КРЕДО-С
CREDOS:PDN/Аттестация и соответствие

Защита персональных данных

С сентября 2024 года штраф за утечку ПДн — до 500 млн рублей плюс оборотный штраф 1–3%. CREDOS:PDN приводит процессы обработки ПДн в соответствие с 152-ФЗ и готовит к проверке Роскомнадзора.

Для кого: Операторы персональных данных: медицина, HR, e-commerce, SaaS, финансы

152-ФЗРоскомнадзорФСТЭК 21
2–3 недели
Аудит ИСПДн
2–4 недели
Разработка документации
1–3 месяца
Внедрение мер защиты
1–2 недели
Регистрация в реестре РКН
Услуга «Защита персональных данных» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. С сентября 2024 года штраф за утечку ПДн — до 500 млн рублей плюс оборотный штраф 1–3%. CREDOS:PDN приводит процессы обработки ПДн в соответствие с 152-ФЗ и готовит к проверке Роскомнадзора. Категория: Аттестация и соответствие. Подразделение: Отдел информационной безопасности. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Роскомнадзор проводит плановые и внеплановые проверки операторов персональных данных. С 2024 года суммы штрафов кратно выросли: до 15 млн рублей за первичную утечку, до 500 млн рублей за повторную, плюс оборотный штраф 1–3% от годовой выручки. Большинство проверяемых организаций не имеют актуальной документации и не реализовали технические меры защиты ИСПДн по приказу ФСТЭК 21.

Практически любая организация — оператор персональных данных. Если вы обрабатываете данные сотрудников, клиентов или контрагентов — вы обязаны уведомить Роскомнадзор, иметь актуальную документацию и реализовать технические меры защиты ИСПДн. CREDOS:PDN закрывает все три требования в одном проекте.

Как строится защита ПДн:

Аудит ИСПДн — определяем состав обрабатываемых ПДн, категории субъектов, правовые основания. Проводим классификацию ИСПДн и определяем уровень защищённости (УЗ-1 — УЗ-4). Результат — акт с фиксацией уровня и перечня мер по приказу ФСТЭК 21.

Модель угроз — разрабатываем по методике ФСТЭК с учётом угроз из БДУ. На её основе формируем перечень обязательных и дополнительных мер защиты.

Внедрение СЗИ — разворачиваем сертифицированные средства защиты: Secret Net Studio, Dallas Lock, Kaspersky, ViPNet. Охватываем управление доступом, аутентификацию, антивирус, IDS, регистрацию событий.

Документация — полный пакет оператора ПДн: политика, положение, модель угроз, акты, приказы, должностные инструкции, NDA (15+ документов). Готовим уведомление в Роскомнадзор.

Сопровождение — присутствуем при проверке РКН, отвечаем на запросы, при необходимости проводим аттестацию ИСПДн. Для ГИС — рассчитываем КЗИ по приказу ФСТЭК №117.

КРЕДО-С имеет лицензии ФСТЭК и ФСБ России. Сотни реализованных проектов в здравоохранении, образовании, финансовом секторе и государственных органах.

Как проходит работа

1

Аудит обработки ПДн

Инвентаризируем процессы обработки: какие ПДн, на каком основании, где хранятся, кому передаются. Формируем реестр ИСПДн.

2

Классификация и модель угроз

Определяем уровень защищённости (УЗ-1 — УЗ-4). Разрабатываем модель угроз ИСПДн по методике ФСТЭК.

3

Разработка документации

Политика обработки ПДн, согласия, поручения, положение об ИСПДн, инструкции ответственных лиц — полный комплект оператора.

4

Внедрение технических мер

Сертифицированные СЗИ по приказу ФСТЭК №21: антивирус, МСЭ, средства контроля доступа, шифрование, DLP при необходимости.

5

Регистрация в реестре РКН

Подготовка и отправка уведомления Роскомнадзора. Регистрация в реестре операторов персональных данных.

6

Сопровождение и проверки

Консультации при плановых проверках РКН и ФСТЭК. Обновление документации при изменении процессов обработки ПДн.

Направления

Аудит обработки ПДн

Инвентаризация процессов обработки персональных данных, определение категорий ПДн и правовых оснований обработки

Классификация ИСПДн

Определение уровня защищённости персональных данных (УЗ-1 — УЗ-4), разработка модели угроз ИСПДн по методике ФСТЭК

Внедрение DLP

Развёртывание системы предотвращения утечек данных для контроля каналов передачи персональных данных и конфиденциальной информации

Уведомление регулятора

Подготовка уведомления Роскомнадзора, регистрация в реестре операторов ПДн и сопровождение при проверках

Что входит

  • Аудит информационных систем персональных данных (ИСПДн)
  • Определение уровня защищённости персональных данных (1-4 УЗ)
  • Разработка модели угроз безопасности ИСПДн
  • Формирование комплекса организационных и технических мер по приказу ФСТЭК 21
  • Внедрение сертифицированных средств защиты информации
  • Разработка полного пакета документации оператора персональных данных
  • Подготовка уведомления и регистрация в реестре Роскомнадзора
  • Сопровождение при проверках и аттестации ИСПДн

Результаты работы

Акт определения уровня защищённости персональных данных
Модель угроз безопасности ИСПДн
Политика обработки персональных данных и положение об обработке ПДн
Приказы о назначении ответственных за обработку и защиту ПДн
Комплект организационно-распорядительной документации (15+ документов)
Аттестат соответствия ИСПДн (при аттестации)
CREDOS:PDN

Почему КРЕДО-С

Более 33 лет опыта — сотни проектов по 152-ФЗ в медицине, финансах, госсекторе

Лицензии ФСТЭК и ФСБ России — работаем с ИСПДн всех уровней защищённости

Один проект закрывает аудит, документацию, внедрение СЗИ и регистрацию в РКН

Сопровождаем при проверках Роскомнадзора — знаем, что проверяют и что фиксируют

Реализованы проекты для УЗ-1 — УЗ-4, включая медицинские и государственные ИСПДн

Проекты по этой услуге

Защита информации в МФЦ городского округа Красногорск
Государственный сектор
2021

Защита информации в МФЦ городского округа Красногорск

МБУ «МФЦ ГО КРАСНОГОРСК»
Техническая защита информацииОрганизационная защита информации

Комплексная защита информации в одном из крупнейших многофункциональных центров Московской области — 9 отделений обслуживания клиентов.

  • Все отделения МБУ «МФЦ ГО КРАСНОГОРСК» оснащены современной высокопроизводительной компьютерной техникой и необходимым дополнительным оборудованием
  • Использование техники последнего поколения снизило операционные издержки на печать документов и сократило время получения услуг клиентами
  • Заказчик получил современную, масштабируемую и надёжную ИТ-инфраструктуру, полностью соответствующую требованиям бизнеса
Подробнее о кейсе
Защита 40 МФЦ Московской области (2 000 АРМ)
Государственный сектор
2015

Защита 40 МФЦ Московской области (2 000 АРМ)

ГКУ МО «МФЦ Московской области»
Техническая защита информации

Защита информационных систем 40 многофункциональных центров Московской области — 2 000 автоматизированных рабочих мест. Аттестация.

  • Защищены информационные системы 40 МФЦ Московской области
  • Внедрены средства защиты на 2 000 автоматизированных рабочих местах
  • Разработана модель угроз и комплект ОРД для распределённой инфраструктуры
Подробнее о кейсе
Защита информации на Тульском оружейном заводе
Оборонно-промышленный комплекс
2016

Защита информации на Тульском оружейном заводе

ПАО «Тульский оружейный завод»
Техническая защита информацииЗащита персональных данных

Обеспечение безопасности конфиденциальной информации на 250 объектах ПАО «Тульский оружейный завод» — старейшего оборонного предприятия России.

  • Внедрено решение ViPNet компании ИнфоТеКС на 250 объектах — выполнены требования законодательства и приказов ФСТЭК
  • Обеспечен защищённый канал связи для всех информационных систем персональных данных, расположенных на территории завода
  • Реализовано централизованное управление ViPNet-сетью и защита от атак типа «человек-посередине»
Подробнее о кейсе
Защита персональных данных в МФЦ Калужской области (300 объектов)
Государственный сектор
2015

Защита персональных данных в МФЦ Калужской области (300 объектов)

ГБУ КО «МФЦ Калужской области»
Техническая защита информации

Внедрение системы защиты персональных данных в сети многофункциональных центров Калужской области — 300 защищаемых объектов.

  • Спроектирована и внедрена система защиты персональных данных на 300 объектах в соответствии с требованиями действующего законодательства
  • Реализована единая виртуальная защищённая сеть, объединяющая центральный офис ГБУ КО «МФЦ Калужской области» и филиалы во всех районах Калужской области
  • Реализован единый центр управления компонентами системы защиты в центральном офисе ГБУ КО «МФЦ Калужской области»
Подробнее о кейсе

Другие услуги

Аудит и оценка

Аудит информационной безопасности

Регулятор приходит не предупреждая. Аудит ИБ показывает, что он увидит — и что нужно исправить до его визита.

ФСТЭКФСБГОСТ 57580
  • Экспертный аудит организационных и технических мер защиты информации
  • Сканирование ИТ-инфраструктуры на уязвимости сертифицированными сканерами
  • Анализ архитектуры информационных систем и сетевой инфраструктуры
  • Проведение интервью с ключевыми сотрудниками и анализ процессов ИБ
  • и ещё 4...
Подробнее
Мониторинг и SOC

Мониторинг событий ИБ (SOC)

Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты за 15 минут и реагирует круглосуточно.

24/7ГосСОПКАКИИФСТЭК
  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • и ещё 4...
Подробнее
Аудит и оценка

Проверка и ликвидация утечки данных

У вас 24 часа, чтобы уведомить Роскомнадзор после обнаружения утечки. CREDOS:DLP устанавливает масштаб, готовит уведомление и закрывает канал утечки в режиме неотложного реагирования.

152-ФЗДаркнет-мониторингРКН
  • Оценка масштаба утечки: какие данные, в каком объёме, через какой канал
  • Мониторинг даркнета и теневых форумов на предмет продажи данных компании
  • Определение вектора утечки (взлом, инсайдер, ошибка конфигурации)
  • Подготовка уведомления в Роскомнадзор (24 часа / 72 часа)
  • и ещё 4...
Подробнее

Актуально для отраслей

Финансовый секторЗдравоохранениеТорговля и ритейл

Часто задаваемые вопросы

Кто обязан защищать персональные данные?
Каждый оператор персональных данных — юридическое или физическое лицо, государственный или муниципальный орган, который организует и осуществляет обработку ПДн. Это практически любая организация, работающая с данными сотрудников, клиентов или контрагентов.
Что включает комплекс мер по защите ПДн?
Комплекс мер включает определение уровня защищённости ИСПДн, разработку модели угроз, внедрение сертифицированных средств защиты информации, подготовку полного пакета документации оператора и регистрацию в реестре Роскомнадзора.
Какие штрафы грозят за нарушение 152-ФЗ?
Штрафы за нарушение законодательства о персональных данных существенно выросли. Для юридических лиц они могут составлять от 60 тысяч до 18 миллионов рублей в зависимости от вида нарушения, а при повторных нарушениях — значительно больше.
Как защита ПДн связана с приказом ФСТЭК №117?
Если ИСПДн входит в состав государственной информационной системы, к ней применяются требования приказа ФСТЭК №117. В этом случае необходимо рассчитать показатель защищённости КЗИ и обеспечить выполнение усиленных мер защиты.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 15 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC