Защита персональных данных (152-ФЗ)

Защита персональных данных

Практическая реализация требований ФСБ и ФСТЭК
в соответствии с 152-ФЗ

Защищаем на всей территории РФ

ВАЖНО: Основные изменения в законе 152-ФЗ «О персональных данных» в 2023 году вводят новые правила, которые касаются:

сроков и правил подачи уведомлений в Роскомнадзор;
уничтожения персональных данных;
новых полномочий Роскомнадзора при передаче ПД за границу;
оценки вреда утечки персональных данных.

Данные нововведения требуют пересмотра всех созданных ранее организационных мер защиты и создания ряда новых нормативных документов в организации.

Получить консультацию

В категорию тех, на кого распространяются требования Федерального закона 152-ФЗ «О персональных данных», попадают все организации, которые собирают, систематизируют и обрабатывают личные данные граждан. Как государственные, так и частные организации обязаны соблюдать требования закона и защищать обрабатываемые персональные данные.

Нарушение требований 152-ФЗ может привести к штрафам и даже к уголовной ответственности.

Персональные данные граждан (имена, адреса, номера телефонов, электронная почта, паспортные данные, финансовые сведения, медицинская информация и другие личные данные) могут быть использованы мошенниками для совершения преступлений. Нарушение прав и свобод граждан, мошенничество, шантаж, вымогательство, и даже «кража личности» - вот лишь неполный перечень возможных последствий утечки и использования персональных данных в преступных целях.

Проблема утечки персональных данных в России достаточно серьезна. Несмотря на то, что закон «О персональных данных» действует с 2006 года, многие компании и организации не соблюдают его требования и не обеспечивают достаточную защиту персональных данных своих сотрудников и клиентов.

В 2019 году компания «Тинькофф Банк» сообщила о утечке персональных данных более 5 миллионов клиентов, что привело к ущербу в размере 1,2 миллиарда рублей.

В 2020 году компания «МегаФон» сообщила о утечке персональных данных более 8 миллионов клиентов, что привело к ущербу в размере 1,9 миллиарда рублей.

Утечка персональных данных может нанести серьезный ущерб организации как в финансовом, так и в репутационном плане. Возможные последствия могут включать:

1

Штрафы и судебные издержки: организация может быть оштрафована за нарушение законодательства о персональных данных, а также может столкнуться с судебными и административными издержками.
2

Утрата доверия клиентов: клиенты могут потерять доверие к организации, если их персональные данные были украдены или утрачены. Это может привести к уменьшению объема продаж и потере доходов.
3

Потеря репутации: утечка персональных данных может привести к негативной репутации организации, что может повлиять на ее бренд и имидж.
4

Угроза безопасности: утечка персональных данных может привести к угрозе безопасности клиентов и сотрудников организации, что может привести к потере доверия.
5

Потеря конкурентных преимуществ: утечка персональных данных может привести к потере конкурентных преимуществ, так как конкуренты могут использовать украденные данные для своих целей.

В целом, утечка персональных данных может привести к серьезным последствиям для организации. Поэтому принимать меры для защиты персональных данных и предотвращения утечек так же важно, как и обеспечивать пожарную безопасность.

Грамотно выстроенная защита для обеспечения реальной безопасности персональных данных – это правильные бумаги, оптимальные продукты и регулярный контроль.

Правильные бумаги: Необходимо обследовать и составить полный список информационных систем обработки персональных данных (ИСПДн) в организации, провести категорирование объектов защиты, определить требуемые уровни защищенности, разработать правильные организационно-распорядительные документы (ОРД) с набором организационных мер защиты. Затем нужно создать актуальную модель угроз и спроектировать систему защиты информации.
Правильные бумаги: Необходимо обследовать и составить полный список информационных систем обработки персональных данных (ИСПДн) в организации, провести категорирование объектов защиты, определить требуемые уровни защищенности, разработать правильные организационно-распорядительные документы (ОРД) с набором организационных мер защиты. Затем нужно создать актуальную модель угроз и спроектировать систему защиты информации.

Оптимальные продукты: Нужно подобрать оптимальные инженерно-технические средства защиты, соответствующие уровням защищенности и выявленным категориям ваших информационных систем для нейтрализации потенциального внутреннего и внешнего нарушителя.
Оптимальные продукты: Нужно подобрать оптимальные инженерно-технические средства защиты, соответствующие уровням защищенности и выявленным категориям ваших информационных систем для нейтрализации потенциального внутреннего и внешнего нарушителя.

