Вы используете устаревший браузер!
Страница может отображаться некорректно.
Свяжитесь с нами Незакрытые запросы:
Персональные данные обрабатываются компанией «Доктор Веб» в соответствии с требованиями следующих нормативных правовых актов:
В соответствии с Законом защите подлежат все категории ПД. Требования к защите ПД сформулированы в Постановлении Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - ПП №1119). Согласно ПП №1119, выделяется защита специальных категорий ПД (данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПД), биометрических ПД (сведения, которые характеризуют физиологические и биологические особенности человека), общедоступных ПД (ПД, включенные с письменного согласия субъекта ПД в общедоступные источники, например, справочники, адресные книги и т.д.) и иных ПД.
В рамках системы защиты ПД по ПП № 1119 реализуются меры по обеспечению безопасности ПД. Согласно Приказу ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ № 21), «в состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий», применительно к информационным системам ПД, должны входить следующие меры:
Согласно вышеуказанным требованиям, все компании должны защищать ПД в своих информационных системах ПД, а также в обязательном порядке использовать антивирусную защиту.
Dr.Web Enterprise Security Suite совмещает возможности антивируса, брандмауэра и системы ограничения доступа к защищаемым данным. Возможности Dr.Web Enterprise Security Suite позволяют регистрировать события безопасности, обеспечивать защиту сменных носителей информации и многое другое.
Грамотное использование Dr.Web Enterprise Security Suite дает возможность существенно снизить затраты на выполнение требований по защите ПД!
В соответствии со ст. 19 Закона оператор при обработке ПД обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПД а также от иных неправомерных действий. Соответственно, защищать ПД должен Оператор ИСПД.
«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
Вывод
Любая компания или организация, имеющая контакты с физическими лицами, должна защищать ПД таких лиц в том случае, если этих данных достаточно для персонализации. Как показывает практика, большинство компаний имеют и хранят такие данные, а также осуществляют их обработку иными способами.
Согласно Приказу № 21 для обеспечения 1 и 2 уровней защищенности ПД средства антивирусной защиты применяются в обязательном порядке. Для обеспечения 3 уровня защищенности используются средства антивирусной защиты не ниже 4 класса защиты:
Средства антивирусной защиты должны применяться даже в случае актуальности угроз только 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена (сетью Интернет).
Важно!
Для любой компании или организации, хранящей или обрабатывающей персональные данные, имеющей подключения к открытым сетям или предусматривающей обмен данными, обязательно обеспечение защиты от атак из внешних сетей, включая антивирусную защиту, – и это необходимо даже при отсутствии выхода со станции или сервера в Интернет.
Ст. 19 Закона гласит, что «обеспечение безопасности персональных данных достигается, в частности:... применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации».
Согласно Приказу № 21, «для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей».
Согласно п. 9 Приказа № 21, «Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
В соответствии с п. 10 Приказа № 21 «При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных».
Выдержки из Приказа № 21, Методического документа, утв. ФСТЭК России 11.02.2014 г. «Меры защиты информации в государственных информационных системах»:
Использование антивирусной защиты |
Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации. |
Использование антивирусной защиты везде, где только могут быть внедрены вредоносные программы |
Реализация антивирусной защиты должна предусматривать... применение средств антивирусной защиты на:
подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы). |
Использование централизованного управления |
Реализация антивирусной защиты должна предусматривать... установку, конфигурирование и управление средствами антивирусной защиты; централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты) средствами антивирусной защиты, установленными на компонентах информационной системы (серверах, автоматизированных рабочих местах); оповещение администраторов безопасности в масштабе времени, близком к реальному, об обнаружении вредоносных компьютерных программ (вирусов). |
Использование функций Офисного контроля |
Реализация антивирусной защиты должна предусматривать... запрет использования съемных машинных носителей информации, которые могут являться источниками вредоносных компьютерных программ (вирусов). |
Защита всех виртуальных рабочих станций и серверов |
Должны обеспечиваться реализация и управление антивирусной защитой в виртуальной инфраструктуре... Должны обеспечиваться..:
|
Централизованное управление |
Должна обеспечиваться реализация технологии обновления программного обеспечения и баз данных признаков компьютерных вирусов средств антивирусной защиты, предусматривающая однократную передачу обновлений на сервер виртуальной инфраструктуры для их последующего применения в виртуальных машинах. |
Защита сменных носителей и смартфонов |
Оператором должна осуществляться защита применяемых в информационной системе мобильных технических средств. К мобильным техническим средствам относятся съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные носители), а также портативные вычислительные устройства и устройства связи с возможностью обработки информации (например, ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные средства). Защита мобильных технических средств включает:
|
Использование антивирусной защиты на уровне шлюза |
Оператором должно обеспечиваться применение технических средств защиты периметра уровня узла, устанавливаемых на портативные вычислительные устройства. |
В соответствии со ст. 24 Закона, помимо возмещения потерпевшим морального вреда, «Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность».
Здесь имеются в виду, как минимум:
следующие статьи КоАП РФ:
следующие статьи Уголовного кодекса РФ: