ФЗ-152 Оценка соответствия ФЗ-152
Со 2 декабря 2019 года штрафы за несоблюдение требований ФЗ-152 увеличились до 6 млн. руб.
Если вы являетесь оператором персональных данных, закон обязывает обеспечить правовую и техническую подготовку процесса сбора и обработки персональных данных.
Под требования ФЗ-152 попадают все компании, на сайте которых производится сбор персональных данных с помощью:
-
формы обратной связи, заказа обратного звонка и любой другой формы;
-
подписки на рассылку;
-
корзины;
-
личного кабинета;
-
оплаты и доставки и др.
Возможные последствия при несоблюдении требований ФЗ-12:
- штраф до 6 млн. руб.;
- лишение свободы до 5-ти лет;
- возмещение убытков;
- компенсация морального ущерба;
- запрет занимать определённые должности, увольнение, выговор.
Узнать подробнее
Управление активами — основа для соответствия ФЗ-152 и обеспечения информационной безопасности
Обеспечьте соответствие требованиям ФЗ-152 и снижайте риски информационной безопасности:
Определите способы доступа и использования персональных данных | Примите меры безопасности для предотвращения и обнаружения утечки данных |
Защитите критически важные сегменты инфраструктуры | Обеспечьте целостность, доступность и конфиденциальность данных |
Проведите оценку рисков систем и ПО на предмет потенциальных угроз для конфиденциальности данных субъектов | Реагируйте на уязвимости. Определите области риска и обеспечьте соответствие требованиям и безопасность |
Как проводится оценка в процессе аудита:
Конфиденциальность и безопасность объединены и требуют организационных изменений. В ходе проекта оцениваются организационный и технический уровни:
Традиционная среда |
Среда с учётом конфиденциальности |
Бизнес / Коммерческая стратегия | Стратегия конфиденциальности |
Общее понимание безопасности | Общеорганизационная культура безопасности и конфиденциальности |
Узкоспециализированные отношения с бизнес-партнёрами/поставщиками | Предварительно подготовленные (обрабатываемые) соглашения |
Фокус на бизнес-приложениях как активах | Фокус на данных как активе компании |
Индивидуально определённый доступ на основе групп безопасности | Доступ на основе бизнес-ролей с обоснованными доказательствами доступа с проверками / аудитами |
Практика обеспечения безопасности для защиты ИТ-активов | Защита данных для обеспечения конфиденциальности |
Результаты:
- Комплексная оценка и рекомендации по процессам управления критическими данными, с учетом внедренных практик на организационном и техническом уровнях
- Оценка и рекомендации для повышения кибербезопасности по критическим направлениям на основе международного свода рекомендаций CIS Controls
- План ближайших шагов по устранению наиболее критичных уязвимостей
- Дорожная карта по внедрению передовых решений для построения гибкой ИТ инфраструктуры, быстро реагирующей на возникающие угрозы
- Рекомендации для улучшения управления и защиты ПД и соответствия требованиям ФЗ-152