SlideShare a Scribd company logo

Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн

Security Code Ltd.
Security Code Ltd.
Technology
1 of 5
Download to read offline
август 2013 Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн В данной статье рассматрива- ется алгоритм действий опе- ратора персональных данных по созданию системы защиты информационной системы пер- сональных данных (ИСПДн). Данный алгоритм является авторским виденьем и понима- нием действующих норматив- ных документов и может при- меняться как при создании, так и при модернизации системы защиты ИСПДн. В статье не рассматривается процесс создания самой ИСПДн и такие базовые орга- низационные меры, как заполнение и отправка уведом- ления об обработке ПДн, разработка и принятие орга- низационных документов, указанных в требованиях к защите ПДн, принятых постановлением Правитель- ства РФ от 1 ноября 2012 г. № 1119 (далее по тексту – ПП-1119), и другие, выполнение которых также необ- ходимо при обработке персональных данных (ПДн). Шаг 1. Разработка частной модели угроз Защита ИСПДн начинается с составления частной модели угроз – формализованного перечня воз- можных угроз ПДн и оценки их актуальности, с уче- том исходного состояния защищенности. Основа- нием для составления частной модели угроз могут являться следующие документы: «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персо- нальных данных (выписка)», утвержденная ФСТЭК России 15 февраля 2008 г., и «Методика опреде- ления актуальных угроз безопасности персональ- ных данных при их обработке в информационных системах персональных данных», утвержденная ФСТЭК России 14 февраля 2008 г. Актуальность угроз определяется субъективно, но должна учитывать опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блоки- рование, копирование, предоставление, распростра- нение персональных данных, а также иные неправо- мерные действия. В частной модели угроз обязательно должны быть отражены угрозы, связанные с наличием недоку- ментированных (недекларированных) возможностей (НДВ) в системном и прикладном программном обе- спечении, от выбора актуальности данных угроз зави- сит дальнейшая работа по защите ИСПДн. Шаг 2. Оценка вреда и определение типа угроз В соответствии с ПП-1119 устанавливается четыре уровня защищенности (УЗ) ПДн, оператор определяет УЗ обрабатываемых ПДн на основании типа актуаль- ных угроз, категории, объема и типа обрабатывае- мых ПДн. Для начала необходимо определить тип актуальных угроз. В ПП-1119 устанавливаются три типа актуальных угроз: • 1-й – в случае актуальности угроз, связанных с наличием НДВ в системном программном обеспечении; • 2-й – в случае актуальности угроз, связанных с наличием НДВ в прикладном программном обеспечении; • 3-й – в случае, если угрозы, связанные с наличием НДВ, не актуальны. Тип актуальных угроз определяется в соответствии с составленной частной моделью угроз. Дополни- тельно ПП-1119 предписывает определить тип угроз безопасности персональных данных с учетом оценки возможного вреда, ссылаясь на пункт 5 части 1 ста- тьи 18.1 Федерального закона от 27.07.2006 N 152- ФЗ «О персональных данных» (далее по тексту – ФЗ-152), однако готовой методики по оценке данного параметра не существует. Я предлагаю использовать субъективную оценку: опе- ратор самостоятельно оценивает возможный вред субъектам ПДн в случае выбора конкретного типа угроз (на основании частной модели угроз). При этом определяется тип вреда и его размер. В соответствии с частью 1 статьи 1064 главы 59 Гражданского кодекса РФ, вред может быть материальным и личностным (т.е. моральным). Оценка материального вреда дела- ется с помощью примерного расчета возможных материальных потерь субъекта в случае нарушения конфиденциальности его ПДн. Моральный вред в соответствии со статьей 1101 главы 59 Граждан- ского кодекса РФ компенсируется также в денежной форме. Для определения возможного ущерба можно провести анализ судебной практики по гражданским искам о присуждении выплат за нарушение порядка обработки ПДн, вследствие которых произошло нару- шение конфиденциальности ПДн. По моим данным, средний размер моральной компенсации за наруше- ние конфиденциальности ПДн составляет порядка 3000 рублей, судебные решения по подтверждению материального вреда мне не известны. Результаты оформляются в виде акта оценки вреда, который может быть причинен субъектам ПДн.
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн Шаг 3. Определение уровня защищенности ПДн Под типом ИСПДн подразумевается тип обраба- тываемых в ИСПДн персональных данных в соот- ветствии с пунктом 5 требований к защите ПДн, утвержденных ПП-1119: ИСПДн-С – специальные категории ПДн – данные, касающиеся расовой, национальной принадлежно- сти, политических взглядов, религиозных или фило- софских убеждений, состояния здоровья, интимной жизни субъектов ПДн; • ИСПДн-Б – биометрические ПДн, без данных, от- носящихся к ИСПДн-С, – сведения, которые харак- теризуют физиологические и биологические осо- бенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных; • ИСПДн-О – общедоступные ПДн в соответствии со статьей 8 ФЗ-152; • ИСПДн-И – все остальные ИСПДн. Отдельным столбцом в таблице указана катего- рия субъектов: если в ИСПДн обрабатываются ПДн только сотрудников оператора, следует смотреть на строку «Сотрудники», если в ИСПДн есть ПДн других субъектов – «Не сотрудники». Результат выбора уровня защищенности с указа- нием типа ИСПДн, категории и количества субъ- ектов ПДн должен быть оформлен в виде акта определения уровня защищенности ПДн при их обработке в ИСПДн. На втором шаге был установлен тип актуальных угроз, теперь необходимо на основании этой информации определить уровень защищенности. В пунктах 9–12 требований к защите ПДн, утвержденных ПП-1119, приводятся условия выбора УЗ. Тип ИСПДн Категория субъектов Количество субъектов Тип актуальных угроз 1 2 3 ИСПДн-С Не сотрудники > 100 000 УЗ-1 УЗ-1 УЗ-2 < 100 000 УЗ-2 УЗ-3 Сотрудники Любое ИСПДн-Б Любая Любое ИСПДн-И Не сотрудники > 100 000 < 100 000 УЗ-3 УЗ-4 Сотрудники Любое ИСПДН-О Не сотрудники > 100 000 УЗ-2 УЗ-2 < 100 000 УЗ-3 Сотрудники Любое
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн Шаг 4. Выбираем меры по защите После определения уровня защищенности ПДн пере- ходим к составлению модели защиты – выбора мер, закрывающих актуальные угрозы безопасности. В каче- стве основы для выбора мер необходимо использовать приложение к составу и содержанию организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, утвержденное приказом ФСТЭК России от 18 февраля 2013 г. № 21 (далее по тексту – П-21). Модель защиты, в соответствии с пун- ктом 9 П-21, составляется по следующему алгоритму: 1) определяется базовый набор мер, а именно состав- ляется перечень тех мер, которые отмечены плюса- ми для соответствующего УЗ в приложении к П-21; 2) адаптация базового набора мер. На этом этапе из базового набора мер исключаются те, которые не актуальны из-за особенностей конкретной ИСПДн (например, исключаются меры по защите виртуа- лизации, если виртуализация не используется); 3) уточнение адаптированного базового набора мер. На этом этапе добавляются ранее не выбранные меры, если в соответствии с частной моделью угроз какие- либо из актуальных угроз остались незакрытыми; 4) добавление уточненного адаптированного базово- го набора мер в соответствии с иными норматив- ными документами. На данный момент этот этап не актуален, скорее всего, он станет актуальным после выхода нормативных документов ФСБ. Стоит отметить, что исключить какие-либо базовые меры по причине неактуальности угрозы, на закрытие которой направлена эти мера, нельзя. Поэтому на дан- ном этапе рекомендуется еще раз пересмотреть акту- альность угроз, сформулированную в частной модели угроз, в противном случае, у регуляторов могут воз- никнуть сомнения в правильности их выбора. В случае затруднений в технической реализации какой-либо из мер или с учетом экономической неце- лесообразности выполнения данных мер в полном объеме, можно воспользоваться пунктом 10 П-21 и внести соответствующие корректировки: Шаг 5. Реализация выбранных мер: выбираем и внедряем средства защиты Последним шагом по созданию системы защиты ИСПДн является реализация выбранных на предыду- щем этапе мер по защите. Меры по защите могут быть реализованы с помощью организационных мероприя- тий и, в соответствии с пунктом 4 П-21, посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (например, сертифицированные во ФСТЭК России). Непосред- ственный выбор средств защиты для закрытия тех или иных мер – достаточно большая тема, которую не раскроешь в рамках одной статьи. Регуляторы прямо не обязывают оператора ПДн оформлять методы реализации мер по защите доку- ментально, но я рекомендую составить описание всех применяемых средств защиты и организационных мер с сопоставлением их модели защиты. Заключение Создание системы защиты ИСПДн начинается после подготовки следующих документов: 1) частная модель угроз; 2) акт оценки вреда, который может быть причинен субъектам ПДн; 3) акт определения уровня защищенности ПДн при их обработке в ИСПДн; «При невозможности технической реализации отдельных выбранных мер по обеспечению без- опасности персональных данных, а также с уче- том экономической целесообразности на этапах адаптации базового набора мер и (или) уточне- ния адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных». Итоговый документ с перечнем мер оформля- ется в виде модели защиты или иного документа с составом и содержанием мер по обеспечению безопасности ПДн. 4) модель защиты или иной документ с составом и со- держанием мер по обеспечению без- опасности ПДн; 5) документ, содержащий в себе описание всех при- меняемых средств защиты и организационных мер (необязательно).
Почтовый адрес: 127018, Россия, Москва, а/я 55. Адрес офиса в Москве: ул. Большая Семеновская, д. 32, стр. 1. Адрес офиса в Санкт-Петербурге: Свердловская наб., д. 44. Тел.: +7 (495) 980-2345 (многоканальный). Факс: +7 (495) 980-2345. E-mail: info@securitycode.ru Запрос дополнительной информации о продуктах: info@securitycode.ru По вопросам стоимости и покупки продуктов buy@securitycode.ru По вопросам партнерства и сотрудничества info@securitycode.ru Вы можете узнать подробную информацию о продуктах на сайте www.securitycode.ru О компании «Код Безопасности» Компания «Код Безопасности» – российский разработчик программных и аппаратных средств, обеспечивающих безопасность информационных систем, а также их соответствие требованиям международных и отраслевых стандартов. Продукты «Кода Безопасности» применяются для защиты конфиденциальной информации, персо- нальных данных, коммерческой и государственной тайны. «Код Безопасности» стремится предоставить клиен- там качественные решения для любых задач информационной безопасности, как традиционных, так и появляю- щихся в процессе развития высоких технологий.

Recommended

Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Cisco Russia
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Лицензирование в области ИБ
Лицензирование в области ИБЛицензирование в области ИБ
Лицензирование в области ИБАлексей Кураленко
 

Recommended

Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Cisco Russia
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Лицензирование в области ИБ
Лицензирование в области ИБЛицензирование в области ИБ
Лицензирование в области ИБАлексей Кураленко
 
Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017S-Terra CSP
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoПриказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoCisco Russia
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяАлександр Лысяк
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииКомпания УЦСБ
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breachAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИСАлексей Кураленко
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...NAUMEN. Информационные системы управления растущим бизнесом
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в ИнтернетеMatevosyan Artur
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
 
Журнал
ЖурналЖурнал
ЖурналSergey Semenov
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данныеУчебный центр "Эшелон"
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Cisco Russia
 
ГОСТ Р ИСО/МЭК 13335-4-2007
ГОСТ Р ИСО/МЭК 13335-4-2007ГОСТ Р ИСО/МЭК 13335-4-2007
ГОСТ Р ИСО/МЭК 13335-4-2007Sergey Erohin
 
методические рекомендации для гис
методические рекомендации для гисметодические рекомендации для гис
методические рекомендации для гисAKlimchuk
 

More Related Content

What's hot

Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017S-Terra CSP
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoПриказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoCisco Russia
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяАлександр Лысяк
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииКомпания УЦСБ
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в ИнтернетеMatevosyan Artur
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 

What's hot (17)

Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
 
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoПриказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breach
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИС
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...
 
Журнал
ЖурналЖурнал
Журнал
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 

Similar to Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Cisco Russia
 
ГОСТ Р ИСО/МЭК 13335-4-2007
ГОСТ Р ИСО/МЭК 13335-4-2007ГОСТ Р ИСО/МЭК 13335-4-2007
ГОСТ Р ИСО/МЭК 13335-4-2007Sergey Erohin
 
методические рекомендации для гис
методические рекомендации для гисметодические рекомендации для гис
методические рекомендации для гисAKlimchuk
 
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?ЭЛВИС-ПЛЮС
 
ГОСТ Р ИСО/МЭК 13335-3-2007
ГОСТ Р ИСО/МЭК 13335-3-2007ГОСТ Р ИСО/МЭК 13335-3-2007
ГОСТ Р ИСО/МЭК 13335-3-2007Sergey Erohin
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьDatamodel
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхКРОК
 
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данныхUISGCON
 
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...journalrubezh
 
Опыт внедрения системы защиты персональных данных
Опыт внедрения системы защиты персональных данныхОпыт внедрения системы защиты персональных данных
Опыт внедрения системы защиты персональных данныхDenis Keleynikov
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пднpesrox
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...imbasoft ru
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 

Similar to Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн (20)

Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
 
ГОСТ Р ИСО/МЭК 13335-4-2007
ГОСТ Р ИСО/МЭК 13335-4-2007ГОСТ Р ИСО/МЭК 13335-4-2007
ГОСТ Р ИСО/МЭК 13335-4-2007
 
методические рекомендации для гис
методические рекомендации для гисметодические рекомендации для гис
методические рекомендации для гис
 
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
 
ГОСТ Р ИСО/МЭК 13335-3-2007
ГОСТ Р ИСО/МЭК 13335-3-2007ГОСТ Р ИСО/МЭК 13335-3-2007
ГОСТ Р ИСО/МЭК 13335-3-2007
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
 
иб
ибиб
иб
 
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
 
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
 
Опыт внедрения системы защиты персональных данных
Опыт внедрения системы защиты персональных данныхОпыт внедрения системы защиты персональных данных
Опыт внедрения системы защиты персональных данных
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Подготовка к оценке соответствия
Подготовка к оценке соответствияПодготовка к оценке соответствия
Подготовка к оценке соответствия
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пдн
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 

More from Security Code Ltd.

Бумажна ли бумажная безопасность?
Бумажна ли бумажная безопасность?Бумажна ли бумажная безопасность?
Бумажна ли бумажная безопасность?Security Code Ltd.
 
Модуль доверенной загрузки "Соболь". Новая версия флагманского продукта
Модуль доверенной загрузки "Соболь". Новая версия флагманского продукта Модуль доверенной загрузки "Соболь". Новая версия флагманского продукта
Модуль доверенной загрузки "Соболь". Новая версия флагманского продукта Security Code Ltd.
 
Презентация с вебинара по продукту СОВ "Континент" 4.0
Презентация с вебинара по продукту СОВ "Континент" 4.0Презентация с вебинара по продукту СОВ "Континент" 4.0
Презентация с вебинара по продукту СОВ "Континент" 4.0Security Code Ltd.
 
Обзор новых функций Континент TLS VPN 1.0.9
Обзор новых функций Континент TLS VPN 1.0.9Обзор новых функций Континент TLS VPN 1.0.9
Обзор новых функций Континент TLS VPN 1.0.9Security Code Ltd.
 
Обзор новых функций СЗИ от НСД Secret Net LSP 1.5
Обзор новых функций СЗИ от НСД Secret Net LSP 1.5Обзор новых функций СЗИ от НСД Secret Net LSP 1.5
Обзор новых функций СЗИ от НСД Secret Net LSP 1.5Security Code Ltd.
 
Презентация СЗИ от НСД Secret Net
Презентация СЗИ от НСД Secret NetПрезентация СЗИ от НСД Secret Net
Презентация СЗИ от НСД Secret NetSecurity Code Ltd.
 
Защита виртуальной инфраструктуры
Защита виртуальной инфраструктурыЗащита виртуальной инфраструктуры
Защита виртуальной инфраструктурыSecurity Code Ltd.
 
Построение экосистемы безопасности
Построение экосистемы безопасностиПостроение экосистемы безопасности
Построение экосистемы безопасностиSecurity Code Ltd.
 
Тенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиТенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиSecurity Code Ltd.
 
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг Security Code Ltd.
 
Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Security Code Ltd.
 

More from Security Code Ltd. (11)

Бумажна ли бумажная безопасность?
Бумажна ли бумажная безопасность?Бумажна ли бумажная безопасность?
Бумажна ли бумажная безопасность?
 
Модуль доверенной загрузки "Соболь". Новая версия флагманского продукта
Модуль доверенной загрузки "Соболь". Новая версия флагманского продукта Модуль доверенной загрузки "Соболь". Новая версия флагманского продукта
Модуль доверенной загрузки "Соболь". Новая версия флагманского продукта
 
Презентация с вебинара по продукту СОВ "Континент" 4.0
Презентация с вебинара по продукту СОВ "Континент" 4.0Презентация с вебинара по продукту СОВ "Континент" 4.0
Презентация с вебинара по продукту СОВ "Континент" 4.0
 
Обзор новых функций Континент TLS VPN 1.0.9
Обзор новых функций Континент TLS VPN 1.0.9Обзор новых функций Континент TLS VPN 1.0.9
Обзор новых функций Континент TLS VPN 1.0.9
 
Обзор новых функций СЗИ от НСД Secret Net LSP 1.5
Обзор новых функций СЗИ от НСД Secret Net LSP 1.5Обзор новых функций СЗИ от НСД Secret Net LSP 1.5
Обзор новых функций СЗИ от НСД Secret Net LSP 1.5
 
Презентация СЗИ от НСД Secret Net
Презентация СЗИ от НСД Secret NetПрезентация СЗИ от НСД Secret Net
Презентация СЗИ от НСД Secret Net
 
Защита виртуальной инфраструктуры
Защита виртуальной инфраструктурыЗащита виртуальной инфраструктуры
Защита виртуальной инфраструктуры
 
Построение экосистемы безопасности
Построение экосистемы безопасностиПостроение экосистемы безопасности
Построение экосистемы безопасности
 
Тенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиТенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасности
 
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
 
Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...
 

Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн

  • 1. август 2013 Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
  • 2. Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн В данной статье рассматрива- ется алгоритм действий опе- ратора персональных данных по созданию системы защиты информационной системы пер- сональных данных (ИСПДн). Данный алгоритм является авторским виденьем и понима- нием действующих норматив- ных документов и может при- меняться как при создании, так и при модернизации системы защиты ИСПДн. В статье не рассматривается процесс создания самой ИСПДн и такие базовые орга- низационные меры, как заполнение и отправка уведом- ления об обработке ПДн, разработка и принятие орга- низационных документов, указанных в требованиях к защите ПДн, принятых постановлением Правитель- ства РФ от 1 ноября 2012 г. № 1119 (далее по тексту – ПП-1119), и другие, выполнение которых также необ- ходимо при обработке персональных данных (ПДн). Шаг 1. Разработка частной модели угроз Защита ИСПДн начинается с составления частной модели угроз – формализованного перечня воз- можных угроз ПДн и оценки их актуальности, с уче- том исходного состояния защищенности. Основа- нием для составления частной модели угроз могут являться следующие документы: «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персо- нальных данных (выписка)», утвержденная ФСТЭК России 15 февраля 2008 г., и «Методика опреде- ления актуальных угроз безопасности персональ- ных данных при их обработке в информационных системах персональных данных», утвержденная ФСТЭК России 14 февраля 2008 г. Актуальность угроз определяется субъективно, но должна учитывать опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блоки- рование, копирование, предоставление, распростра- нение персональных данных, а также иные неправо- мерные действия. В частной модели угроз обязательно должны быть отражены угрозы, связанные с наличием недоку- ментированных (недекларированных) возможностей (НДВ) в системном и прикладном программном обе- спечении, от выбора актуальности данных угроз зави- сит дальнейшая работа по защите ИСПДн. Шаг 2. Оценка вреда и определение типа угроз В соответствии с ПП-1119 устанавливается четыре уровня защищенности (УЗ) ПДн, оператор определяет УЗ обрабатываемых ПДн на основании типа актуаль- ных угроз, категории, объема и типа обрабатывае- мых ПДн. Для начала необходимо определить тип актуальных угроз. В ПП-1119 устанавливаются три типа актуальных угроз: • 1-й – в случае актуальности угроз, связанных с наличием НДВ в системном программном обеспечении; • 2-й – в случае актуальности угроз, связанных с наличием НДВ в прикладном программном обеспечении; • 3-й – в случае, если угрозы, связанные с наличием НДВ, не актуальны. Тип актуальных угроз определяется в соответствии с составленной частной моделью угроз. Дополни- тельно ПП-1119 предписывает определить тип угроз безопасности персональных данных с учетом оценки возможного вреда, ссылаясь на пункт 5 части 1 ста- тьи 18.1 Федерального закона от 27.07.2006 N 152- ФЗ «О персональных данных» (далее по тексту – ФЗ-152), однако готовой методики по оценке данного параметра не существует. Я предлагаю использовать субъективную оценку: опе- ратор самостоятельно оценивает возможный вред субъектам ПДн в случае выбора конкретного типа угроз (на основании частной модели угроз). При этом определяется тип вреда и его размер. В соответствии с частью 1 статьи 1064 главы 59 Гражданского кодекса РФ, вред может быть материальным и личностным (т.е. моральным). Оценка материального вреда дела- ется с помощью примерного расчета возможных материальных потерь субъекта в случае нарушения конфиденциальности его ПДн. Моральный вред в соответствии со статьей 1101 главы 59 Граждан- ского кодекса РФ компенсируется также в денежной форме. Для определения возможного ущерба можно провести анализ судебной практики по гражданским искам о присуждении выплат за нарушение порядка обработки ПДн, вследствие которых произошло нару- шение конфиденциальности ПДн. По моим данным, средний размер моральной компенсации за наруше- ние конфиденциальности ПДн составляет порядка 3000 рублей, судебные решения по подтверждению материального вреда мне не известны. Результаты оформляются в виде акта оценки вреда, который может быть причинен субъектам ПДн.
  • 3. Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн Шаг 3. Определение уровня защищенности ПДн Под типом ИСПДн подразумевается тип обраба- тываемых в ИСПДн персональных данных в соот- ветствии с пунктом 5 требований к защите ПДн, утвержденных ПП-1119: ИСПДн-С – специальные категории ПДн – данные, касающиеся расовой, национальной принадлежно- сти, политических взглядов, религиозных или фило- софских убеждений, состояния здоровья, интимной жизни субъектов ПДн; • ИСПДн-Б – биометрические ПДн, без данных, от- носящихся к ИСПДн-С, – сведения, которые харак- теризуют физиологические и биологические осо- бенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных; • ИСПДн-О – общедоступные ПДн в соответствии со статьей 8 ФЗ-152; • ИСПДн-И – все остальные ИСПДн. Отдельным столбцом в таблице указана катего- рия субъектов: если в ИСПДн обрабатываются ПДн только сотрудников оператора, следует смотреть на строку «Сотрудники», если в ИСПДн есть ПДн других субъектов – «Не сотрудники». Результат выбора уровня защищенности с указа- нием типа ИСПДн, категории и количества субъ- ектов ПДн должен быть оформлен в виде акта определения уровня защищенности ПДн при их обработке в ИСПДн. На втором шаге был установлен тип актуальных угроз, теперь необходимо на основании этой информации определить уровень защищенности. В пунктах 9–12 требований к защите ПДн, утвержденных ПП-1119, приводятся условия выбора УЗ. Тип ИСПДн Категория субъектов Количество субъектов Тип актуальных угроз 1 2 3 ИСПДн-С Не сотрудники > 100 000 УЗ-1 УЗ-1 УЗ-2 < 100 000 УЗ-2 УЗ-3 Сотрудники Любое ИСПДн-Б Любая Любое ИСПДн-И Не сотрудники > 100 000 < 100 000 УЗ-3 УЗ-4 Сотрудники Любое ИСПДН-О Не сотрудники > 100 000 УЗ-2 УЗ-2 < 100 000 УЗ-3 Сотрудники Любое
