КРОК реализует проекты по приведению информационных систем персональных данных в соответствии с требованиями российского законодательства, обеспечивая безопасность всех информационных систем персональных данных. Под действие нормативных документов, в первую очередь Федерального закона «О персональных данных», Кодекса административных правонарушений (КОАП), Гражданского кодекса, Уголовного кодекса, постановлений Правительства, попадают все коммерческие компании, государственные и общественные организации, работающие не территории России.
Подробней на http://www.croc.ru/promo/pd/
Защита персональных данных в соответствии с законодательством
1. УСЛУГИ КРОК ПО ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
В СООТВЕТСТВИИ
С ТРЕБОВАНИЯМИ
ЗАКОНОДАТЕЛЬСТВА РФ
Законодательство РФ обязывает все организации, которые в ходе своей деятельности
сталкиваются с обработкой персональных данных (ФИО сотрудников, контакты
клиентов, информация о подрядчиках и партнерах по бизнесу), принимать меры для
обеспечения их безопасности. Эти требования распространяются на физических лиц
и компании, государственные и муниципальные органы власти.
На практике самостоятельное приведение деятельности организации в соответствие
требованиям Федерального закона №152-ФЗ и целого ряда подзаконных
нормативных актов, регулирующих работу с персональным данными, оказывается
труднореализуемой задачей. Поправки в законодательство вносятся регулярно,
штатный персонал служб информационной безопасности и ИТ-персонал не успевает
в должной мере исследовать проблему. Результат – сорванные проектные сроки
и санкции со стороны контрольнонадзорных органов вплоть до приостановки
деятельности. В самых cерьезных случаях организация сталкивается с исками от своих
клиентов, угрозой привлечения руководства к административной и даже уголовной
ответственности.
Услуги крок
КРОК осуществляет полный комплекс работ по приведению деятельности заказчиков
в соответствие с требованиями законодательства Российской Федерации: федераль-
ных законов, нормативно-методических документов регуляторов (Роскомнадзор,
ФСТЭК, ФСБ), постановлений Правительства РФ.
бизнес-приложения
02.4.7
информационная
безопасность
2. Работы осуществляются на основании собственной методологии КРОК
с обязательным учетом сложившихся практик управления, разработан-
ных локальных нормативных актов заказчика, особенностей его бизнес-
процессов и ИТ-инфраструктуры, имеющихся систем и средств защиты
информации.
Полный комплекс работ состоит из 6 этапов, однако возможен и инди-
видуальный подход, который ограничивается разработкой комплектов-
нормативных документов либо моделированием угроз и проектирова-
нием системы защиты персональных данных.
02.4.2
Преимущества КРОК
Широкая компетенция. КРОК работает
на ИТ-рынке c 1992 года и сегодня входит
в топ-10 крупнейших ИТ-компаний и топ-
3 консалтинговых компаний России
(РА «Эксперт», РИА Рейтинг, «Коммер-
сант-Деньги»). Компетенция компании
включает в себя все элементы инфор-
мационной и телекоммуникационной
инфраструктуры и интеграционные связи
между ними. КРОК создает динамиче-
ские инфраструктуры, которые позво-
ляют гибко подстраиваться под текущие
истратегические потребности бизнеса.
Квалификация специалистов КРОК
подтверждена международными серти-
фикатами Lead Auditor (British Standards
Institution) SANS GIAC, CISA (ISACA)
и CISSP (ISC2), лицензиями ФСТЭК
и ФСБ России, сертификатами веду-
щих производителей оборудования
и программного обеспечения, включая
Microsoft Certified Systems Engineer
(MCSE): Security, CheckPoint Certified
Security Expert (CCSE), Cisco Certified
Internetwork Expert (CCIE), RSA Certified
System Engineer и других.
КРОК входит в состав Сообщества поль-
зователей стандартов ЦБ РФ по обеспе-
чению информационной безопасности
организаций бан-
ковской системы РФ
(Сообщество ABISS).
КРОК также является
участником партнер-
ской программы BSI
«Ассоциированная
программа консультан-
тов BSI», подтвержда-
ющей высокий статус
специалистов компа-
нии по внедрению систем менеджмента
по направлениям «Информационная
безопасность» (ISO 27001), «Непрерыв-
ность бизнеса» (ISO 22301), «Управление
ИТ-сервисами» (ISO 20000-1).
Планирование, формирование, проектных команд; определение границ
программ и планов обследования
1. ИНИЦИИРОВАНИЕ
Обследование бизнес-процессов, обработки ПДн, ИСПДн, СЗИ,
ИТ-инфраструктуры
Выявление несоответствий, оформление отчета об обследовании
2. ОБСЛЕДОВАНИЕ
Разработка комплекта локальных нормативных актов, в т.ч.:
• политику в отношении обработки ПДн;
• положения, процедуры и регламенты в области обработки и защиты ПДн;
• комплекты форм: приказов, актов, журналов, согласий и др. обработки
и защиты ПДн.
3. РАЗРАБОТКА КОМПЛЕКТА ЛНА
Разработка актов определения уровней защищенности ИСПДн
Разработка модели угроз и нарушителя безопасности персональных данных
Разработка Технического задания на систему защиты персональных данных
4. МОДЕЛИРОВАНИЕ УГРОЗ, ТЗ
Разработка техно-рабочего проекта на систему защиты персональных
данных
5. ПРОЕКТИРОВАНИЕ СЗПДн
Внедрение разработанного комплекта ЛНА
Внедрение спроектированной СЗПДн
6. ВНЕДРЕНИЕ
3. информационная
безопасность
Все работы проводятся совместно с высококвалифицированными
юристами и специалистами КРОК в области ИБ.
По итогам проекта заказчик получает:
• рекомендации консультантов КРОК по оптимизации бизнес-процессов
для приведения их в соответствие с требованиями законодательства;
• набор юридически выверенных локальных нормативных актов и про-
цедур, включающих и процедуры взаимодействия с контрагентами
и субъектами персональных данных;
• пакет документации для каждой ИСПДн, соответствующий требова-
ниям регулирующих органов;
• эффективную и практичную систему защиты ИСПДн.
При необходимости, специалисты КРОК могут провести аттестацию
соответствия ИСПДн по требованиям безопасности информации.
При реализации проектов КРОК соблюдает принципы разумной до-
статочности и экономической целесообразности: стоимость проекта
основывается на оценке потенциального ущерба от угроз информаци-
онной безопасности; привлекаемые ресурсы (финансовые и людские)
сводятся к минимуму, достигается максимально эффективное исполь-
зование существующих в компании мер и средств информационной
безопасности.
Во время внедрения недостающих средств защиты ИСПДн компания
КРОК использует сертифицированные ФСТЭК решения ведущих ИТ-
производителей: Microsoft, Cisco, Oracle, Лаборатория Касперского,
Symantec, Trend Micro, ИнфоТеКС, Конфидент, Aladdin, С-Терра Си Эс Пи.
реализованные проекты
Московская межбанковская валютная биржа
Аудит информационных систем и процессов обработки ПДн
Цель проекта: изучить существующие процессы обработки и защиты
ПДн, разработать полный пакет документов и рекомендаций для обес
печения соответствия требованиям законодательства о ПДн.
Проект включает в себя разработку и внедрение нормативно-методи-
ческой документации в области обработки и защиты ПДн, классифика-
цию информационных систем ПДн, моделирование угроз и разработку
ТЗ на средства защиты ПДн.
Основные преимущества:
• обеспечение соответствия уровня защиты ПДн законодательству РФ,
а также методикам и рекомендациям ФСБ и ФСТЭК;
• всесторонний аудит существующих угроз безопасности ПДн, разра-
ботка механизмов для противодействия им.
Преимущества КРОК
Аутсорсинговый ЦОД КРОК. В КРОК
действует аутсорсинговый ЦОД, в ко-
тором заказчики компании могут раз-
местить собственное оборудование,
а также арендовать оборудование КРОК
и/или сервисы информационной безо-
пасности, соответствующие требованиям
Федерального закона «О персональных
данных». Это позволяет снизить издерж-
ки на покупку ПО, услуги технической
поддержки и частично на приведение
информационных систем к соответствию
законодательству.
ИБ-в-аренду от КРОК (SecaaS). Банкам,
финансовым организациям и другим
компаниям, которые стремятся к макси-
мальной безопасности данных, КРОК
предлагает дополнительную защиту
на основе специализированных инстру-
ментов, сертифицированных Федераль-
ной службой по техническому и экспорт-
ному контролю и Федеральной службой
безопасности. Они защищают инфор-
мационные ресурсы при размещении
как в облаке, так и в дата-центрах КРОК,
обеспечивая заказчикам самую высокую
на рынке информационную безопас-
ность, отвечающую строгим критериям
регуляторов.
Сертифицированные ФСБ и ФСТЭК
средства используются в комплексных
услугах КРОК для построения системы
защиты персональных данных заказчи-
ков в соответствии с индивидуальной
моделью угроз.
Заказчики КРОК получают возможность
создавать дополнительно защищенные
облачные решения без необходимости
настраивать и обслуживать отдельные
компоненты, решать проблемы их совме-
стимости и т.д.
Сервисы безопасности облака КРОК:
• межсетевое экранирование;
• предотвращение вторжений (IDS / IPS);
• создание защищенных каналов связи
(VPN / SSL VPN);
• антивирусная, антиспам-защита.
4. 111033, Москва, ул. Волочаевская, д.5, к.1,
Т: (495) 974 2274 | Ф: (495) 974 2277
E-mail: infosec@croc.ru
slideshare.net/croc-library
cloud.croc.ru
croc.ru
09 | 16 | Информационная безопасность
Крупный коммерческий банк
Реализация 1-го, 2-го и 3-го этапов по приведению банка в
соответствие с требованиями закона «О персональных данных»
Цель проекта: защита ПДн клиентов и работников банка, выполнение
требований Федерального закона «О персональных данных».
Cпециалистами компании КРОК было выполнено.
• определение перечня АБС, в которых обрабатываются ПДн;
• выделение границ ИСПДн;
• разработка модели угроз;
• разработка частной модели угроз для каждой ИСПДн;
• разработка и эскизное проектирование СЗПДн.
Основные преимущества:
• исключение санкций, вызванных несоблюдением законодательства;
• учет бизнес-потребностей банка при проектировании СЗПДн.
Московская городская избирательная комиссия
Аудит и консалтинг на соответствие требованиям ФЗ №152
Цель проекта: получение аттестата соответствия ИС требованиям Фе-
дерального закона «О персональных данных».
Специалистами компании КРОК проведено обследование информа-
ционных систем (ИС) заказчика, разработана нормативно-методическа
документация, осуществлено проектирование и внедрение требуемых
решений.
Основные преимущества:
• исключение санкций, вызванных несоблюдением действующего за-
конодательства;
• защита конфиденциальной информации от утечки по техническим
каналам, а также утечки, связанной с человеческим фактором.
ПаРТнерЫ
Cisco Systems. КРОК – Золотой партнер.
Hewlett Packard Enterprise. КРОК –
Платиновый партнер.
Microsoft. КРОК – Enterprise Solution
Provider, Золотой партнер со специали-
зацией по информационной безопас-
ности.
Oracle. КРОК – Платиновый партнер.
Symantec. КРОК – Золотой партнер.
Trend Micro. КРОК – Золотой партнер.
Алладин Р.Д. КРОК – Платиновый партнер.
Конфидент. КРОК – Платиновый партнер.
Лаборатория Касперского. КРОК –
Платиновый партнер.
С-ТерраСиЭсПи.КРОК–Золотойпартнер.