Соответствие требованиям регуляторов
InfoWatch поможет провести экспертную оценку состояния и уровня зрелости информационной безопасности компании, определить степень соответствия требованиям регуляторов, сформировать план по приведению системы информационной безопасности этим требованиям, разработать концепцию развития информационной безопасности в целом. Также эксперты InfoWatch предложат эффективные средства защиты информационных активов компании.
Нормативно-правовые акты, а также международные и отраслевые стандарты предъявляют требования к обеспечению информационной безопасности: обязуют компании принимать меры по охране конфиденциальности информации, также содержат рекомендации по применению организационных мер и технических средств, направленных на защиту конфиденциальной информации (информации ограниченного доступа).
Понятие «конфиденциальность информации» трактуется по-разному, но всегда подразумевает необходимость предотвращения утечки (разглашения) информации.
- 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- 152-ФЗ «О персональных данных»
- Требования по защите коммерческой тайны (98-ФЗ)
- Требования по защите инсайдерской информации (224-ФЗ)
- Требования по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и другие)
- Приказ ФСТЭК России №17, №21, Постановление Правительства РФ №1119, Методические рекомендации ФСТЭК России
- Требования по защите информации в АСУ ТП (Приказ ФСТЭК России №31)
- Национальный стандарт РФ ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер»
- Требования к безопасности данных индустрии платежных карт - PCI DSS
- СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»
- РС БР ИББС-2.9-2016 «Предотвращение утечек информации»
- Комплексный международный стандарт по информационной безопасности ISO 27001
- Международные нормативно-правовые акты и стандарты (Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act of 2002 и т.д.)
149-ФЗ "Об информации, информационных технологиях и о защите информации"
Информация ограниченного доступа (конфиденциальная информация) – информация, доступ к которой ограничен федеральными законами. Обладатель информации обязан принимать меры по защите информации.
Регулируется 152-ФЗ «О персональных данных», а перечень мер по защите персональных данных определен в ПП-1119 и Приказе ФСТЭК России №21.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Требования к защите персональных данных распространяются на организации, их обрабатывающие (по сути, на все организации).
- Меры наказания за разглашение персональных данных определены в следующих документах: ст. 13.11 КоАП РФ, ст. 137 УК РФ, ст. 81 п.6 пп. «в» ТК РФ
Регулируется 98-ФЗ «О коммерческой тайне»
Коммерческая тайна - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
- Меры наказания за разглашение коммерческой тайны определены в следующих документах: ст. 13.14 КоАП РФ, ст.183 УК РФ, ст. 81 п.6 пп. «в» ТК РФ
Регулируется 395-1-ФЗ «О банках и банковской деятельности», а также статьей 857 ГК РФ
Банковская тайна - сведения об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иные сведения, устанавливаемых кредитной организацией.
- Меры наказания за разглашение банковской тайны определены в следующих документах: ст. 13.14 КоАП РФ, ст.183 УК РФ, ст. 81 п.6 пп. «в» ТК РФ
Аудит на соответствие требованиям в области информационной безопасности, предъявляемым нормативными актами и отраслевыми стандартами, имеет очень большое значение – на его основе формируется представление о текущем уровне соответствия действующему законодательству и планируются меры по устранению несоответствий и расхождений.
- Точная оценка степени соответствия состояния информационной безопасности компании стандартам и требованиям федеральных законов
- Разработка и реализация предложений по приведению в соответствие с требованиями информационной безопасности
- Минимизация рисков привлечения к ответственности за невыполнение требований
- Выявление существующих явных и потенциальных угроз и уязвимостей