Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Использование Менеджера Соответствия «Протектива» для выполнения требований законодательства в области персональных данных
Навигация
 

Использование Менеджера Соответствия «Протектива» для выполнения требований законодательства в области персональных данных

Автор: Александр Астахов опубликовано: 15-11-2018 последнее изменение: 15-11-2018

Российские безопасники уже привыкли к тому, что использование тех или иных видов СЗИ предписывается руководящими документами регуляторов. Каждое СЗИ закрывает определенную группу обязательных требований и, в совокупности с другими СЗИ, обеспечивает соответствие информационных систем организации требованиям законодательства и нормативной базы в области защиты информации. Однако обеспечение соответствия в области ИБ не сводится только к использованию определенного набора СЗИ. Процесс управления соответствием включает в себя планирование, обеспечение и поддержание, периодически плановый и внеплановый контроль, формирование отчетности о соответствии и подтверждение соответствия. Решение этих задач может быть обеспечено специальным классом автоматизированных средств - менеджерами соответствия (compliance manager).

Для того, чтобы оценивать и контролировать соответствие организации и ее информационных систем обязательным требованиям по защите информации, был разработан специальный инструмент - Менеджер Соответствия Протектива (Protectiva Compliance Manager), реализованный в виде онлайн сервиса оценки соответствия, расположенного по адресу https://protectiva.ru. Данный сервис, в частности, позволяет оператору персональных данных осуществлять контроль выполнения обязательных требований законодательства и нормативной базы РФ в области персональных данных и защиты информации, обеспечивая формирование отчетов о соответствии в автоматическом режиме.

Является ли обязательным использование подобных инструментов для оценки/контроля соответствия? По большому счету конечно нет, также как и многих, ставших уже привычными СЗИ. Анализировать события ИБ и управлять инцидентами можно и вручную, без использования SIEM, управлять уязвимостями можно без использования сканеров безопасности и т.д. Однако эффективность подобных неавтоматизированных должным образом процессов менеджмента ИБ будет крайне низкой. Проверяющим же (аудиторам) вообще будет сложно доказать, что данные процессы в организации реализованы без использования средств автоматизации.

Менеджер соответствия, подобный Протективе, требуется организациям еще в большей степени, чем остальные, ставшие привычными СЗИ, поскольку он не только "закрывает" обязательные требования, предписываемые законодательством (см. таблицу ниже), но и автоматизирует ключевой с точки зрения законодателей и регуляторов процесс, заключающийся в обеспечении, контроле и подтверждении соответствия требованиям этих законодателей и регуляторов.

В следующей таблице, применительно к операторам персональных данных, приведены выдержки из законодательных и нормативных актов, а также национальных стандартов РФ, в которых предписывается осуществлять периодический контроль выполнения установленных требований по безопасности информации.

Таблица 1 - Требования нормативной базы "закрываемые" при помощи Менеджера Соответствия Протектива

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

 

«4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано … осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных ….»

 

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

 

«2. Обеспечение безопасности персональных данных достигается, в частности: … 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных …»

 

Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

 

 

«17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом)».

 

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

 

9.2 Внутренний аудит

 

«Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии системы менеджмента информационной безопасности:

a) на предмет соответствия

1) собственным требованиям организации для своей системы менеджмента информационной безопасности;

2) требованиям настоящего стандарта»

 

ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил информационной безопасности»

 

15.2.1 Соответствие политикам и стандартам безопасности

 

«Руководители должны регулярно анализировать соответствие обработки информации в пределах их зоны ответственности политикам и стандартам безопасности, а также любым другим требованиям безопасности».

15.2.2 Проверка технического соответствия

 

«Информационные системы следует регулярно проверять на соответствие применимым стандартам безопасности».

 

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)

 

«3.24. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации.

 

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке: … соблюдения нормативных и методических документов …»

 

ГОСТ РО 0043 – 003 – 2012 Защита информации. Аттестация объектов информатизации. Общие положения

 

«8.3 Заявители организуют ежегодный контроль соответствия системы защиты информации объекта информатизации требованиям безопасности информации».

 

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex