Решение о модернизации подсистем информационной безопасности, как правило, приводит к необходимости внесения определенных изменений в ИТ-инфраструктуру и существенных финансовых вложений. В условиях изменяющихся требований законодательства в области защиты персональных данных компаниям крайне важно сохранять инвестиции, вложенные в систему обеспечения ИБ.

При построении системы защиты, с одной стороны, необходимо учитывать требования бизнеса по обеспечению безопасности критичной информации, с другой – обязательные требования законодательства.

Проблематика

За последние несколько лет нормативно-правовая база в области защиты персональных данных существенно менялась несколько раз. Наиболее значимыми событиями можно назвать отмену «четырехкнижия» ФСТЭК и публикацию Приказа № 58, а также новую редакцию Федерального закона «О персональных данных», вышедшую в июле 2011 года.

В связи с этими изменениями многие компании, которые пошли по пути формального выполнения требований, были вынуждены вносить серьезные изменения в системы защиты персональных данных (СЗПДн). Причиной этому стала ограниченная функциональность созданных подсистем ИБ, так как в их основу явно закладывались только формализованные требования. Повторное проектирование подсистем ИБ и изменение их состава и настроек требовало значительных дополнительных инвестиций.

Существенная доля организаций сознательно готова принять регуляторные риски из-за опасений, что с выходом новой редакции закона «О персональных данных» придется переделывать уже созданные системы защиты.

Оба этих подхода могут привести к необходимости в сжатые сроки перестраивать подсистемы ИБ или приводить их в соответствие «с нуля» в случае изменения требований по защите персональных данных и совершенствования законодательной базы.

Решение

Компания «Инфосистемы Джет» имеет выработанную методологию, учитывающую специфику предприятий разных отраслей. Ее уникальность заключается в фокусировании на реальной защищенности, что позволяет нивелировать изменяющиеся требования законодательства и одновременно учитывать требования бизнеса. При таком подходе построенные подсистемы не потребуют замены в случае изменения законодательных требований. Компания «Инфосистемы Джет» вносит все необходимые изменения в проектную документацию в рамках постпроектного сопровождения. Это позволяет сохранить инвестиции заказчиков и обеспечить надежность работы системы.

Полный комплекс работ по защите персональных данных включает:

  • оценку соответствия процессов обработки и защиты персональных данных автоматизированным и неавтоматизированным способами, в том числе юридическую оценку взаимодействия с работниками, клиентами, подрядчиками и другими контрагентами;
  • разработку полного комплекта документов (локальных актов операторов ПДн), регламентирующих обработку и защиту персональных данных; переработку необходимой документации в случае изменения требований законодательства;
  • проектирование и создание системы защиты персональных данных (СЗПДн), а также оценку эффективности принимаемых мер по обеспечению безопасности ПДн;
  • проведение аттестации информационных систем персональных данных (ИСПДн) в случае необходимости;
  • постпроектное сопровождение системы защиты и поддержку режима обработки персональных данных в актуальном состоянии.

При построении систем защиты ПДн специалисты компании «Инфосистемы Джет» наряду с традиционными механизмами защиты информации применяют инновационные технологии ведущих производителей в области ИБ. К ним относятся решения класса Security Information Management (НP, ArcSight, Symantec SIEM, RSA), DataBase Activity Monitoring, Identity Management и Information Rights Management (Oracle, IBM), Data Loss Prevention («Дозор-Джет», Symantec), Configuration &Vulnerability Management (MaxPatrol) и др.

Выгоды

Реализованные проекты обеспечивают:

  • минимальное влияние возможных изменений законодательства на актуальность системы защиты;
  • эффективную, гибкую и адаптивную для дальнейшего совершенствования систему ИБ;
  • защиту инвестиций в построенные СЗПДн;
  • повышение фактической защищенности ПДн;
  • выполнение требований бизнеса по защите коммерческой тайны;
  • создание комплексных решений, которые могут обеспечить одновременно соответствие требованиям Федерального Закона № 152-ФЗ и стандартов (СТО БР, PCI DSS, ISO 27001 и др.).

Специалисты Центра информационной безопасности компании «Инфосистемы Джет» имеют уникальный опыт в области построения систем защиты различной степени сложности.

Преимущества работы с компанией «Инфосистемы Джет»:

  • компания осуществляет весь комплекс работ, включая постпроектное сопровождение;
  • большой опыт реализации проектов и наличие собственной методологии. Успешная реализация проектов по защите ПДн более чем в 90 российских компаниях, более 50 выданных аттестатов соответствия (из которых более 20 на ИСПДн);
  • компания участвует в проверках, проводимых регуляторами;
  • учитывается специфика деятельности компании-заказчика и ее бизнес-процессов.