Наша компания поможет обеспечить вам не только техническую защиту от инцидентов в части информационной безопасности, но и поможет соответствовать требованиям отраслевых, федеральных и международных нормативных актов. Несоблюдение требований регуляторов грозит компаниям негативными последствиями — от репутационного ущерба до отзыва лицензии и даже уголовного преследования.
При разработке решений учитываются актуальные требования федеральных законов, стандартов и соглашений, регулирующих вопросы защиты передачи, обработки и хранения данных в различных отраслях, включая, финансовую, производственную, телекоммуникационную и др.
Нормативные акты
ПРИКАЗ ФСТЭК №21 ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Федеральный закон “О коммерческой тайне” от 29.07.2004 N 98-ФЗ регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.
Федеральный закон № 224-ФЗ О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком
ISO 27001 ― это международный стандарт, разработанный Международной организацией по стандартизации, который описывает, как управлять информационной безопасностью в компании. Последняя версия этого стандарта была опубликована в 2013 году, и его полное название на сегодня ― «ISO/IEC 27001:2013».
ISO 27001 может быть внедрён в любой организации: коммерческой или некоммерческой, частной или государственной, маленькой или большой. Он был написан ведущими мировыми экспертами в области информационной безопасности и предлагает методологию для внедрения управления информационной безопасностью в компании.
Говорится о методах псевдононимизации, минимизации, маскирования данных. По крайней мере, нужно понимать, какие данные и каким образом в организации обрабатываются и циркулируют.
Безопасность процессинга (обработки)
- псевдонимизация и шифрование
- конфиденциальность, целостность, доступность и устойчивость систем обработки данных
- восстанавление доступа как уполномоченных лиц, так и самих субъектов к персональным данным в случае инцидента
- регулярно тестировать и оценивать эффективность технических и организационных мер для обеспечения безопасности обработки данных
- запрет обработки данных неуполномоченных на это лиц
Уведомление об инцидентах надзорному органу и субъекту данных (физическому лицу)
- безотлагательно и не позднее, чем в течении 72 часов уведомить надзорный орган об инциденте с четким описанием, техническими подробностями (без технических инструметов такую информацию сложно предоставить)
- документировать любые нарушения обработки данных и предпринятыми корректирующими мерами (ретроспектива для анализа и расследования)
Оценка и адекватность мер защиты
- систематическая оценка полноты и данных и самих данных, применительно к субъектам (в том числе профилирование)
- контроль и ограничение доступности данных для внешнего мира (как легитимных пользователей, так и недопущение разглашения)
- описание рисков и мер защиты данных
- Каждый сервер должен выполнять одну основную функцию, поскольку необходимо исключить совмещение на одном и том же сервере функций, требующих различных уровней защиты (например, веб-серверы, серверы СУБД и DNS-серверы следует размещать на разных компьютерах).
- Хранение данных держателей карт должно быть ограничено только необходимым минимумом
- Запрещается хранение кода CVC или значения, используемого для подтверждения транзакций, выполняемых без непосредственного считывания информации с кредитной карты (трех- или четырехзначного числа, изображенного на лицевой или обратной стороне карты)
- Запрещается хранение персонального идентификационного номера (PIN), а также зашифрованного PIN-блока
- Следует маскировать основной номер держателя карты при его отображении (максимально возможное количество знаков для отображения – первые шесть и последние четыре), чтобы только сотрудники с обоснованной коммерческой необходимостью могли видеть весь основной номер держателя карты
- PAN должен быть представлен в нечитаемом виде во всех местах хранения (включая данные на съемных носителях, в резервных копиях и журналах протоколирования событий).
- Все системные компоненты и программное обеспечение должны быть защищены от известных уязвимостей путем установки необходимых обновлений системы безопасности, выпущенных поставщиком. Критичные обновления безопасности должны быть установлены в течение месяца с момента их выпуска производителем
- Существует разделение обязанностей между сотрудниками, работающими в среде разработки/тестирования, и сотрудниками, работающими в среде эксплуатации
- Доступом к вычислительным ресурсам и данным держателей карт должны обладать только те сотрудники, которым такой доступ необходим в соответствии с их должностными обязанностями
- Любой доступ к базе данных держателей карт (включая доступ со стороны приложений, администраторов и любых других пользователей) должен быть ограничен
- Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт