Анализ защищённости корпоративных систем: услуги компании-интегратора сбором данных из Интернета и проверкой конфиденциальности

1) Для оказания услуг по анализу защищённости корпоративных систем и сбору информации из сети Интернет не требуется специальных лицензий. Однако, настоятельно рекомендуется проводить такие работы с согласия заказчика и в рамках законодательства об информационной безопасности.

2) Для сбора персональных данных (как служебных, так и конфиденциальных) сотрудников компании, требуется заключить соглашения об обработке персональных данных с каждым физическим лицом в соответствии с требованиями законодательства об информационных технологиях и защите персональных данных.

1) Для оказания услуг по анализу защищенности корпоративных систем, в том числе с использованием методов сбора информации из сети Интернет, необходимо иметь соответствующие лицензии. В данном случае, требуется специальная лицензия на оказание услуг в области информационной безопасности, выдаваемая Федеральной службой по техническому и экспортному контролю.

2) Если при оказании услуг персональные данные сотрудников компании заказчика будут обрабатываться, то необходимо получить согласие на обработку персональных данных от каждого физического лица, задействованного в сборе конфиденциальных/персональных данных. В качестве соглашения может использоваться стандартный договор об обработке персональных данных, устанавливающий правила обработки таких данных, обязанности ответственных лиц и порядок защиты информации.

1) Статья 12.1 Федерального закона "О лицензировании отдельных видов деятельности" - определяет, какие виды деятельности требуют специальных лицензий, в том числе в области информационной безопасности.

2) Статьи 9, 10, 11 Федерального закона "О персональных данных" - определяют правила обработки персональных данных, согласие на обработку персональных данных и отказ от такого согласия. Также можно обратиться к стандартам по обработке персональных данных РФ (ГОСТ Р 50739-95, ГОСТ Р ИСО/МЭК 17799-2005). Обработка персональных данных без согласия субъекта может повлечь за собой юридическую ответственность.