+ 7 (482) 253-60-86 170027 г.Тверь, ул. Бригадная, д.55, строение 1. М10, М11
Оптовая продажа товаров для животных

Соответствие требованиям регуляторов

Соответствие требованиям регуляторов в области защиты персональных данных

Провести экспертную оценку состояния и уровня зрелости информационной безопасности компании, определить степень соответствия требованиям регуляторов, сформировать план по приведению системы информационной безопасности этим требованиям, разработать концепцию развития информационной безопасности в целом. Эффективные средства защиты информационных активов компании.

Нормативно-правовые акты, а также международные и отраслевые стандарты предъявляют требования к обеспечению информационной безопасности: обязуют компании принимать меры по охране конфиденциальности информации, также содержат рекомендации по применению организационных мер и технических средств, направленных на защиту конфиденциальной информации (информации ограниченного доступа).

Понятие «конфиденциальность информации» трактуется по-разному, но всегда подразумевает необходимость предотвращения утечки (разглашения) информации.

Решения позволяют компаниям соответствовать требованиям отраслевых стандартов и законодательства:

  • 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • 152-ФЗ «О персональных данных»
  • Требования по защите коммерческой тайны (98-ФЗ)
  • Требования по защите инсайдерской информации (224-ФЗ)
  • Требования по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и другие)
  • Приказ ФСТЭК России №17, №21, Постановление Правительства РФ №1119, Методические рекомендации ФСТЭК России
  • Требования по защите информации в АСУ ТП (Приказ ФСТЭК России №31)
  • Требования к безопасности данных индустрии платежных карт - PCI DSS
  • СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»
  • РС БР ИББС-2.9-2016 «Предотвращение утечек информации»
  • Комплексный международный стандарт по информационной безопасности ISO 27001
  • Международные нормативно-правовые акты и стандарты (Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act of 2002 и т.д.)


Основные законы в области информации , технологий и обработки данных.

Информация ограниченного доступа (конфиденциальная информация) – информация, доступ к которой ограничен федеральными законами. Обладатель информации обязан принимать меры по защите информации. 149-ФЗ "Об информации, информационных технологиях и о защите информации"


Регулируется 152-ФЗ «О персональных данных», а перечень мер по защите персональных данных определен в ПП-1119 и Приказе ФСТЭК России №21.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Требования к защите персональных данных распространяются на организации, их обрабатывающие (по сути, на все организации).

  • Меры наказания за разглашение персональных данных определены в следующих документах: ст. 13.11 КоАП РФ, ст. 137 УК РФ, ст. 81 п.6 пп. «в» ТК РФ


Регулируется 98-ФЗ «О коммерческой тайне»

Коммерческая тайна - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.

  • Меры наказания за разглашение коммерческой тайны определены в следующих документах: ст. 13.14 КоАП РФ, ст.183 УК РФ, ст. 81 п.6 пп. «в» ТК РФ


Регулируется 395-1-ФЗ «О банках и банковской деятельности», а также статьей 857 ГК РФ

Банковская тайна - сведения об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иные сведения, устанавливаемых кредитной организацией.

  • Меры наказания за разглашение банковской тайны определены в следующих документах: ст. 13.14 КоАП РФ, ст.183 УК РФ, ст. 81 п.6 пп. «в» ТК РФ


Результат работы по внедрению:

Аудит на соответствие требованиям в области информационной безопасности, предъявляемым нормативными актами и отраслевыми стандартами, имеет очень большое значение – на его основе формируется представление о текущем уровне соответствия действующему законодательству и планируются меры по устранению несоответствий и расхождений.

  • Точная оценка степени соответствия состояния информационной безопасности компании стандартам и требованиям федеральных законов
  • Разработка и реализация предложений по приведению в соответствие с требованиями информационной безопасности
  • Минимизация рисков привлечения к ответственности за невыполнение требований
  • Выявление существующих явных и потенциальных угроз и уязвимостей


Риски информационной безопасности

Согласно определению ISO/IEC 27005:2008 риски информационной безопасности – это потенциальные возможности использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации. Другими словами, риски информационной безопасности – это вероятные потери организации в результате инцидентов.

Риски информационной безопасности связаны с нарушениями конфиденциальности, целостности и доступности информационных активов компании. Они являются, как правило, результатом промышленного шпионажа, саботажа, кибератак на информационные ресурсы, а также целевых атак на компьютеры организации.

  • Конкуренты выходят на рынок быстрее
  • Сокращение рыночной доли компании, отток клиентов к конкурентам
  • Потеря бизнеса
  • Нарушение непрерывности производственных и бизнес-процессов
  • Финансовые потери (недополученная прибыль, расходы на нейтрализацию последствий и т.д.)


  • Распространение негатива как внутри компании, так и за ее пределами
  • Информационные вбросы негативного или компрометирующего характера («черный PR»)
  • Клевета в отношении компании и должностных лиц
  • Разглашение секретной информации в соцмедиа
  • Потеря доверия к веб-ресурсам компании (вследствие DDoS-атак)


  • Слив конфиденциальной информации нелояльными сотрудниками
  • Проигранные конкурсы и тендеры
  • Мошенничество с использованием корпоративных ресурсов компании
  • Халатность персонала при работе с конфиденциальной информацией
  • Переход сотрудников к конкурентам с наработками и базами данных
  • Отток клиентов на ресурсы конкурирующих компаний
  • Недоступность веб-ресурсов компании (нарушение доступности)


  • Несоответствие требованиям регуляторов, влекущее за собой санкции
  • Утечки персональных и конфиденциальных данных, приводящие к судебным искам
  • Использование сотрудниками корпоративных ресурсов в противозаконных целях
  • Промышленный шпионаж и следующие за ним длительные и дорогостоящие судебные тяжбы
  • Невозможность доказать в судебном порядке факт совершения сотрудником преступления


Для оценки рисков необходимо определить, какие бизнес-процессы в организации наиболее критичны, а какие - менее (так называемый Business Impact Analysis). Какие угрозы и уязвимости могут повлиять на непрерывность бизнес-процессов и как минимизировать вероятность этих угроз?

В рамках комплекса мер в области управления рисками информационной безопасности следует обеспечить:

  • Оценку рисков утечки конфиденциальной информации
  • Разработку модели угроз утечки информационных активов
  • Разработку процедур реагирования на инциденты
  • Подготовку рекомендаций по развитию процесса защиты от утечек
  • Внедрение технических средств защиты


Ожидаемые результаты

В результате внедрения политики информационной безопасности компания получает уверенность в безопасности конфиденциальных данных, системное понимание информационных потоков организации, снижение бизнес-рисков.

·        Уверенность в безопасности ценных и конфиденциальных данных

·        Понимание внутренних и внешних информационных потоков в организации

·        Выявление фактов внутреннего фрода (сговоров, мошенничества, промышленного шпионажа и т.д.)

·        Определение степени лояльности персонала к компании

·        Защищенные конфиденциальные данные, веб-ресурсы и инфраструктура предприятия

Наши услуги

  • Аудит безопасности
  • Аттестация объектов       
  • Защита от шифрования      
  • Защита от целевых атак       
  • Подключение к АС "РОСТЕХ"
  • Подключение к АС ФЗД
  • Внедрение
  • DLP систем      
  • Обеспечение безопасности данных        
  • Обеспечение безопасности обработки и хранения данных    
  • Разработка комплексных систем защиты       
  • Подключение к защищенным сетям ГИС      
  • Категорирование
  • КИИ       
  • email: 123@123www.ru

О персональных данных на предприятиях и компаниях

Более подробно о персональных данных на предприятиях