Регулярный контроль: По нашему опыту – это очень важный пункт для обеспечения реальной безопасности персональных данных. Про который очень часто забывают.

Созданные бумаги – это не навсегда. Изменяется законодательство и требования регуляторов, растут и развиваются информационные системы вашей организации, эволюционируют угрозы. Необходимо отслеживать изменения законодательства и требований регуляторов, проводить регулярно адаптацию документации.
Нужно следить за актуальностью используемых средств защиты: контролировать сроки действия сертификатов ФСТЭК, продлевать лицензии на ПО и техподдержку, внедрять дополнительные средства защиты с учётом вновь возникающих угроз безопасности.
Внедренную систему защиты нужно проверять: а она вообще работает? Или ее давно отключили те, кому она мешает? Необходима реальная оценка фактических уровней защищенности информационных систем.
Регулярный контроль: По нашему опыту – это очень важный пункт для обеспечения реальной безопасности персональных данных. Про который очень часто забывают.

Созданные бумаги – это не навсегда. Изменяется законодательство и требования регуляторов, растут и развиваются информационные системы вашей организации, эволюционируют угрозы. Необходимо отслеживать изменения законодательства и требований регуляторов, проводить регулярно адаптацию документации.
Нужно следить за актуальностью используемых средств защиты: контролировать сроки действия сертификатов ФСТЭК, продлевать лицензии на ПО и техподдержку, внедрять дополнительные средства защиты с учётом вновь возникающих угроз безопасности.
Внедренную систему защиты нужно проверять: а она вообще работает? Или ее давно отключили те, кому она мешает? Необходима реальная оценка фактических уровней защищенности информационных систем.

Как мы работаем:

Цель работ:

Определение текущей степени соответствия процессов обработки и защиты персональных данных действующим требованиям законодательства Российской Федерации в области персональных данных.
Состав работ:
- Анализ организационно-штатной структуры.
- Выявление и описание процессов обработки персональных данных.
- Определение состава обрабатываемых персональных данных.
- Выявление и описание информационных ресурсов, содержащих персональные данные.
- Описание технологий обработки персональных данных.
- Описание существующих организационных мер и технических средств, направленных на обеспечение защиты персональных данных.
- Описание имеющихся мер и средств защиты информации в информационных системах персональных данных.
- Определение перечня мероприятий необходимых для приведения процессов обработки и защиты персональных данных действующим требованиям законодательства Российской Федерации в области персональных данных.
- Анализ существующих мер защиты персональных данных.
Результат:

Отчет об обследовании процессов обработки персональных данных.

Цель работ:

Подготовка (актуализация) организационно-распорядительной документации.
Состав работ:

Подготовка (актуализация) проектов организационно- распорядительной документации, регламентирующей порядок и правила обработки персональных данных, а также обеспечение безопасности персональных данных. Заполнение и подача уведомления / информационного письма об обработке персональных данных в Роскомнадзор.
Результат:

Пакет проектов организационно-распорядительной документации.

Цель работ:

Подготовка Модели угроз.
Состав работ:

Определение угроз безопасности персональных данных при их обработке, формирование на их основе Модели угроз, определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
Результат:

Модель угроз безопасности персональных данных, обрабатываемых в информационной системе персональных данных.

Цель работ:

Создание программно-технической системы защиты информации.
Состав работ:

Подбор, поставка и внедрение программных и технических средств защиты информации.
Результат:

Работающая система защиты информации, полностью соответствующая текущим требованиям законодательства РФ.

+ 12 месяцев сопровождения

В комплекс услуги входит обучение ответственного за организацию безопасной обработки персональных данных, сопровождение 12 календарных месяцев:

Консультации пользователей информационных систем персональных данных.
Ответы на вопросы пользователей информационных систем персональных данных.
Бесплатное участие в семинарах по безопасности.

Нужна консультация по защите персональных данных?

Мы свяжемся с вами в ближайшее время, чтобы как можно скорее ответить на интересующие вопросы.

Ознакомиться с Согласием

Спасибо! Мы свяжемся с вами в ближайшее время

Нужна консультация по защите персональных данных?

О компании

Услуги и обучение

Программы