евразийского органа по сертификации International Register of Quality
проводится с учетом с требований международных стандартов ISO/IEC 17065:2012, ISO/IEC 17021-1:2015, ISO/IEC 17024:2012, ISO 19011:2018.
Сроки оказания услуги: до 5 рабочих дней.
Стоимость получения сертификата:
- Для организаций от 5 до 250 человек: от 65 000 р. НДС включен.
- Для организаций от 260 человек и выше: от 250 000 р. НДС включен.
В стоимость сертификации GDPR входит:
- Аудит на соответствие требованиям Регламента EU GDPR
- Сертификат соответствия GDPR на русском и английском языках. Отдельно при необходимости оформляется на любом другом языке ЕС. Срок действия — 3 года, с ежегодным проведением инспекционных контролей.
- Сертификат компетентности Data Protection Officer на право проведения внутренних аудитов GDPR для одного из сотрудников организации, назначенного в качестве ответственного по защите персональных данных.
- Внесение в официальный реестр.
Сертификаты соответствия GDPR — «Certificate of Compliance GDPR» выдаются в системе добровольной сертификации IRQ
— № РОСС RU.З1851.04ИРК0, в рамках системы государственного контроля Росстандарта, за деятельностью в области добровольного подтверждения соответствия.
Чтобы пройти сертификацию GDPR необходимо?
- Заполнить заявку на сертификацию GDPR
- Заключить договор на сертификацию и произвести оплату;
- Пройти процедуру аудита на соответствие требованиям Регламента;
- Получить от уполномоченного органа сертификат «Certificate of Compliance GDPR».
С подробной информацией о процедуре и стоимости страхования кибер-рисков Вы можете ознакомиться в разделе «Страхование кибер-рисков»
Какие преимущества дает сертификат «Certificate of Compliance GDPR»?
- Улучшает имидж компании;
- Облегчает доступ в работе с крупными Российскими и иностранными компаниями;
- Позволяет избежать утечки персональных данных и использование их третьими лицами;
- Доверие клиентов. Позволяет продемонстрировать клиентам свою приверженность к безопасности обработки их персональных данных;
- Упрощает процедуру соответствия нормам всех стран ЕС, на территории которых работает компания. Надо придерживаться единого набора правил защиты и обработки данных GDPR;
- Сокращает расходы и бюрократию для компаний, работающих с ЕС. Соблюдение единых правил;
- Повышение результативности и управляемости деятельности;
- Оптимизация бизнес-процессов;
- Осуществление прозрачности деятельности компании;
- Повышение стоимости компании;
- Выход на новые рынки;
- И многие другие…
Дополнительные услуги. Стоимость определяется в индивидуальном порядке:
- Аудит на соответствие требованиям GDPR, ФЗ «О персональных данных», ISO 27001 и др.;
- Внедрение GDPR. Разработка необходимого пакета документов;
- Сертификация и обучение персонала Data Protection Officer (DPO), Data Privacy Professional (DPP) и др.;
- Сертификация систем менеджмента по международным стандартам ISO 9001, ISO 27001, ISO 20000 и др.;
- Аутсорсинг должности Data Protection Officer, DPO (инспектор и/или ответственный по защите персональных данных). Договор аутсорсинга;
- Страхование рисков от утечки персональных данных в т.ч. от штрафных санкций GDPR в ведущих международных страховых компаниях;
- Предоставление представителя в одной из стран Евросоюза;
Источник: http://spbissa.ru/Home/Gdpr
Защита персональных данных сертификация
АССОЦИАЦИЯ СПЕЦИАЛИСТОВ
ПО БЕЗОПАСНОСТИ
Пн — Пт: 10:00 — 18:00
В 2020 году штрафы за нарушение ФЗ-152 «О персональных данных» значительно вырастут, поэтому тем, кто работает с персональными данными в РФ важно убедиться, что все требования закона «О персональных данных» соблюдены.
Кем проверяется выполнение требований закона?
Выполнение требований закона «О персональных данных» контролируют:
- Главный контролирующий орган, Роскомнадзор, который проверяет правильность обработки персональных данных и документы по персональным данным.
- ФСТЭК России, проверяющий выполнение требований по технической защите.
- ФСБ России, проверяющий выполнение требований по применению криптографии при обработке персональных данных.
- Генеральная прокуратура РФ.
Наиболее активным из них является Роскомнадзор, который проводит более 10000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ не более сотни проверок гос. сектора.
С 1 сентября 2015 года вступил в силу ФЗ от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». В связи с этим Роскомнадзор начал в жестком порядке требовать уведомления об обработке персональных данных, создав специальный информационный ресурс для нарушителей — АИС «Реестр нарушителей прав субъектов персональных данных».
В феврале 2019 года Правительство РФ вынесло постановление от 13.02.2019 № 146, которым утвердило новые правила проверок Роскомнадзора. Такие проверки ведомство будет проводить в организациях и у индивидуальных предпринимателей в отношении соблюдения требований законодательства о персональных данных.
