Информационная
безопасность
для вашего бизнеса
ГЛАВНАЯ
УСЛУГИ
КЛИЕНТЫ
ЛИЦЕНЗИИ

О компании

Наша команда состоит из специалистов с более, чем двадцатилетним опытом работы в информационной безопасности. Среди наших проектов участие
в выстраивании процессов управления ИБ
"под ключ" на стороне заказчика; работа в качестве внешних консультантов и аудиторов при проведении due diligence и оценок соответствия требованиям ИБ.

Мы работаем с компаниями разных размеров
и не занимаемся конвейерной безопасностью.
Мы много лет работали на стороне Заказчика
и отдаем себе отчет о сложностях и проблемах, возникающих в проектах ИБ. Поэтому каждый наш проект основан на глубоком погружении в контекст ситуации и выработку тех подходов и решений, которые будут наилучшим образом работать
и закрывать потребности именно вашей организации

Лицензии

Компания АО "Обьединенные цифровые сети", ИНН 9715011173 (далее – «ОЦС») является лицензиатом ФСТЭК и ФСБ и имеет следующие лицензии:

• Лицензия № 3870 от 12.02.2021, вид деятельности: По технической защите конфиденциальной информации на следующие виды услуг: б; д; е4; е5; е6
Ссылка на реестр ФСТЭК:

Лицензия ФСБ ЛСЗ № 0018078 * Рег. № 18219 Н от 23 декабря 2020 года.
На осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

Реестр лицензий на деятельность, связанную с шифровальными (криптографическими) средствами Центра по лицензированию сертификации и защите государственной тайны ФСБ России.


Данные лицензии позволяют нам оказывать полный спектр услуг в области информационной безопасности персональных данных, включая:

• Оценку защищенности для информационных систем персональных данных;
• Тестирование на проникновение, анализ уязвимостей и оценку соответствия финансовых организаций требованиям Банка России (включая работы по 382-П, 719-П, 683-П, 684-П, 747-П, ГОСТ Р 57580.1-2017, ГОСТ 15408/ОУД4);
• Поставку и настройку средств защиты;
• Разработки в области криптографии.

О компании

Наша команда состоит из специалистов с более, чем двадцатилетним опытом работы в информационной безопасности. Среди наших проектов участие в выстраивании процессов управления ИБ "под ключ" на стороне заказчика; работа в качестве внешних консультантов и аудиторов при проведении due diligence и оценок соответствия требованиям ИБ.

Мы работаем с компаниями разных размеров и не занимаемся конвейерной безопасностью. Мы много лет работали на стороне Заказчика и отдаем себе отчет о сложностях и проблемах, возникающих в проектах ИБ. Поэтому каждый наш проект основан на глубоком погружении в контекст ситуации и выработку тех подходов и решений, которые будут наилучшим образом работать и закрывать потребности именно вашей организации

Лицензии

Компания АО "Объединенные цифровые сети", ИНН 9715011173 (далее – «ОЦС») является лицензиатом ФСТЭК и ФСБ и имеет следующие лицензии:

• лицензия № 3870 от 12.02.2021, вид деятельности: По технической защите конфиденциальной информации на следующие виды услуг: б; д; е4; е5; е6

Ссылка на реестр ФСТЭК
Лицензия ФСБ № 18219 от 23.12.2020

• лицензия № ЛСЗ0018078 18219Н от 23.12.2020, вид деятельности: Разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).


Данные лицензии позволяют нам оказывать полный спектр услуг в области информационной безопасности персональных данных, включая:

• Оценку защищенности для информационных систем персональных данных;
• Тестирование на проникновение, анализ уязвимостей и оценку соответствия финансовых организаций требованиям Банка России (включая работы по 382-П, 719-П, 683-П, 684-П, 747-П, ГОСТ Р 57580.1-2017, ГОСТ 15408/ОУД4);
• Поставку и настройку средств защиты;
• Разработки в области криптографии.

Услуги

Оценка соответствия организации, процесса
или ИТ-инфраструктуры проверяемым требованиям.
В качестве методологии работ
и критериев проверки могут использоваться различные стандарты
и нормативно-правовые акты
Оценка соответствия требованиям к ИБ
Технический
аудит
Все виды технического аудита проводятся на основе собственных
и международных методологий (OWASP, OSSTMM, PTES, PCI DSS).
При составлении отчёта большое внимание уделяется применимости его выводов и рекомендаций
в реальной системе, для чего наши специалисты погружаются в бизнес-логику работы приложения и контекст его функционирования
Комплексный аудит
ИБ и консалтинг
Набор технических, процессных
и документационных исследований разработанный специально под клиента, с учетом его уникальных потребностей.
Целью является получение наиболее полной и объективной картины
о приложениях, процессах
и персонале Заказчика, в разрезе оценки эффективности реализуемых практик управления ИТ и ИБ
Юридическое сопровождение обработки персональных данных
Аудит, оценка бизнес-рисков, предоставление пакета типовых документов с консультацией и разработка документов по персональным данным под ключ.

Данные работы включают оценку соответствия организации, процесса или ИТ-инфраструктуры проверяемым требованиям.
В качестве методологии работ и критериев проверки могут использоваться различные стандарты и нормативно-правовые акты. Конечной целью этой категории работ является заключение о соответствии Заказчика проверяемым требованиям
и рекомендации по приведению его в соответствие, с возможностью технической поддержки и консультациями по ходу реализации полученных замечаний.
• Проведение предварительной оценки соответствия, разработка плана работ, изучение внутренней нормативной документации, проверка её полноты и соответствия применимым требованиям;

• Анализ бизнес-процессов организации и построение схемы потоков данных в информационных системах и в ходе неавтоматизированной обработки;

• Интервью сотрудников и контрагентов организации, анализ реализованных мер по обеспечению защиты персональных данных,
в том числе на стороне поставщиков услуг;

• Разработка плана и рекомендаций по приведению процессов обработки персональных данных в соответствие законодательству;
Помощь в доработке существующей внутренней документации или разработка нового пакета документов для соответствия требованиям
Особенности
Приведение организации в соответствие требованиям нормативно-правовых актов и практикам проверок Роскомнадзора, или иных регуляторов уполномоченных проверять меры защиты в отношении персональных данных (например, для государственных организаций, проверяемых ФСТЭК и ФСБ).
Цель
Наша команда изучит работу вашей организации через призму соответствия процессов обработки персональных данных требованиям отечественного законодательства. В группу проверяющих одновременно включаются технические эксперты
и методологи, что позволяет наиболее полно изучить реальное положение вещей, а не просто формально переписать документы, без их реального сопоставления с фактическим положением вещей.
В части требований к безопасности персональных данных
• Точный состав работ и этапы согласуются с заказчиком, в зависимости от его потребностей (от быстрого GAP-анализа и расчета предварительной оценки без формирования официального отчета, по требованиям Банка России; до всесторонней оценки соответствия с дополнительными работами по ОУД 4 и проверкой поставщиков услуг и контрагентов – сторонних разработчиков платежного ПО, банковских платежных агентов, центров обработки данных и т.д.);

• Возможность закрыть все требования Банка России в рамках одного проекта силами одной компании, в том числе провести технический аудит, с тестированием на проникновение и анализом защищенности автоматизированных систем, согласно
ГОСТ Р 57580.1-2017
Особенности
Оценка соответствияи консультации Заказчика по способам реализации требований нормативно-правовых актов Банка России (382-П, 683-П, 719-П, 747-П, 757-П и других),формирование отчетных документов, требуемых Банком России.
Проведение работ в рамках ГОСТ 57580.2–2018 и семейства стандартов ГОСТ 15408 (оценка соответствия ОУД 4).
Цель
Вместе мы определим полный перечень нормативов Банка России, применимых к организации, согласуем требуемый уровень защищенности, состав контуров безопасности, перечни автоматизированных систем и защищаемой информации, входящих
в область оценки. Четко сформулировав роль организации в банковской и платежной системах и уточнив границы работ,
мы проведем комплексную оценку информационной безопасности по выбранным направлениям, с выпуском соответствующей отчетной документации.
В части требований Банка России к финансовым организациям (кредитным и некредитным)

Оценка соответствия требованиям к ИБ

Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.
Все виды технического аудита проводятся на основе собственных и международных методологий (OWASP, OSSTMM, PTES, PCI DSS). При составлении отчёта большое внимание уделяется применимости его выводов и рекомендаций в реальной системе,
для чего наши специалисты погружаются в бизнес-логику работы приложения и контекст его функционирования. Наши работы всегда основаны на моделировании риск-сценариев и приоритезации угроз и уязвимостей информационной безопасности,
а не на абстрактном перечеслении типовых уязвимостей, найденных автоматическим сканированием
Особенности
Получение доступа к критичным активам
Наши специалисты, имитируя действия злоумышленника, осуществляют инструментальный и ручной поиск уязвимостей в системе, с последующей реализацией наиболее критичных из них для достижения заранее определённых целей (как правило проверки механизмов защиты или получения доступа к критичным активам). На основе собранной информации мы готовим подробный отчет по обнаруженным уязвимостям с рекомендациями по исправлению и по необходимости консультируем ИТ
и ИБ специалистов Заказчика для коррекции процессов управления и избегания аналогичных уязвимостей в будущем
• Пентест не нацелен на поиск наибольшего кол-ва уязвимостей. Для достижения целей пентеста достаточно выявление короткой серии уязвимостей для компрометации системы. Все обнаруженные уязвимости в ходе пентеста включаются в отчёт;

• Подходит для организаций с выстроенными механизмами информационной безопасности. Если ранее в организации
не проводился пентест или анализ защищённости, приоритет стоит отдать анализу защищённости;

• Подходит для периодической (раз в год) проверки киберустойчивости организации к внешним и внутренним информационным угрозам;

• Подходит для соблюдения регуляторных требований по ПДн, ЦБ, PCI DSS, SWIFT и т.д.
Цель
Тестирование на проникновение
• Подходит для получения общей, комплексной картины по состоянию технической защищенности компании;

• Подходит для соблюдения регуляторных требований по ПДн, ЦБ, но является значительно более дорогой и продолжительной
по времени услугой, нежели пентест
Особенности
Поиск наибольшего количества уязвимостей
Цель
Наши специалисты всесторонне оценивают безопасность и уязвимость ИТ-системы, выявляя ее слабые места и уязвимости.
На основе собранной информации мы готовим подробный отчет по обнаруженным уязвимостям, их приоритености
с рекомендациями по исправлению
Анализ защищенности
• Значительно увеличивает уровень защищённости разрабатываемого ПО, как отдельного релиза, так и процесса работы команды разработчиков в целом;

• Подходит для кредитных и некредитных финансовых организаций для соблюдения требований, положений ЦБ РФ в части ОУД4;
Особенности
Выявление скрытых уязвимостей ПО, недостатков в процессе разработки, соблюдение регуляторных требований.
Цель
Наши специалисты проведут комплексный анализ программного обеспечения, которое вклкцючает в себя: автоматический
и ручной анализ исходного кода, анализ и разработку документации согласно семейству стандартов ИСО/МЭК 15408 - ОУД 4
(при необходимости), тестирование на проникновение развёрнутого ПО, разработку отчёта с результами исследования, включающего в себя все обнаруженные уязвимости и рекомендации по их исправлению, а также рекомендации по изменениям
в процесс разработки ПО (например, внедрению Secure SDLC)
Анализ уязвимостей ПО

Технический
аудит

Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.
• Подходит для организации в качестве первичного аудита ИБ;

• Результат аудита позволит разработать комплексный план по приведению в соответствие процессов ИБ организации требованиям регуляторов;

• Возможно сопровождение организации в режиме подписки на консультационные услуги Исполнителя и частичный аутсорсинг некоторых функций ИТ и ИБ.
Особенности:
• Проведут исследование информационных систем, бизнес-процессов организации, выделят точные границы системы защиты информации и необходимые для ее функционирования ресурсы (технологии, персонал);

• Проанализируют модели взаимодействия компонентов информационных систем, используемых при обеспечении бизнес-процессов;

• Проанализируют внутренние и внешние требования к существующим системам информационной безопасности, актуальные лучшие практики и отраслевые стандарты, чтобы сформировать Ваш уникальный профиль защиты и KPI управления ИБ;

• Выполнят необходимые технические исследования (пентесты и анализ защищенности, аудит исходного кода и изучение бизнес-логики критичных приложений);

• Оценят и приоритезируют риски ИТ и ИБ организации, с учетом значимости бизнес-процессов и целей организации;

• Помогут сформировать и внедрить систему метрик для оценки качества и состояния процессов управления ИТ и ИБ;

• Разработают рекомендации по устранению выявленных недостатков и повышению уровня информационной безопасности организации, в соответствии с сформированным профилем защиты;

• Предоставят необходимые планы и возьмут организацию на сопровождение в режиме виртуального CISO для непрерывного улучшения процессов управления ИТ и ИБ.
Наши специалисты:
• Понимаете, что вашим приоритетом является стратегическое планирование развития ИТ и ИБ;

• Вам хочется приоритезировать свой бэклог задач или получить независимое заключение о том, что стоит в него включить;

• Вы хотите разобраться в метриках оценки качества и эффективности процессов управления ИТ и ИБ, наладить отдельные процессы управления или качественно внедрить в практики организации средства защиты;
Если вы:
Услуга представляет собой разработанный специально под клиента, с учетом его уникальных потребностей, набор технических, процессных и документационных исследований. Целью является получение наиболее полной и объективной картины
о приложениях, процессах и персонале Заказчика, в разрезе оценки эффективности реализуемых практик управления ИТ и ИБ.
В ходе исследования одновременно оцениваются регуляторные риски организации, зрелость процессов управления ИБ, техническая защищённости информационных активов от внешних и внутренних угроз, квалификация и адекватность персонала целям организации

Комплексный аудит
ИБ и консалтинг

Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.
Что такое персональные данные?

Любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу

С кем мы работаем?

С любыми лицами, которые начинают обрабатывать (в любой форме / любым способом) персональные данные:

· Юридические лица
· Индивидуальные предприниматели
· Физические лица

* N 152-ФЗ от 27.07.2006 "О персональных данных"

Зачем мы вам нужны?

Как вы знаете развитие законодательства в РФ и во всем мире направлено на ужесточение и дополнительное регулирование в области персональных данных.
Сейчас увеличивают и усложняют требования к операторам персональных данных и усиливают сопутствующие меры ответственности за их несоблюдение
Чтобы избежать рисков по штрафным санкциям, которые с конца марта 2021 года увеличились вдвое (статья 13.11. КоАП РФ), а также возникновения репутационных последствий и дисквалификации должностных лиц, необходимо пересмотреть подход к управлению персональными данными и обеспечить соответствие новым нормам и правилам в данной области.

Возможные штрафы

Ответственность за отсутствие документов

1) Административная. Статьи: Статья 13.11 КоАП РФ, 13.12 КоАП РФ, Статья 19.5 КоАП РФ.
Суммарный штраф от 335000р., возможно лишение свободы на срок до 2х лет.
2) Гражданская. Статьи: Статья 17 №152-ФЗ «О персональных данных», Статья 24 №152-ФЗ.
Возмещение морального вреда по решению суда.

Незаконная или нецелевая обработка

За обработку личных данных в незаконных случаях должностных лиц и ИП грозит штраф на сумму от 10 тыс. до 20 тыс. руб., а компании - от 60 тыс. до 100 тыс. руб. То же по общему правилу коснется обработки вопреки целям сбора такой информации.
За повторное нарушение:
- для должностных лиц - от 20 тыс. до 50 тыс. руб.;
- ИП - от 50 тыс. до 100 тыс. руб.;
- компаний - от 100 тыс. до 300 тыс. руб.

Нет письменного согласия гражданина

За обработку персональных данных без письменного согласия гражданина, если оно обязательно. Должностные лица и ИП заплатят от 20 тыс. до 40 тыс. руб., а компании - от 30 тыс. до 150 тыс. руб.
За повторное нарушение:
- для должностных лиц - от 40 тыс. до 100 тыс. руб.;
- ИП - от 100 тыс. до 300 тыс. руб.;
- компаний - от 300 тыс. до 500 тыс. руб.

Нет доступа к политике обработки

Если не обеспечить неограниченный доступ к политике по обработке персональных данных или к информации о выполняемых требованиях к их защите, то штраф составит:
- для должностных лиц - от 6 тыс. до 12 тыс. руб.;
- ИП - от 10 тыс. до 20 тыс. руб.;
- компаний - от 30 тыс. до 60 тыс. руб.
* Если компания попадает в реестр нарушителей, то в дальнейшем такая организация будет на постоянном контроле у Роскомнадзора

Наши услуги

- Предоставление пакета типовых документов
- Предоставление расширенного пакета типовых документов с консультацией нашего менеджера по вопросам редактирования данных документов под специфику деятельности организации в размере, не превышающем 16 часов
- Разработка пакета документов, полностью «заточенных» под деятельность и бизнес-процессы, в полном объеме, который необходим для соответствия требованиям законодательства и контрольно-надзорных органов






Требования законодательства

С точки зрения законодательства у компании – оператора персональных данных, должны быть следующие документы (в базовом варианте):


· Политика в отношении обработки персональных данных
· Локальные акты оператора, направленные на предотвращение и выявление нарушений законодательства РФ в области обработки персональных данных


В каждом конкретном случае количественный перечень таких документов (локальных актов) может варьироваться (как в сторону увеличения, так и в сторону уменьшения); в основном перечень будет состоять из:

  • Документы, регламентирующие и обеспечивающие применение организационно-правовых мер по обеспечению безопасности персональных данных:

- Приказ об утверждении политики в отношении обработки персональных данных;
- Приказ о назначении лица, ответственного за организацию обработки персональных данных;
- Инструкция лица, ответственного за организацию обработки персональных данных, и приказ о её утверждении (либо приказ о включении положений, представляющих собой положения инструкции лица, ответственного за организацию обработки персональных данных, в имеющуюся должностную инструкцию лица, назначенного ответственным за организацию обработки персональных данных);
- Формы письменных согласий субъектов персональных данных на обработку их персональных данных и приказ об их утверждении;
- Перечень всех обрабатываемых оператором персональных данных и приказ об утверждении соответствующего перечня;
- Перечень помещений, в которых ведётся обработка персональных данных, и приказ об утверждении соответствующего перечня;
- Перечень мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации, и приказ об утверждении соответствующего перечня;
- Перечень мест хранения материальных носителей персональных данных, обрабатываемых с использованием средств автоматизации, и приказ об утверждении соответствующего перечня;
- Перечень подразделений организации и работников, с указанием должностей, допущенных к обработке персональных данных, и приказ об утверждении соответствующего перечня;
- Формы обязательства работника о соблюдении режима конфиденциальности персональных данных субъектов персональных данных и приказ об утверждении соответствующих форм;
- Инструкция по режиму безопасности и приказ о её утверждении;
- Положение об осуществлении внутреннего контроля (аудита) соответствия обработки персональных данных требованиям к защите персональных данных, включающее в себя План проведения соответствующего внутреннего контроля (аудита), и приказ об утверждении соответствующего перечня;
- Регламент реагирования и направления ответов на обращения (запросы) субъектов персональных данных или их представителей и приказ об утверждении соответствующего регламента; и т.п.

