Защита персональных данных в соответствии с законодательствомКРОК
КРОК реализует проекты по приведению информационных систем персональных данных в соответствии с требованиями российского законодательства, обеспечивая безопасность всех информационных систем персональных данных. Под действие нормативных документов, в первую очередь Федерального закона «О персональных данных», Кодекса административных правонарушений (КОАП), Гражданского кодекса, Уголовного кодекса, постановлений Правительства, попадают все коммерческие компании, государственные и общественные организации, работающие не территории России.
Подробней на http://www.croc.ru/promo/pd/
Консалтинг и аудит информационной безопасностиКРОК
Недостаточность и плохая проработка вопросов обеспечения информационной безопасности (ИБ) компании, ее методических и концептуальных основ может пагубно влиять на ее бизнес-процессы, затрудняя их выполнение и снижая эффективность.
Подробнее на http://www.croc.ru/solution/services/consulting/it-safety/
Защита персональных данных в соответствии с законодательствомКРОК
КРОК реализует проекты по приведению информационных систем персональных данных в соответствии с требованиями российского законодательства, обеспечивая безопасность всех информационных систем персональных данных. Под действие нормативных документов, в первую очередь Федерального закона «О персональных данных», Кодекса административных правонарушений (КОАП), Гражданского кодекса, Уголовного кодекса, постановлений Правительства, попадают все коммерческие компании, государственные и общественные организации, работающие не территории России.
Подробней на http://www.croc.ru/promo/pd/
Консалтинг и аудит информационной безопасностиКРОК
Недостаточность и плохая проработка вопросов обеспечения информационной безопасности (ИБ) компании, ее методических и концептуальных основ может пагубно влиять на ее бизнес-процессы, затрудняя их выполнение и снижая эффективность.
Подробнее на http://www.croc.ru/solution/services/consulting/it-safety/
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
Выбор информационных систем. Журнал Управление компанией, Июль, 2004 г.
Вопрос о выборе и внедрении информационной системы на предприятии активно обсуждается не один год, однако часто компании, относясь к IT-решениям, как к панацее, тратят значительные средства, которые впоследствии не окупаются. Предлагаемая статья представляет собой обобщение опыта, полученного в результате нескольких проектов по выбору и внедрению информационных систем в различных компаниях.
Кибербезопасность в России. ИсследованиеCisco Russia
Cisco провела опрос среди профессионалов в сфере информационной безопасности из более чем 200 российских организаций, чтобы узнать о применяемых ими подходах к обеспечению безопасности. Ознакомьтесь с отчетом.
Как довести проект по информационной безопасности до умаInfoWatch
Как довести ИБ-проект до ума? Как и когда лучше преподнести проект руководству? Как обосновать бюджет на имиджевый ИБ-проект? Что такое модель зрелости ИБ Gartner?
Similar to Способы выполнения требований 152-ФЗ (20)
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
SAM за 7 шагов. Рецепт для небольших компанийValery Bychkov
21 июня в сообществе Смартсорсинг прошел вебинар «SAM за 7 шагов. Рецепт для небольших компаний» на котором Дмитрий Исайченко (Cleverics), рассказал о том, как организовать процесс управления активами ПО в небольшой компании. Весь вебинар – рассказ о том, как в компании Cleverics решали задачи учёта ПО, инвентаризации, управления лицензионными соглашениями и т.д. Так что, никаких абстрактных теорий и рекомендаций – только практический опыт.
Ответственность за факапы в сервисном бизнесеValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий вебинара — Евгений Калинин, консультант, тренер. Автор книги "RTFM. Книга про ИТ-аутсорсинг" и тренинга "Первый миллион в ИТ-аутсорсинге".
Факапы случаются. Серверы валятся, бекапы не читаются, курьеры опаздывают, документы теряются. Как бы вы ни стремились все предусмотреть, что-то обязательно пойдет не так, кто-то ошибется, и возникнет проблема.
Кто отвечает за факапы? Кто будет возмещать убытки? Как должно быть организовано взаимодействие между клиентом и поставщиком услуг, чтобы результатом проблемы не стала многолетняя война, суды, обиды и наезды.
На вебинаре «Ответственность за факапы в сервисном бизнесе» говорим о разделении ответственности между клиентом и аутсорсером, управлении рисками, о предотвращении неприятных ситуаций и о том, что делать, когда факап все же случился. О том, что такое ответственная позиция и как она помогает вам в вашей деятельности.
1. www.b-152.ru
Способы выполнения
требований закона №152-ФЗ
Специально для
2. Спикер
Макс Лагутин
СЕО проекта «Б-152»: Первой
автоматизированной онлайн-системы
защиты персональных данных
Специалист по ИБ
Контакты будут позже
3. Для затравки
В Российской Федерации, по данным Росстата и Опоры России,
зарегистрировано более 7 млн юридических лиц и ИП
Зарегистрировано чуть больше 240 тысяч операторов
персональных данных
Закон выполнили крупные бизнесы и гос.
компании
4. Что нужно выполнять?
Назначение Комиссии по защите персональных
данных
Аудит информационных систем и бизнес
процессов
Подача Уведомления в Роскомнадзор
Разработка организационно-распорядительной
документации
Обучение персонала
Классификация информационных систем
персональных данных (ИСПДн)
Разработка системы защиты персональных
данных (СЗПДн)
Ввод в эксплуатацию СЗПДн и ее поддержка
5. Способы выполнения
Основные способы:
• Использование услуг системных интеграторов
• Наем собственного специалиста по информационной безопасности
• Делегирование на одного из сотрудников
• Воспользоваться специализированными программами и сервисами
• Прибегнуть к экзотическим способам
6. Как выбрать «свой» способ?
Определите, зачем вам это нужно:
быть чистыми перед законом, не попасть на штрафы при проверке, для поднятия среднего
чека, для поднятия лояльности, забота о клиентах, требования контрагента или головной
компании
Определите то, что для вас важно при выборе одного из способов:
наличие портфолио, невысокая стоимость, комплексная услуга, простота работы и
взаимодействия, скорость реализации проекта по защите ПДн, постоянные консультации,
поддержка при изменении законов, собственное участие в проекте, страхование рисков,
наличие лицензии на работы по защите информации, помогают пройти проверки
регуляторов
Определите для себя примерную верхнюю ценовую планку, выше
которой вы не подниметесь – это одно из ключевых значений
7. Системный интегратор
Преимущества:
Предоставляют комплексную услугу высокого качества, распределяют риски,
помогают пройти проверки регуляторов, обладают лицензией на защиту
информации и портфолио реализованных проектов, постоянные консультации
во время реализации проекта
Недостатки:
Высокая стоимость реализации проектов (от 300 т.р.), долгое время реализации
проекта (от 6 месяцев), отсутствуют во многих регионах, проваливают сроки
реализации проектов и увеличивают стоимость проекта, большое число
повторяющихся действий, присутствуют не во всех регионах, могут отказаться от
проекта, если низкая цена
8. Выбор интегратора
1. Составляем список системных интеграторов – поможет Яндекс
2. Проявляем интерес к услуге по защите ПДн через их сайт или почту
3. Получаем анкету предпроектного обследования, заполняем ее и
отправляем обратно / Общаемся на личной встрече с представителями
интеграторов
4. Получаем коммерческое предложение со сроками и стоимостью
5. Выбираем наиболее подходящий для нас вариант
Интеграторы делятся на тех, кто зарабатывает с установки своих средств
защиты, и кто получает прибыль со своего консалтинга.
Первые подходят тем, у кого большая ИТ-инфраструктура, а вторые у кого
много бизнес-процессов, в которых циркулируют персональные данные, а ИТ-
инфраструктура относительно небольшая.
9. Собственный безопасник
Преимущества:
Оказывает комплексную услугу при должном опыте работы и наличии
необходимых сертификатов, простое взаимодействие с начальством, проводит
постоянные консультации, при изменении законов меняет документацию и
СЗПДн, поможет выполнить иные виды защиты информации
Недостатки:
Кадровый голод на рынке, специалиста по ИБ сложно найти, но при
нахождении он обойдется минимум в 35 000 рублей в месяц, при этом может
не обладать всеми необходимыми компетенциями (проектирование СЗПДн и
внедрение средств защиты), без постоянных (раз в года-два) курсов по защите
информации, будет терять свою привлекательность на рынке и может уйти,
после проекта по защите ПДн может оказаться для компании балластом, нужна
лицензия ТЗКИ для защиты ПДн для собственных нужд
10. Поиск безопасника
1.Посмотрите описания вакансий на hh.ru, superjob.ru, rabota.ru и на сайтах системных
интеграторов (ищите вакансии младших специалистов и специалистов по ИБ)
2.Набросайте свою вакансию на основании просмотренного и разместите ее сайтах поиска
работы
3.Поищите среди технических институтов МГТУ, МИФИ, МАИ и иными, у которых есть
кафедра Защиты информации
4.Позвоните или сходите на кафедру, узнайте о самых перспективных студентах
5.Выберите лучшего студента и берите его на стажировку с трудоустройством или без
оного (например как преддипломная практика или строка в резюме после института)
6.При необходимости отправьте его на курсы (12-28 т.р.) по организации защиты ПДн
7.Зарегистрируйтесь на сайте ispdn.ru и поищите специалистов там (через анализ веток
форума и личные сообщения)
Безопасник подойдет только для компаний со штатом более 30 сотрудников
11. Загрузить своего сотрудника
Преимущества:
Сотруднику можно поставить новые задачи, без увеличения оклада, и из-за
того, что ему доверяют - взаимодействие с начальством выходит на новый
уровень. Сотрудник в получит новые компетенции, которые в будущем могут
пригодится
Недостатки:
Сотрудник будет начинать все с нуля, из-за чего много времени уделяется
самообучению и реализации проекта, что поставит под вопрос его основные
обязанности. Гарантий и качества работы ждать не стоит. Опять же нужно
будет получать лицензию ФСТЭК на ТЗКИ
12. Что делать сотруднику?
1. Лучше всего назначать на проект не одного специалиста, а двух –
системного администратора и юриста. Вместо юриста может быть HR.
2. Им будет полезно почитать основные законы (www.b-152.ru/npb) и
посмотреть ветки форума ispdn.ru.
3. Задавать вопросы экспертному сообществу или Роскомнадзору (pd.rsoc.ru)
4. Системному администратору не помешает пройти курс по тех. защите
информации
С этого способа начинают многие компании и львиная доля из них
обращаются к одному из других способов. Причина – неэффективность и
незнание тематики защиты ПДн.
13. Программы и сервисы
Преимущества:
Низкая стоимость, за счет автоматизации, что так же позволяет ускорить
реализацию проекта защиты ПДн (до 1 недели), постоянные
консультации специалистов, обновление документов в течение срока
подписки на использование, помощь в прохождении проверки. За счет
возможности тех. защиты в защищенном ЦОД, достигается
комплексность услуги. Программы и сервисы нацелены на работу
неопытных в вопросах защиты информации сотрудников
Недостатки:
Из-за масштабов охвата не могут поставить на поток разделение рисков,
не все обладают лицензией на ТЗКИ. Помимо этого, не всегда возможно
узнать клиентов, пользующихся данным ПО или сервисом
14. Какие ПО и сервисы есть?
Специализированных сервисов и ПО не так много.
Из программного обеспечения можно выделить Wingdoc ПД,
предназначенный для специалистов по ИБ и позволяющий построить
модели угроз. Стоит в пределах 20 т.р., но неизвестна частота обновления
Из онлайн-сервисов это b-152.ru, который позволяет компаниям до 500
сотрудников в штате за 12 т.р. в год подготовить комплект необходимой
документации, зарегистрироваться в Роскомнадзоре построить и
внедрить тех. защиту на защищенном ЦОДе, а также получать поддержку
специалистов по ИБ и новые документы, при обновлении законов
Автоматизация не панацея, но имеет свои преимущества
15. Экзотичные способы
Отдать проект по защите ПДн стороннему
безопаснику без гарантий
Одолжить безопасника у знакомой
компании
Заплатить за крышу
Обратиться к юридическим компаниям