Новые правила вступили в силу с 23 февраля 2019 года и уже действуют.
По итогам проверок Роскомнадзор и другие проверяющие органы, могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.
Основные риски:
С начала 2015 года, по данным Роскомнадзора, было взыскано штрафов в общей сложности на 174.000.000 рублей с организаций и должностных лиц.С 01 сентября 2015 года Роскомнадзор имеет право без проверки на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».
В РФ подтвердить соответствие требованиям ФЗ-152 «О персональных данных» или пройти добровольную сертификацию получив сертификат соответствия, обязаны все предприниматели, юридические лица и бюджетные организации, обрабатывающие персональные данные физических лиц — операторы персональных данных.
В первую очередь закон касается компаний, работающих в следующих сферах:
- Финансы и кредитование;
- Медицина и фармакология;
- Телекоммуникации;
- Образование;
- Оффлайн и онлайн ритейл;
- Гостиничное дело;
- Реклама и digital;
- Бюджетные организации и др.
Чтобы избежать внеплановых проверок, а также соответствовать требованиям законодательства в области обработки и защиты персональных данных
Ассоциация Специалистов по Безопасности (АСБ) предлагает Вам пройти процедуру подтверждения соответствия (сертификации) по требованиям ФЗ-152 «О персональных данных» (ФЗ-152).
Подтверждение соответствия требованиям ФЗ-152 проводится в системе добровольной сертификации «ВРК» (№ РОСС RU.З1912.04ВРК0), с учетом с требований международных стандартов ISO/IEC 17065, ISO/IEC 17021, ISO/IEC 17024, ISO 19011. Настоящий сертификат обязывает организацию поддерживать состояние системы менеджмента защиты персональных данных в соответствии с ФЗ-152, и будет подтверждаться при прохождении ежегодного инспекционного контроля.
Сроки оказания услуги: до 5 рабочих дней.
Стоимость получения сертификата:
- Для организаций от 5 до 100 человек: от 55 000 р. НДС включен.
- Для организаций от 110 человек и выше: от 170 000 р. НДС включен.
В стоимость сертификации ФЗ-152 входит:
- Аудит на соответствие выполнения основных требований ФЗ-152:
— Уведомление Роскомнадзора;
— Наличие организационно-распорядительной документации;
— Процессы работы с персональными данными;
— Организационная и техническая защита персональных данных в информационных системах;
— Хранение баз с персональными данными на территории РФ.
— Проверка наличия в Реестре операторов персональных данных Роскомнадзора;
— Проверка наличия сведений в Реестре нарушителей прав субъектов персональных данных Роскомнадзора; - Сертификат соответствия ФЗ-152 на русском и при необходимости на английском языках. Срок действия — 3 года, с ежегодным проведением инспекционных контролей. Стоимость инспекционных контролей определяется заранее перед процедурой прохождения сертификации и в обязательном порядке прописывается в договоре на сертификацию ФЗ-152.
- Сертификаты компетентности внутренних аудиторов на право проведения внутренних аудитов ФЗ-152 для двух сотрудников организации, назначенных в качестве ответственных по защите персональных данных.
- Внесение в официальный реестр.
Чтобы пройти сертификацию ФЗ-152 необходимо?
- Заполнить заявку на сертификацию ФЗ-152
- Заключить договор на сертификацию и произвести оплату;
- Пройти процедуру аудита на соответствие требованиям нормативных документов по защите персональных данных;
- Получить от уполномоченного органа сертификат соответствия ФЗ-152.
Дополнительно к «Сертификату соответствия ФЗ-152», на основе анализа и проведенной оценки рисков информационной безопасности (кибер-рисков) предоставляется возможность получения Полиса страхования кибер-рисков от аккредитованных международных страховых компаний (страхование с покрытием убытков от утечки персональных данных, расследований и санкций контролирующих органов и др.).
С подробной информацией о процедуре и стоимости страхования кибер-рисков Вы можете ознакомиться в разделе «Страхование кибер-рисков»
Какие преимущества дает «Сертификат соответствия ФЗ-152»:
- Сокращает риски внезапных и плановых проверок контролирующими органами;
- Облегчает доступ в работе с крупными Российскими и иностранными компаниями;
- Позволяет избежать утечки персональных данных и использование их третьими лицами;
- Доверие клиентов. Позволяет продемонстрировать клиентам свою приверженность к безопасности обработки их персональных данных;
- Обеспечение необходимого уровня экономической безопасности;
- Юридически защищённый документооборот;
- Повышение результативности и управляемости деятельности;
- Оптимизация бизнес-процессов;
- Oсуществление прозрачности деятельности компании;
- Повышение стоимости компании;
- Выход на новые рынки;
- Улучшение имиджа компании;
- И многие другие…
Источник: http://spbissa.ru/Home/Fz
Персональные данные
1. Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» сертификация – это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров (а также требованиям, устанавливаемых уполномоченными органами государственной власти).
