Компания Security Vision вывела на рынок продукт Security Vision Управление персональными данными, который ведет реестр информационных систем, обрабатывающих ПДн, рассчитывает уровень защищенности, моделирует угрозы и генерирует полный пакет документов.
Security Vision Управление ПДн обеспечивает соответствие сразу трем ключевым нормативно- правовым актам:
— Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»
— Постановлению Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
— Приказу ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Security Vision Управление ПДн закрывает потребности любых операторов ПДн — от небольших компаний до крупных организаций с филиальной сетью и дочерними обществами — и может интегрироваться с различными локальными системами без потери функциональности.
Продукт включает в себя следующие возможности:
— Формирование процессов, связанных с обработкой персональных данных (ПДн)
— Формирование информационных систем персональных данных (ИСПДн)
— Определение уровня защищенности ПДн, обрабатываемых в ИСПДн
— Учет и контроль обращений субъектов ПДн
— Контроль согласий и отзывов согласий субъектов ПДн
— Учет и контроль машинных носителей с ПДн
— Учет средств защиты ПДн
— Учет и контроль компьютерных инцидентов, связанных с ПДн
— Моделирование угроз безопасности ПДн
— Формирование базовых мер защиты ПДн с возможностью адаптации, уточнения и дополнения
— Проведение оценки соответствия требованиям безопасности (защиты) ПДн
— Планирование мероприятий по защите ПДн
— Формирование пакета документации, исходя из требований НПА
Учет процессов и ИСПДН
Перечни процессов и информационных систем, обрабатывающих персональные данные, формируются на базе опросных листов, направляемых ответственным лицам в организации, либо внесением уже имеющихся данных в систему.
При формировании ИСПДн вносится полный спектр информации об обработке и защите персональных данных, включая:
— Цели обработки
— Правовые основания
— Категории, категории субъектов, перечень ПДн и действия на ними
Данные собираются и аккумулируются со всех имеющихся ИСПДн с возможностью формирования необходимых уведомлений в Роскомнадзор.
Определение уровня защищенности и формирование мер защиты
Определение уровня защищенности персональных данных, обрабатываемых в ИСПДн, значение которого необходимо для выстраивания их дальнейшей защиты, автоматически рассчитывается в рамках каждой ИСПДн. Исходя из определенного уровня защищенности, также автоматически формируется базовый набор мер защиты ПДн с возможностью их адаптации, уточнения и дополнения применительно к конкретной ИСПДн.
Моделирование угроз и оценка соответствия
Моделирования угроз безопасности ПДн может осуществляться в соответствии с методическим документом ФСТЭК России «Методика оценки угроз безопасности информации».
Реализовано два подхода моделирования по:
— новому разделу угроз, включающий группы угроз, угроз, входящих в состав групп, и соответствующие способы реализации данных угроз
— общему перечню угроз, способов их реализации и сценариев, исходя из последовательности тактик и соответствующих техник, для определения актуальных способов реализации угроз безопасности информации
Оценка соответствия требованиям безопасности ПДн осуществляется в части НПА, указанных выше. Оценка проводится путем заполнения информации по текущему состоянию защиты ПДн в ИСПДн с возможностью делегировать (полностью или частично) опросные листы соответствующим специалистам.
По результатам оценки соответствия формируется перечень нереализованных требований, с дальнейшим созданием плана мероприятий и необходимых задач.
Контроль согласий, отзывов и обращений субъектов ПДн
Реализована возможность хранения согласий субъектов ПДн на обработку ПДн и контроля их отзыва после соответствующего обращения. Все обращения субъектов ПДн фиксируются в журнале учета запросов и обращений с фиксацией срока выполнения запроса и постановки задач исполнителям исходя из конкретного типа запроса, а также осуществлять контроль за установленными сроками выполнения обращений.
Документация
По результатам выполнения основных процессов в продукте формируется полный пакет документации, исходя из требований НПА, на основе разработанных шаблонов. При необходимости документация может быть адаптирована под локальные требования организации.
Основные метрики и текущее состояние процессов в организации отслеживаются в каждый момент времени с помощью набора дашбордов.
ссылка на оригинал статьи https://habr.com/ru/articles/1037788/