Сопровождение систем информационной безопасности

Сопровождение систем информационной безопасности

 

Современный век – век информационных технологий. Сегодня практически вся информация перешла в цифровой формат, а это значит, что на сегодняшний день вопрос обеспечения информационной безопасности стоит крайне остро.

 

Читать дальше
Аттестация системы защиты информации от специалистов

Аттестационные мероприятия – это финальный этап внедрения СЗИ, который нацелен на выявления несоответствий или доказательство отсутствия несоответствий объекта всем необходимым нормам и требованиям в сфере безопасности информации.

 

Аттестация – совокупность мер, в результате которых присваивается соответствующий документ – аттестат соответствия. Аттестация позволяет определить степень защищенности объекта, а также правильность внедрения СЗИ. Зачастую, проводя аттестацию, удаётся выявить проблемы и недочёты в системе защиты и своевременно их устранить.

 

Аттестация бывает двух видов:

 

  • Добровольные аттестационные мероприятия осуществляются по желанию владельца системы. Она необходима для доказательства его соответствия нормам и требованиям в случае, когда необходимо подтверждение каких-либо показателей, либо достоверный анализ объекта.
Читать дальше
Изменения в законе о защите персональных данных в 2023 году

Любая организация, хранящая и обрабатывающая ПДн, должна крайне ответственно подходить к созданию системы защиты данных. В законы, связанные с безопасностью информации, в частности, с защитой персональных данных, регулярно вносятся корректировки и изменения, о которых необходимо знать.

 

В марте 2023 года в закон «О персональных данных» добавлены некоторые нововведения. В основном они касаются ограничений при подаче ПДн за границу, оценки ущерба субъекта ПДн от утечки, а также подтверждения уничтожения данных.

 

Передача данных через границу

 

Оператор, который передаёт ПДн за границу, к примеру, заключая контракт с иностранными партнерами, обязан уведомить об этом РКН. Для этого требуется своевременно подать соответствующее уведомление.

 

Особенности оправки уведомления:

 

  • Уведомление подается только один раз до начала передачи ПДн;
  • Уведомление подаётся отдельно от других уведомлений о намерении осуществить обработку данных;
  • В данном уведомление необходимо указать все страны, в которые уже передаются ПДн.

 

Запрет или ограничение передачи ПДн в другие страны

 

После того как оператор уведомляет о передаче данных, РКН рассматривает заявку и может сообщить о запрете или об ограничении передачи ПДн, к примеру, если это связано с государственной безопасностью.

 

Оценка возможного вреда субъекту ПДн

 

Также были внесены нововведения, связанные с затрагиванием вопроса определения категории риска персональных данных. Иными словами, организации должны издать приказ или другой документ, фиксирующий степень риска и оценивающий вред субъекту ПДн в случае нарушения вышеупомянутого закона.

 

Подтверждение уничтожения ПДн

 

Дополнительно внесены изменения, вводящие требования к фиксированию любого уничтожения ПДн.

 

Отныне любое уничтожение ПДн должно фиксироваться актом, в котором указывается основная информация об уничтоженных персональных данных, их категория, должность и ФИО сотрудника, а также способ и причина уничтожения.

 

Если данные удаляются из информационной системы, бумажный акт можно заменить выгрузкой журнала регистрации информационных событий.

 

Если у вас остались вопросы и вы желаете получить консультацию, свяжитесь с нашими специалистами любым удобным для вас способом. Мы ответим на все оставшиеся вопросы, связанные с актуальной защитой персональных данных в 2023 году.

 

Подготовка информационной системы к аттестационным испытаниям

Большинство компаний проходят аттестационные испытания для подтверждения соответствия системы обеспечения безопасности информации всем установленным нормам и требованиям в области информационной безопасности. Некоторые же компании проходят аттестационные испытания добровольно, имея цель оценить уровень безопасности, который обеспечивают меры защиты, для определения достаточности применяемых мер для противодействия атакам на ресурсы с точки зрения законодательства.

Читать дальше