В соответствии с п. 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781) средства защиты информации (СЗИ), применяемые в информационных системах обработки персональных данных, в должны проходить в установленном порядке процедуру оценки соответствия.
Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» установлены два метода оценки соответствия: сертификация и декларирование соответствия.
В настоящее время порядок сертификации СЗИ в системе сертификации ФСТЭК России установлен «Положением о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27 октября 1995 г. № 199). Процедура оценки соответствия методом декларирования ФСТЭК России будет разработана и введена в действие ориентировочно в конце 2008 г.
Так как система защиты для ИС класса К1 должна реализовывать необходимые меры защиты ПДн в большем объёме (см. ответ по п. 9) (т.е. система защиты будет более сложной), то и её стоимость будет выше.
Конкретную стоимость работ можно обосновать только после проведения обследования состояния защищённости ИС и моделирования угроз.
Для выполнения требований Федерального закона 2006 г. № 152 «О персональных данных» оператор персональных данных должен выполнить следующие мероприятия:
1. провести инвентаризацию ИР, обрабатываемых в ИС, и определить перечень ПДн;
2. урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);
3. оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн;
4. разработать модель угроз (на основании результатов обследования ИС);
5. провести классификацию ИС с оформлением соответствующего акта;
6. получить (при необходимости) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504);
7. определить требования по защите ПДн при их обработке в ИС ПДн в соответствии с присвоенным классом и результатами моделирования;
8. осуществить проектирование СОБИ;
9. реализовать проект на создание СОБИ;
10. провести оценку соответствия ИС ПДн требованиям безопасности согласно присвоенному классу.
11. организовать эксплуатацию ИС в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ.
Руководящие документы ФСТЭК России распространяются только на вопросы технической защиты персональных данных при их автоматизированной обработке в ИСПДн.
Поэтому правовые вопросы порядка получения и использования персональных данных должны решаться в соответствии с Федеральным законом 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, другими нормативными правовыми актами по этому вопросу.
Как указано в ответе на 2-й вопрос, передача персональных данных третьим лицам согласно ч. 4 ст. 6 ФЗ «О персональных данных» может осуществляться только на основании договора, в котором в том числе должна быть предусмотрена ответственность за нарушение требований законодательства по обеспечению безопасности персональных данных. В этом случае ответственность за разглашение переданных 3-му лицу персональных данных будет нести это лицо.
В том случае, если встроенные средства безопасности общесистемного ПО заявлены в ИСПДн как средства защиты, такое ПО должно быть сертифицировано по требованиям ФСТЭК России.
Если же используется стороннее ПО (СЗИ), реализующее функции защиты ПДн, тогда такой сертификации общесистемного ПО не требуется.
Здесь необходимо привести ссылку на ч. 4 ст. 21 ФЗ «О персональных данных», которая устанавливает: «В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган».
В настоящее время порядок уничтожения персональных данных никакими нормативными документами не регламентирован. С учётом этого мы рекомендуем факт уничтожения персональных данных оформлять внутренним актом оператора, в котором должно указываться какие персональные данные, когда, кем и каким образом были уничтожены. Кроме того, рекомендуем формальную процедуру уничтожения персональных данных прописать отдельным разделом в разрабатываемом оператором внутреннем Положении об обработке персональных данных.
1. В соответствии с п. 19 «Порядка проведения классификации информационных систем персональных данных» (совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20) класс информационной системы может быть пересмотрен по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе. Правом проведения контроля в этом случае обладают ФСТЭК России и ФСБ России. Если в ходе проверки будет установлено, что класс ИСПДн занижен, то скорее всего надзорный орган потребует приведения его в соответствие с реальным состоянием ИСПДн. Порядок проведения государственного контроля и надзора будет установлен специальным документом — «Порядком осуществления контроля и надзора за соблюдением требований законодательства РФ в области защиты персональных данных», который будет утверждаться совместным приказом Минкомсвязи, ФСБ России и ФСТЭК России. Ориентировочный срок принятия этого документа – 3-4 квартал 2009 г.
2. Никакой разницы для ИСПДн классов К1, К2, К3 нет.
Абсолютно неверное трактование этого положения. Согласно ст.23 ФЗ «О персональных данных» надзорный орган (Роскомнадзор) на основании жалоб и обращений граждан или юридических лиц имеет право проверять любого оператора персональных данных независимо от того, уведомил ли он этот орган о своём намерении осуществлять обработку ПДн или нет.
Видео (кликните для воспроизведения). |
Источник: http://elvis.ru/competency/faq/68/?PAGEN_1=2
Юрист: стаж 15 лет
Образование: Воронежский Государственный Университет
Специализация: Гражданское право