  • Документы, регламентирующие и обеспечивающие применение организационно-технических мер по обеспечению безопасности персональных данных:

- Положение об обработке персональных данных и приказ о его утверждении;
- Положение об обеспечении безопасности персональных данных и приказ о его утверждении;
- Регламент учёта, хранения и уничтожения носителей ПДН (включающий в себя Регламент уничтожения персональных данных) и приказ о его утверждении;
- Перечень информационных систем персональных данных (включающий в себя перечень обрабатываемых персональных данных и характеристики информационной системы персональных данных) и приказ об утверждении соответствующего перечня;
- Технический паспорт информационных систем персональных данных;
- Техническое задание на создание системы безопасности персональных данных;
- Инструкция по обеспечению безопасности при работе с персональными данными (Инструкция пользователя информационных систем персональных данных) и приказ об утверждении соответствующей инструкции;
- Инструкция администратора безопасности информационных систем персональных данных (включающая в себя Инструкцию по действиям в случае компрометации ключевой информации) и приказ об утверждении соответствующей инструкции;
- Регламент определения уровней защищённости персональных данных, обрабатываемых в ИСПДН (включающий в себя Правила оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных) и приказ об утверждении соответствующего регламента;
- Правила оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных, и приказ об утверждении соответствующих правил;
- Инструкция по антивирусной защите в ИСПДн и приказ об утверждении соответствующей инструкции;
- Регламент резервного копирования персональных данных (включающий в себя План резервного копирования персональных данных) и приказ об утверждении соответствующего регламента;
- Перечень средств защиты персональных данных и приказ о его утверждении;
- Частная модель угроз безопасности персональных данных и ряд соответствующих актов о её утверждении (протоколы заседания комиссии; приказ об утверждении и т.п.);
- Регламент проведения контрольных мероприятий и реагирования на инциденты и приказ об утверждении соответствующего регламента;
- Регламент допуска работников и третьих лиц к обработке персональных данных и приказ об утверждении соответствующего регламента;
- Регламент осуществления процедуры по обезличиванию персональных данных и приказ об утверждении соответствующего регламента;
- Регламент обработки обезличенных персональных данных;
- Регламент осуществления трансграничной передачи персональных данных и приказ об утверждении соответствующего регламента; и т.п.


Юридическое сопровождение обработки персональных данных

Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.
Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.
Данные работы включают оценку соответствия организации, процесса или ИТ-инфраструктуры проверяемым требованиям.
В качестве методологии работ и критериев проверки могут использоваться различные стандарты и нормативно-правовые акты. Конечной целью этой категории работ является заключение о соответствии Заказчика проверяемым требованиям и рекомендации по приведению его в соответствие, с возможностью технической поддержки и консультациями по ходу реализации полученных замечаний.
• Проведение предварительной оценки соответствия, разработка плана работ, изучение внутренней нормативной документации, проверка её полноты и соответствия применимым требованиям;

• Анализ бизнес-процессов организации и построение схемы потоков данных в информационных системах и в ходе неавтоматизированной обработки;

• Интервью сотрудников и контрагентов организации, анализ реализованных мер по обеспечению защиты персональных данных,
в том числе на стороне поставщиков услуг;

• Разработка плана и рекомендаций по приведению процессов обработки персональных данных в соответствие законодательству;
Помощь в доработке существующей внутренней документации или разработка нового пакета документов для соответствия требованиям
Особенности
Приведение организации в соответствие требованиям нормативно-правовых актов и практикам проверок Роскомнадзора, или иных регуляторов уполномоченных проверять меры защиты в отношении персональных данных (например, для государственных организаций, проверяемых ФСТЭК и ФСБ).
Цель
Наша команда изучит работу вашей организации через призму соответствия процессов обработки персональных данных требованиям отечественного законодательства. В группу проверяющих одновременно включаются технические эксперты и методологи, что позволяет наиболее полно изучить реальное положение вещей, а не просто формально переписать документы, без их реального сопоставления с фактическим положением вещей.
В части требований к безопасности персональных данных
• Точный состав работ и этапы согласуются с заказчиком, в зависимости от его потребностей (от быстрого GAP-анализа и расчета предварительной оценки без формирования официального отчета, по требованиям Банка России; до всесторонней оценки соответствия с дополнительными работами по ОУД 4 и проверкой поставщиков услуг и контрагентов – сторонних разработчиков платежного ПО, банковских платежных агентов, центров обработки данных и т.д.);

• Возможность закрыть все требования Банка России в рамках одного проекта силами одной компании, в том числе провести технический аудит, с тестированием на проникновение и анализом защищенности автоматизированных систем, согласно
ГОСТ Р 57580.1-2017
Особенности
Оценка соответствияи консультации Заказчика по способам реализации требований нормативно-правовых актов Банка России (382-П, 683-П, 719-П, 747-П, 757-П и других),формирование отчетных документов, требуемых Банком России.
Проведение работ в рамках ГОСТ 57580.2–2018 и семейства стандартов ГОСТ 15408 (оценка соответствия ОУД 4).
Цель
Вместе мы определим полный перечень нормативов Банка России, применимых к организации, согласуем требуемый уровень защищенности, состав контуров безопасности, перечни автоматизированных систем и защищаемой информации, входящих
в область оценки. Четко сформулировав роль организации в банковской и платежной системах и уточнив границы работ,
мы проведем комплексную оценку информационной безопасности по выбранным направлениям, с выпуском соответствующей отчетной документации.
В части требований Банка России к финансовым организациям (кредитным и некредитным)

Оценка соответствия требованиям к ИБ

Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.

Технический
аудит

Все виды технического аудита проводятся на основе собственных и международных методологий (OWASP, OSSTMM, PTES, PCI DSS). При составлении отчёта большое внимание уделяется применимости его выводов и рекомендаций в реальной системе, для чего наши специалисты погружаются в бизнес-логику работы приложения и контекст его функционирования. Наши работы всегда основаны на моделировании риск-сценариев и приоритезации угроз и уязвимостей информационной безопасности,
а не на абстрактном перечеслении типовых уязвимостей, найденных автоматическим сканированием
Особенности
Наши специалисты, имитируя действия злоумышленника, осуществляют инструментальный и ручной поиск уязвимостей в системе, с последующей реализацией наиболее критичных из них для достижения заранее определённых целей (как правило проверки механизмов защиты или получения доступа к критичным активам). На основе собранной информации мы готовим подробный отчет по обнаруженным уязвимостям с рекомендациями по исправлению и по необходимости консультируем ИТ и ИБ специалистов Заказчика для коррекции процессов управления и избегания аналогичных уязвимостей в будущем
• Пентест не нацелен на поиск наибольшего кол-ва уязвимостей. Для достижения целей пентеста достаточно выявление короткой серии уязвимостей для компрометации системы. Все обнаруженные уязвимости в ходе пентеста включаются в отчёт;

• Подходит для организаций с выстроенными механизмами информационной безопасности. Если ранее в организации
не проводился пентест или анализ защищённости, приоритет стоит отдать анализу защищённости;

• Подходит для периодической (раз в год) проверки киберустойчивости организации к внешним и внутренним информационным угрозам;

• Подходит для соблюдения регуляторных требований по ПДн, ЦБ, PCI DSS, SWIFT и т.д.
Цель
Тестирование на проникновение
• Подходит для получения общей, комплексной картины по состоянию технической защищенности компании;

• Подходит для соблюдения регуляторных требований по ПДн, ЦБ, но является значительно более дорогой и продолжительной
по времени услугой, нежели пентест
Особенности
Поиск наибольшего количества уязвимостей
Цель
Наши специалисты всесторонне оценивают безопасность и уязвимость ИТ-системы, выявляя ее слабые места и уязвимости.
На основе собранной информации мы готовим подробный отчет по обнаруженным уязвимостям, их приоритености
с рекомендациями по исправлению
Анализ защищенности
• Значительно увеличивает уровень защищённости разрабатываемого ПО, как отдельного релиза, так и процесса работы команды разработчиков в целом;

• Подходит для кредитных и некредитных финансовых организаций для соблюдения требований, положений ЦБ РФ в части ОУД4;
Особенности
Выявление скрытых уязвимостей ПО, недостатков в процессе разработки, соблюдение регуляторных требований.
Цель
Наши специалисты проведут комплексный анализ программного обеспечения, которое вклкцючает в себя: автоматический и ручной анализ исходного кода, анализ и разработку документации согласно семейству стандартов ИСО/МЭК 15408 - ОУД 4
(при необходимости), тестирование на проникновение развёрнутого ПО, разработку отчёта с результами исследования, включающего в себя все обнаруженные уязвимости и рекомендации по их исправлению, а также рекомендации по изменениям
в процесс разработки ПО (например, внедрению Secure SDLC)
Анализ уязвимостей ПО
Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.

Комплексный аудит
ИБ и консалтинг

• Понимаете, что вашим приоритетом является стратегическое планирование развития ИТ и ИБ;


• Вам хочется приоритезировать
свой бэклог задач или получить независимое заключение о том,
что стоит в него включить;

• Вы хотите разобраться в метриках оценки качества и эффективности процессов управления ИТ и ИБ, наладить отдельные процессы управления или качественно внедрить в практики организации средства защиты

Услуга представляет собой разработанный специально под клиента, с учетом его уникальных потребностей, набор технических, процессных и документационных исследований. Целью является получение наиболее полной и объективной картины о приложениях, процессах
и персонале Заказчика, в разрезе оценки эффективности реализуемых практик управления ИТ и ИБ.
В ходе исследования одновременно оцениваются регуляторные риски организации, зрелость процессов управления ИБ, техническая защищённости информационных активов от внешних и внутренних угроз, квалификация и адекватность персонала целям организации
Если вы:
Наши специалисты:
• Проведут исследование информационных систем, бизнес-процессов организации, выделят точные границы системы защиты информации и необходимые для
ее функционирования ресурсы (технологии, персонал);

• Проанализируют модели взаимодействия компонентов информационных систем, используемых при обеспечении бизнес-процессов.

• Проанализируют внутренние
и внешние требования
к существующим системам информационной безопасности, актуальные лучшие практики и отраслевые стандарты, чтобы сформировать Ваш уникальный профиль защиты и KPI управления ИБ;

• Выполнят необходимые технические исследования (пентесты и анализ защищенности, аудит исходного кода и изучение бизнес-логики критичных приложений);

• Оценят и приоритезируют риски ИТ и ИБ организации, с учетом значимости бизнес-процессов
и целей организации;

• Помогут сформировать и внедрить систему метрик для оценки качества и состояния процессов управления ИТ и ИБ;

• Разработают рекомендации
по устранению выявленных недостатков и повышению уровня информационной безопасности организации, в соответствии
с сформированным профилем защиты;



• Предоставят необходимые планы
и возьмут организацию
на сопровождение в режиме виртуального CISO для непрерывного улучшения процессов управления ИТ и ИБ.
Особенности:
• Подходит для организации
в качестве первичного аудита ИБ;

• Результат аудита позволит разработать комплексный план
по приведению в соответствие процессов ИБ организации;

• Возможно сопровождение организации в режиме подписки
на консультационные услуги Исполнителя и частичный аутсорсинг некоторых функций ИТ и ИБ.
Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.
Что такое персональные данные?

Любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу

С кем мы работаем?

С любыми лицами, которые начинают обрабатывать (в любой форме / любым способом) персональные данные:

· Юридические лица
· Индивидуальные предприниматели
· Физические лица

* N 152-ФЗ от 27.07.2006 "О персональных данных"

Зачем мы вам нужны?

Как вы знаете развитие законодательства в РФ и во всем мире направлено на ужесточение и дополнительное регулирование в области персональных данных.
Сейчас увеличивают и усложняют требования к операторам персональных данных и усиливают сопутствующие меры ответственности за их несоблюдение
Чтобы избежать рисков по штрафным санкциям, которые с конца марта 2021 года увеличились вдвое (статья 13.11. КоАП РФ), а также возникновения репутационных последствий и дисквалификации должностных лиц, необходимо пересмотреть подход к управлению персональными данными и обеспечить соответствие новым нормам и правилам в данной области.

Возможные штрафы

Ответственность за отсутствие документов

1) Административная. Статьи: Статья 13.11 КоАП РФ, 13.12 КоАП РФ, Статья 19.5 КоАП РФ.
Суммарный штраф от 335000р., возможно лишение свободы на срок до 2х лет.
2) Гражданская. Статьи: Статья 17 №152-ФЗ «О персональных данных», Статья 24 №152-ФЗ.
Возмещение морального вреда по решению суда.

Незаконная или нецелевая обработка

За обработку личных данных в незаконных случаях должностных лиц и ИП грозит штраф на сумму от 10 тыс. до 20 тыс. руб., а компании - от 60 тыс. до 100 тыс. руб. То же по общему правилу коснется обработки вопреки целям сбора такой информации.
За повторное нарушение:
- для должностных лиц - от 20 тыс. до 50 тыс. руб.;
- ИП - от 50 тыс. до 100 тыс. руб.;
- компаний - от 100 тыс. до 300 тыс. руб.

Нет письменного согласия гражданина

За обработку персональных данных без письменного согласия гражданина, если оно обязательно. Должностные лица и ИП заплатят от 20 тыс. до 40 тыс. руб., а компании - от 30 тыс. до 150 тыс. руб.
За повторное нарушение:
- для должностных лиц - от 40 тыс. до 100 тыс. руб.;
- ИП - от 100 тыс. до 300 тыс. руб.;
- компаний - от 300 тыс. до 500 тыс. руб.

Нет доступа к политике обработки

Если не обеспечить неограниченный доступ к политике по обработке персональных данных или к информации о выполняемых требованиях к их защите, то штраф составит:
- для должностных лиц - от 6 тыс. до 12 тыс. руб.;
- ИП - от 10 тыс. до 20 тыс. руб.;
- компаний - от 30 тыс. до 60 тыс. руб.
* Если компания попадает в реестр нарушителей, то в дальнейшем такая организация будет на постоянном контроле у Роскомнадзора


Наши услуги


- Предоставление пакета типовых документов


- Предоставление расширенного пакета типовых документов с консультацией нашего менеджера по вопросам редактирования данных документов под специфику деятельности организации в размере, не превышающем 16 часов


- Разработка пакета документов, полностью «заточенных» под деятельность и бизнес-процессы, в полном объеме, который необходим для соответствия требованиям законодательства и контрольно-надзорных органов







Требования законодательства

С точки зрения законодательства у компании – оператора персональных данных, должны быть следующие документы (в базовом варианте):


· Политика в отношении обработки персональных данных
· Локальные акты оператора, направленные на предотвращение и выявление нарушений законодательства РФ в области обработки персональных данных


В каждом конкретном случае количественный перечень таких документов (локальных актов) может варьироваться (как в сторону увеличения, так и в сторону уменьшения); в основном перечень будет состоять из:

  • Документы, регламентирующие и обеспечивающие применение организационно-правовых мер по обеспечению безопасности персональных данных:

- Приказ об утверждении политики в отношении обработки персональных данных;
- Приказ о назначении лица, ответственного за организацию обработки персональных данных;
- Инструкция лица, ответственного за организацию обработки персональных данных, и приказ о её утверждении (либо приказ о включении положений, представляющих собой положения инструкции лица, ответственного за организацию обработки персональных данных, в имеющуюся должностную инструкцию лица, назначенного ответственным за организацию обработки персональных данных);
- Формы письменных согласий субъектов персональных данных на обработку их персональных данных и приказ об их утверждении;
- Перечень всех обрабатываемых оператором персональных данных и приказ об утверждении соответствующего перечня;
- Перечень помещений, в которых ведётся обработка персональных данных, и приказ об утверждении соответствующего перечня;
- Перечень мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации, и приказ об утверждении соответствующего перечня;
- Перечень мест хранения материальных носителей персональных данных, обрабатываемых с использованием средств автоматизации, и приказ об утверждении соответствующего перечня;
- Перечень подразделений организации и работников, с указанием должностей, допущенных к обработке персональных данных, и приказ об утверждении соответствующего перечня;
- Формы обязательства работника о соблюдении режима конфиденциальности персональных данных субъектов персональных данных и приказ об утверждении соответствующих форм;
- Инструкция по режиму безопасности и приказ о её утверждении;
- Положение об осуществлении внутреннего контроля (аудита) соответствия обработки персональных данных требованиям к защите персональных данных, включающее в себя План проведения соответствующего внутреннего контроля (аудита), и приказ об утверждении соответствующего перечня;
- Регламент реагирования и направления ответов на обращения (запросы) субъектов персональных данных или их представителей и приказ об утверждении соответствующего регламента; и т.п.

  • Документы, регламентирующие и обеспечивающие применение организационно-технических мер по обеспечению безопасности персональных данных:

- Положение об обработке персональных данных и приказ о его утверждении;
- Положение об обеспечении безопасности персональных данных и приказ о его утверждении;
- Регламент учёта, хранения и уничтожения носителей ПДН (включающий в себя Регламент уничтожения персональных данных) и приказ о его утверждении;
- Перечень информационных систем персональных данных (включающий в себя перечень обрабатываемых персональных данных и характеристики информационной системы персональных данных) и приказ об утверждении соответствующего перечня;
- Технический паспорт информационных систем персональных данных;
- Техническое задание на создание системы безопасности персональных данных;
- Инструкция по обеспечению безопасности при работе с персональными данными (Инструкция пользователя информационных систем персональных данных) и приказ об утверждении соответствующей инструкции;
- Инструкция администратора безопасности информационных систем персональных данных (включающая в себя Инструкцию по действиям в случае компрометации ключевой информации) и приказ об утверждении соответствующей инструкции;
- Регламент определения уровней защищённости персональных данных, обрабатываемых в ИСПДН (включающий в себя Правила оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных) и приказ об утверждении соответствующего регламента;
- Правила оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных, и приказ об утверждении соответствующих правил;
- Инструкция по антивирусной защите в ИСПДн и приказ об утверждении соответствующей инструкции;
- Регламент резервного копирования персональных данных (включающий в себя План резервного копирования персональных данных) и приказ об утверждении соответствующего регламента;
- Перечень средств защиты персональных данных и приказ о его утверждении;
- Частная модель угроз безопасности персональных данных и ряд соответствующих актов о её утверждении (протоколы заседания комиссии; приказ об утверждении и т.п.);
- Регламент проведения контрольных мероприятий и реагирования на инциденты и приказ об утверждении соответствующего регламента;
- Регламент допуска работников и третьих лиц к обработке персональных данных и приказ об утверждении соответствующего регламента;
- Регламент осуществления процедуры по обезличиванию персональных данных и приказ об утверждении соответствующего регламента;
- Регламент обработки обезличенных персональных данных;
- Регламент осуществления трансграничной передачи персональных данных и приказ об утверждении соответствующего регламента; и т.п.

Юридическое сопровождение обработки персональных данных


Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.

Клиенты

Клиенты
Узнать цены
Как к вам обращаться?
Укажите ваш e-mail для связи
Укажите ваш номер телефона
Какая услуга вас интересует?
Комментарий
УЗНАТЬ ЦЕНЫ
Как к вам обращаться?
Укажите ваш e-mail для связи
Укажите ваш номер телефона
Какая услуга вас интересует?
Комментарий
Информационная безопасность
вашего бизнеса
127055
Москва,
ул. Новослободская 73с1

info@datsecurity.ru
+7 (495) 181-0-313
Made on
Tilda