Компания Security Vision объявила о запуске решения «Security Vision Управление персональными данными». Этот продукт позволяет вести учет информационных систем, работающих с ПДн, оценивать степень их защищенности, моделировать возможные угрозы и подготавливать полный комплект документов.
«Security Vision Управление ПДн» соответствует сразу трем основным нормативным документам: Федеральному закону №152-ФЗ «О персональных данных»; Постановлению Правительства РФ №1119, которое устанавливает требования к защите ПДн при их обработке в информационных системах; а также приказу ФСТЭК России №21, определяющему состав и содержание организационных и технических мер по обеспечению безопасности ПДн в таких системах.
Решение «Security Vision Управление ПДн» подходит для любых операторов персональных данных — от малых предприятий до крупных организаций с разветвленной филиальной структурой и дочерними компаниями. Оно способно интегрироваться с различными локальными системами без потери своих функций.
Продукт предлагает следующие возможности: создание и управление процессами, связанными с обработкой ПДн; формирование информационных систем персональных данных (ИСПДн); определение уровня защищенности ПДн, обрабатываемых в ИСПДн; учет и контроль запросов от субъектов ПДн; управление согласиями и их отзывами; учет и контроль машинных носителей с ПДн; учет средств защиты ПДн; регистрация и контроль компьютерных инцидентов, затрагивающих ПДн; моделирование угроз безопасности ПДн; формирование базовых мер защиты с возможностью их настройки, уточнения и дополнения; проведение оценки соответствия требованиям безопасности ПДн; планирование мероприятий по защите ПДн; создание пакета документации в соответствии с требованиями нормативных правовых актов.
Списки процессов и информационных систем, обрабатывающих персональные данные, составляются на основе опросных листов, которые направляются ответственным сотрудникам организации, или путем загрузки уже существующих данных в систему.
При создании ИСПДн вводится полная информация об обработке и защите ПДн, включая: цели обработки; правовые основания; категории данных, категории субъектов, перечень ПДн и выполняемые с ними действия.
Данные собираются и обобщаются из всех имеющихся ИСПДн, что позволяет формировать необходимые уведомления для Роскомнадзора.
Уровень защищенности персональных данных, обрабатываемых в ИСПДн, который необходим для построения их последующей защиты, рассчитывается автоматически для каждой системы. На основе этого уровня также автоматически создается базовый набор мер защиты ПДн, который можно адаптировать, уточнять и дополнять применительно к конкретной ИСПДн.
Моделирование угроз безопасности ПДн может выполняться в соответствии с методическим документом ФСТЭК России «Методика оценки угроз безопасности информации».
В продукте реализованы два подхода к моделированию: на основе нового раздела угроз, который включает группы угроз, сами угрозы в составе этих групп и соответствующие методы их реализации; а также на основе общего перечня угроз, методов их реализации и сценариев, построенных с учетом последовательности тактик и соответствующих техник, чтобы выявить актуальные способы реализации угроз безопасности информации.
Проверка соответствия требованиям безопасности персональных данных (ПДн) выполняется в отношении указанных выше нормативных правовых актов (НПА). Оценка проводится путем внесения данных о текущем уровне защиты ПДн в информационной системе персональных данных (ИСПДн), при этом предусмотрена возможность делегировать опросные листы (полностью или частично) соответствующим специалистам.
По итогам оценки соответствия формируется список невыполненных требований, после чего создается план мероприятий и необходимые задачи.
Реализована функция хранения согласий субъектов ПДн на обработку их данных, а также контроля отзыва этих согласий после соответствующего запроса. Все обращения субъектов ПДн регистрируются в журнале учета запросов и обращений, где фиксируются сроки выполнения запроса и назначаются задачи исполнителям в зависимости от типа запроса. Кроме того, обеспечивается контроль соблюдения установленных сроков выполнения обращений.
По результатам выполнения ключевых процессов в продукте на основе разработанных шаблонов формируется полный пакет документации, соответствующий требованиям НПА. При необходимости документацию можно адаптировать под локальные требования организации.
Основные показатели и текущее состояние процессов в организации отслеживаются в реальном времени с помощью набора дашбордов.