  • 4. Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн Шаг 4. Выбираем меры по защите После определения уровня защищенности ПДн пере- ходим к составлению модели защиты – выбора мер, закрывающих актуальные угрозы безопасности. В каче- стве основы для выбора мер необходимо использовать приложение к составу и содержанию организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, утвержденное приказом ФСТЭК России от 18 февраля 2013 г. № 21 (далее по тексту – П-21). Модель защиты, в соответствии с пун- ктом 9 П-21, составляется по следующему алгоритму: 1) определяется базовый набор мер, а именно состав- ляется перечень тех мер, которые отмечены плюса- ми для соответствующего УЗ в приложении к П-21; 2) адаптация базового набора мер. На этом этапе из базового набора мер исключаются те, которые не актуальны из-за особенностей конкретной ИСПДн (например, исключаются меры по защите виртуа- лизации, если виртуализация не используется); 3) уточнение адаптированного базового набора мер. На этом этапе добавляются ранее не выбранные меры, если в соответствии с частной моделью угроз какие- либо из актуальных угроз остались незакрытыми; 4) добавление уточненного адаптированного базово- го набора мер в соответствии с иными норматив- ными документами. На данный момент этот этап не актуален, скорее всего, он станет актуальным после выхода нормативных документов ФСБ. Стоит отметить, что исключить какие-либо базовые меры по причине неактуальности угрозы, на закрытие которой направлена эти мера, нельзя. Поэтому на дан- ном этапе рекомендуется еще раз пересмотреть акту- альность угроз, сформулированную в частной модели угроз, в противном случае, у регуляторов могут воз- никнуть сомнения в правильности их выбора. В случае затруднений в технической реализации какой-либо из мер или с учетом экономической неце- лесообразности выполнения данных мер в полном объеме, можно воспользоваться пунктом 10 П-21 и внести соответствующие корректировки: Шаг 5. Реализация выбранных мер: выбираем и внедряем средства защиты Последним шагом по созданию системы защиты ИСПДн является реализация выбранных на предыду- щем этапе мер по защите. Меры по защите могут быть реализованы с помощью организационных мероприя- тий и, в соответствии с пунктом 4 П-21, посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (например, сертифицированные во ФСТЭК России). Непосред- ственный выбор средств защиты для закрытия тех или иных мер – достаточно большая тема, которую не раскроешь в рамках одной статьи. Регуляторы прямо не обязывают оператора ПДн оформлять методы реализации мер по защите доку- ментально, но я рекомендую составить описание всех применяемых средств защиты и организационных мер с сопоставлением их модели защиты. Заключение Создание системы защиты ИСПДн начинается после подготовки следующих документов: 1) частная модель угроз; 2) акт оценки вреда, который может быть причинен субъектам ПДн; 3) акт определения уровня защищенности ПДн при их обработке в ИСПДн; «При невозможности технической реализации отдельных выбранных мер по обеспечению без- опасности персональных данных, а также с уче- том экономической целесообразности на этапах адаптации базового набора мер и (или) уточне- ния адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных». Итоговый документ с перечнем мер оформля- ется в виде модели защиты или иного документа с составом и содержанием мер по обеспечению безопасности ПДн. 4) модель защиты или иной документ с составом и со- держанием мер по обеспечению без- опасности ПДн; 5) документ, содержащий в себе описание всех при- меняемых средств защиты и организационных мер (необязательно).
  • 5. Почтовый адрес: 127018, Россия, Москва, а/я 55. Адрес офиса в Москве: ул. Большая Семеновская, д. 32, стр. 1. Адрес офиса в Санкт-Петербурге: Свердловская наб., д. 44. Тел.: +7 (495) 980-2345 (многоканальный). Факс: +7 (495) 980-2345. E-mail: info@securitycode.ru Запрос дополнительной информации о продуктах: info@securitycode.ru По вопросам стоимости и покупки продуктов buy@securitycode.ru По вопросам партнерства и сотрудничества info@securitycode.ru Вы можете узнать подробную информацию о продуктах на сайте www.securitycode.ru О компании «Код Безопасности» Компания «Код Безопасности» – российский разработчик программных и аппаратных средств, обеспечивающих безопасность информационных систем, а также их соответствие требованиям международных и отраслевых стандартов. Продукты «Кода Безопасности» применяются для защиты конфиденциальной информации, персо- нальных данных, коммерческой и государственной тайны. «Код Безопасности» стремится предоставить клиен- там качественные решения для любых задач информационной безопасности, как традиционных, так и появляю- щихся в процессе развития высоких технологий.