+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Создание системы защиты персональных данных в организациях рф. Техническая защита информационных систем персональных данных: проблемы и … решения? Внедрение системы защиты персональных данных в организации

Содержание

Создание системы защиты персональных данных

Создание системы защиты персональных данных в организациях рф. Техническая защита информационных систем персональных данных: проблемы и … решения? Внедрение системы защиты персональных данных в организации

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Узнать больше

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал,  «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.

2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации.

Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: https://kontur.ru/articles/1723

Проблемы защиты персональных данных | Проблемы и решения по защите персональных данных в информационных системах персональных данных

Создание системы защиты персональных данных в организациях рф. Техническая защита информационных систем персональных данных: проблемы и … решения? Внедрение системы защиты персональных данных в организации

Конституция РФ закрепила демократический путь развития нашего государства, главная ценность которого – человек и защита его прав. Но и сегодня нерешенными остаются некоторые вопросы, в том числе обеспечение права граждан на частную жизнь и проблемы защиты личной информации.

В 2006 году был подписан ФЗ РФ № 152 «О персональных данных», по ужесточенным требованиям которого модернизированы базы данных, предназначенные для накопления, сохранения или выдачи персональных данных. Детально требования по защите персональных данных прописаны в:

  • Положении о безопасности информационных систем личных данных, утвержденном Постановлением Правительства России № 781 в 2007 году.
  • Совместном приказе ФСБ, Мининформсвязи, ФСТЭК № 55/86/20 2008 года.
  • Внутренних инструкциях ФСБ и ФСТЭК.

Указанные требования по защите персональных данных распространяются на все компании, учреждения и организации и направлены на предупреждение утечек конфиденциальной информации.

Проблемы защиты личной информации

Существует перечень распространенных проблем защиты персональных данных, обусловленных организационными и техническими аспектами.

По Указу Президента России № 188, утвердившему перечень закрытых данных, подлежащих правовой защите, к таким относят персональные данные. Поэтому для их защиты требуется наличие лицензии ФСТЭК на организацию безопасности конфиденциальных данных.

Аналогичные требования предъявляет ФСТЭК РФ к операторам информационных баз данных 1, 2 и 3 класса. Они распространяются на большинство коммерческих и государственных учреждений.

Для применения средств криптографической защиты обрабатываемых конфиденциальных данных нужна лицензия ФСБ.

Для получения таких лицензий сотрудники организации должны обладать соответствующей квалификацией и опытом работы. Также потребуется специализированное оборудование и помещение, что сложно обеспечить в небольших компаниях.

Еще одной распространенной проблемой являются жесткие императивные требования к системам по защите персональных данных.

Защита информационных систем персональных данных 1 класса приравнена к защите сведений, содержащих государственную или коммерческую тайну.

Обязательное требование – защита конфиденциальных баз данных от утечек из-за электромагнитных импульсов вычислительной техники и средств связи.

Под защиту 1 класса попадают базы персональных данных, а также базы, содержащие и обрабатывающие одновременно большое количество сведений. Такие базы данных встречаются в большинстве корпораций (частных и муниципальных).

А нормативы ФСТЭК, регламентирующие порядок обработки персональных данных, обозначены грифом «Для служебного использования».

Получить указанные акты могут операторы персональных данных и организации, обеспечивающие защиту персональных данных по лицензии ФСТЭК.

Одна из проблем защиты конфиденциальных сведений, которыми являются персональные данные, – это отсутствие сертифицированных компьютерных программ. Предлагаемые программы не соответствуют требованиям, предъявляемым к 1 и 2 уровням защиты персональных данных.

К примеру, сертифицированные программы по защите и управлению базами данных (открытый код MySQL) не представлены на российском рынке, а лицензионная ОС Microsoft Windows применима только для защиты информационных баз данных до 2 уровня.

Нерешенной проблемой остается защита баз данных при использовании 64-разрядных ОС и операционных систем Unix и Linux.

Предлагаемые лицензионные защиты персональных данных не соответствуют требованиям нормативных актов или неприменимы в условиях хранения и обработки больших объемов данных, поскольку не отвечают техническим требованиям. Так, для работы программы безопасности баз данных Secret Net необходимы аппаратные компоненты, установить которые через blade-сервер невозможно.

А программы, используемые при работе с персональными данными, проверяются перед установкой на наличие недекларированных возможностей. Для проведения указанной проверки предоставляются исходные коды программ, на что согласны далеко не все компании-производители программ для ПК, особенно иностранные.

До начала работы с информационными базами персональных данных подтверждают, соответствует ли защита требованиям, предъявляемым к 1, 2 и 3 классу. Для этого проводится аттестация системы обработки данных.

Если раньше подобная процедура проводилась только в государственных учреждениях, то сегодня проверка уровня защиты персональных данных обязательна для всех организаций. По результатам оформляется аттестат, который действует в течение трех лет.

А для внесения корректировок (в том числе установки новых программ, перестановки компьютера из одного кабинета в другой) требуется согласование с органом, проводившим проверку безопасности базы данных.

Еще одной проблемой является недостаточное количество российских компаний, специализирующихся на предоставлении услуг по технической защите конфиденциальных данных, получивших лицензию, не способных удовлетворить увеличивающийся с каждым годом спрос на техническую защиту персональных данных. А порядок лицензирования неприменим к большому количеству желающих получить аттестат на работу с персональными данными.

Организационно-технические решения

Организации, специализирующиеся на обработке и хранении персональных данных, используют автоматизированные базы данных. Это компьютерные базы данных, связь с которыми происходит по техническим каналам.

Вот почему вопросы защиты персональных данных, информационных процессов, а также действия государственных норм регулирования отношений между сотрудником и работодателем остаются актуальными. Решение данной задачи не бывает сегментарным.

Требуется комплекс мероприятий, направленных на защиту (техническую и правовую) персональных данных сотрудников и клиентов организации.

Несмотря на проблемы, данная задача решаема. Возможны два варианта защиты обрабатываемых и передаваемых персональных данных, учитывающих требования законодательства и имеющийся у компании бюджет.

Сократить расходы на защиту конфиденциальных баз данных позволит грамотная подготовка и организация всей информационной системы.

В корпорации целесообразно разделить базы данных на территориальные, что позволит сократить объем обрабатываемых в каждой базе персональных данных. В результате этого снизится их класс безопасности.

А применение зашифрованных идентификаторов обезличит передаваемые персональные данные.

Сокращает расходы методика терминального доступа, используемая в программах обработки персональных данных. При использовании данной технологии информация обрабатывается на сервере, а через рабочие станции выводятся и отображаются данные.

Применение данной технологии позволяет понизить класс безопасности рабочих станций до третьего и снизить затраты на защиту и аттестацию системы обработки данных.

Используя данную методику, компания экономит на приобретении сложной вычислительной техники и управлении информационными базами данных, благодаря децентрализации информационной базы и уменьшению требований к техническим характеристикам пользовательских компьютеров.

Внедрение новых программ обработки персональных данных с использованием программ с встроенной лицензионной защитой, прошедших аттестацию по требованиям безопасной передачи данных и проверку на наличие недекларированных возможностей, снижает расходы на приобретение в будущем дополнительного ПО и оплату обучения сотрудников компании. Также при согласовании с ФСТЭК допускается применение программ, не прошедших проверку на недекларированные возможности.

Дополнительно обозначают сотрудников, отвечающих за безопасность персональных данных. В корпорациях более экономным будет создание собственного отдела информационной безопасности, получение необходимых аттестатов и лицензий, самостоятельная защита баз данных.

Далее уточняют, какие персональные данные требуются компании. Чем выше степень обработки данных сотрудников и клиентов, тем сложнее процесс их защиты.

Более усиленный вариант защиты предусмотрен для данных, касающихся здоровья и личной жизни сотрудников или клиентов, – политических и религиозных взглядов, национальности, родственных отношений, а вот данные, необходимые для идентификации лица, в такой охране не нуждаются.

Персонал компании, обеспечивающий безопасность персональным данным сотрудников и клиентов, отбирает данные, которые не требуются для работы компании, исключая их из объема собираемой и обрабатываемой информации.

В завершение сотрудники службы безопасности баз данных подготавливают в форме таблицы списки работников, получивших доступ к сбору, обработке и хранению конфиденциальных данных о служащих и клиентах. Предупреждает утечку закрытых данных при увольнении работник, проверяя, что данные о нем заблокированы или удалены.

А для небольших компаний экономически выгодное решение – подписание соглашения с организацией, которая подготовит и внедрит программу безопасности баз данных с последующим аутсорсингом (передачей компании-заказчику) функционирующей системы по защите персональных данных сотрудников и клиентов. Данное соглашение позволит снизить затраты на обучение и выплату зарплаты штатным работникам, а также минимизирует риски утечки конфиденциальной информации.

Перед заключением данного соглашения составляется список требований к внедряемой системе защиты информации. При этом учитывают, что все системы защиты конфиденциальных данных имеют специальное назначение. Они призваны предупредить утечку защищаемых данных и обеспечить их сохранность и доступность. Требования к системам защиты баз данных варьируются в зависимости от выявленной модели угроз.

Индивидуальная разработка программ информационной безопасности потребует от разработчика высокой квалификации и повышенной ответственности за функционирование и значимость представленной модели. В то же время такие системы защиты персональных данных нацелены исключительно на выявленную модель угроз и уступают по функциональности типовым системам информационной безопасности.

Данное направление постоянно развивается, поскольку государственное регулирование в сфере технических требований к обеспечению информационной безопасности также меняется.

До появления сети Интернет основную угрозу представляли модели зарубежных технических разведок, поэтому система защиты от них была четко прописана в нормативных актах.

На основании существующих норм строится и защита личной информации сотрудников компании с учетом специфики ее работы.

Решение проблем, возникающих в сфере обеспечения информационной безопасности, возможно при взаимодействии сотрудников, собирающих и обрабатывающих персональные данные, разработчиков компьютерных программ и систем защиты информации и государственных структур.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/problemy-zashchity-personalnyh-dannyh/

КриптоПро | Защита информационных систем персональных данных

Создание системы защиты персональных данных в организациях рф. Техническая защита информационных систем персональных данных: проблемы и … решения? Внедрение системы защиты персональных данных в организации

ООО «КРИПТО-ПРО»  оказывает услуги по обеспечению в соответствии с требованиями Законодательства безопасности информационных систем, в которых осуществляется обработка, хранение и передача персональных данных (далее – ИСПДн).

В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты персональных данных (далее – СЗПДн), в том числе включающие:

  1. Проведение обследования ИСПДн и определение необходимого уровня защищенности;
  2. Разработка частной модели актуальных угроз нарушения безопасности ПДн;
  3. Выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности ПДн;
  4. Разработка технического задания и проектирование СЗПДн;
  5. Разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок обеспечения безопасности ПДн и эксплуатации СЗПДн;
  6. Поставка и внедрение сертифицированных технических средств защиты информации;
  7. Инструктаж и обучение персонала в авторизованных учебных центрах;
  8. Оценка соответствия выполнения требований безопасности ПДн в форме аттестации ИСПДн;
  9. Техническое сопровождение и сервисное обслуживание СЗПДн.

При выборе и реализации организационно-технических мер обеспечения безопасности ПДн специалисты ООО «КРИПТО-ПРО» руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ИСПДн и спецификой деятельности Заказчика.

Богатый опыт ООО «КРИПТО-ПРО» комплексного обеспечения безопасности информационных систем различного назначения, в том числе с использованием сертифицированных средств криптографической защиты собственной разработки и широкой номенклатурой партнерских решений, в процессе оказания услуг позволяет решить весь комплекс задач Заказчиков по защите информации и обеспечению юридической значимости электронных документов.

Основные положения законодательства в области защиты персональных данных

На текущий момент в Российской Федерации создана и принята вертикаль (иерархия) руководящих и нормативно-методических документов по обеспечению безопасности персональных данных (ПДн).

Основой регулирования правоотношений в сфере персональных данных являются положения Конституции РФ. Правоотношения, касающиеся обращения с ПДн регулируются Федеральным Законодательством РФ, в т.ч.

Трудовым кодексом РФ (глава 14).

Необходимость обеспечения безопасности ПДн устанавливает Федеральный Закон от 27.07.2006 г.

№ 152-ФЗ «О персональных данных», который обязывает оператора (любое физическое или юридическое лицо, осуществляющее обработку ПДн), получающими доступ к персональным данным, обеспечивать конфиденциальность таких данных (ст.

7) и принимать необходимые организационные и технические, меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст.19).

В соответствии с 152-ФЗ обеспечение безопасности персональных данных достигается, в частности:

  1. определением угроз безопасности персональных данных;
  2. применением организационных и технических мер, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  3. применением средств защиты информации;
  4. оценкой эффективности принимаемых мер по обеспечению безопасности;
  5. учетом машинных носителей персональных данных;
  6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  8. установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными;
  9. контролем за принимаемыми мерами по обеспечению безопасности.

Требования к обеспечению безопасности, типы угроз безопасности и уровни защищенности ПДн установлены Постановлением Правительства РФ от 01.11.2012 N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

В соответствии с Постановлением, безопасность ПДн обеспечивается с помощью системы защиты персональных данных (СЗПДн), нейтрализующей актуальные угрозы безопасности ПДн.

СЗПДн включает организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн.

Актуальные угрозы безопасности ПДн – совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может являться нарушение их безопасности (уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия).

Определение актуальных угроз осуществляется в соответствии с Методическими документами ФСТЭК России в составе:

  • Базовая модель угроз;
  • Методика определения актуальных угроз безопасности ПДн;

Определение типа угроз безопасности ПДн, актуальных для ИС, производится с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения их безопасности.

Уровень защищенности ПДн – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн.

Уровень защищенности для конкретной информационной системы устанавливается в зависимости от определенного для этой системы типа актуальных угроз, обрабатываемых в ней категорий и количества субъектов ПДн.

В зависимости от установленного уровня защищенности необходимо выполнение следующих требований:

  1. организация режима обеспечения безопасности помещений;
  2. обеспечение сохранности носителей персональных данных;
  3. утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн необходим для выполнения ими служебных обязанностей;
  4. использование сертифицированных средств защиты информации в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн.
  5. назначение должностного лица, ответственного за обеспечение безопасности ПДн.
  6. обеспечение возможности доступа электронного журнала сообщений исключительно для должностных лиц, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных обязанностей.
  7. автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн;
  8. создание структурного подразделения, ответственного за обеспечение безопасности ПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Блокирование (нейтрализация) актуальных угроз безопасности ПДн обеспечивается посредством выбора и реализации в СЗПДн мер по обеспечению безопасности ПДн в соответствии с приказами ФСТЭК и ФСБ России.

В зависимости от актуальных угроз безопасности ПДн Приказом ФСТЭК России от 18.02.2013 № 21 определен следующий состав и содержание организационных и технических мер по обеспечению безопасности ПДн:

  1. обеспечение доверенной загрузки;
  2. идентификация и аутентификация субъектов доступа и объектов доступа;
  3. управление доступом субъектов доступа к объектам доступа;
  4. ограничение программной среды;
  5. защита машинных носителей информации;
  6. регистрация событий безопасности;
  7. обеспечение целостности информационной системы и информации;
  8. защита среды виртуализации;
  9. защита технических средств;
  10. защита информационной системы, ее средств и систем связи и передачи данных.

Выбор мер по обеспечению безопасности ПДн включает:

  1. выбор базового набора мер;
  2. адаптацию выбранного базового набора мер;
  3. дополнение адаптированного базового набора мер;
  4. обоснование применения компенсирующие мер взамен выбранных мер.

Меры по обеспечению безопасности персональных данных в государственных информационных системах (ГИС) принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС, устанавливаемыми ФСТЭК России.

Использование СКЗИ для обеспечения безопасности ПДн осуществляется в соответствии с Методическими рекомендациями и требованиями, утвержденными Приказами ФСБ России от 21.02.2008г.

Нарушение требований закона при обработке персональных данных влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц, административную ответственность юридических лиц.

Цель создания системы защиты персональных данных и решаемые задачи

Целью создания СЗПДн является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности ПДн в соответствии с ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами.

Для создания СЗПДн предлагается решение следующих задач:

  1. Проведение обследования ИСПДн и определение требуемого уровня защищенности ПДн;
  2. Разработка частной модели актуальных угроз нарушения безопасности ПДн ;
  3. Выбор и обоснование организационных и технических мер, необходимых для защиты ПДн;
  4. Разработка организационно-распорядительной документации, регламентирующей реализацию и обеспечение режима защиты ПДн в соответствии с принятыми организационными мерами.
  5. Разработка технического задания на создание СЗПДн;
  6. Проектирование СЗПДн в составе следующих решений в зависимости от выбранных технических мер:
    • управления доступом к информационным ресурсам;
    • сетевой безопасности;
    • антивирусной защиты;
    • криптографической защиты информации;
    • анализа уязвимости;
    • мониторинга событий безопасности;
    • защиты виртуальной инфраструктуры;
    • предотвращения утечки данных;
    • защиты мобильных устройств;
    • прочие решения, необходимые для нейтрализации актуальных угроз.
  7. Поставка, внедрение и сервисное обслуживание технических решений;
  8. Инструктаж и обучение персонала на авторизованных курсах в учебном центре;
  9. Проведение оценки выполнения требований безопасности ПДн в форме аттестационных испытаний объекта информатизации.

При выполнении работ в первую очередь предполагается руководствоваться экономической целесообразностью и эффективностью проводимых мероприятий по защите ИСПДн.

Результаты создания системы защиты персональных данных

В результате создания СЗПДн Заказчик получает следующие отчетные документы:

  • Отчет о результатах обследования  ИСПДн, содержащий:
  • Перечень и характеристики ИСПДн и ПДн, подлежащих защите;
  • Состав и характеристики используемых средств обработки, хранения и защиты ПДн;
  • Результаты оценки степени участия персонала в обработке ПДн, характера взаимодействия персонала;
  • Выявленные несоответствия требованиям нормативных документов РФ;
  • Рекомендации по созданию/совершенствованию системы защиты ПДн;
  • Проект распоряжения о классификации ИСПДн, устанавливающее необходимый уровень защищенности;
  • Частная модель актуальных угроз безопасности ИСПДн;
  • Требования безопасности ПДн, перечень и обоснование необходимых мер защиты;
  • Комплект ОРД, в т.ч.:
    • Политика обеспечения безопасности ПДн;
    • Положение по организации и ведению работ по обеспечению безопасности ПДн при их обработке;
    • Регламент обработки и защиты ПДн;
    • Разделы должностных инструкций персонала ИСПДн в части обеспечения безопасности ПДн;
    • Проекты приказов:
      • О допуске лиц к обработке ПДн.
      • О закреплении ПЭВМ, предназначенных для обработки ПДн.
      • О закреплении помещений, предназначенных для обработки ПДн.
      • О назначении лиц ответственных за обеспечение безопасности ПДн.
      • О допуске лиц к работе с криптосредствами, обеспечивающими безопасность ПДн.
    • Прочие…
  • Техническое задание на создание СЗПДн;
  • Комплект проектной и эксплуатационной документации на СЗПДн;
  • Комплект документов, необходимых для получения лицензий на осуществление деятельности по технической защите информации;
  • Пакет документации на аттестуемый объект информатизации ИСПДн;
  • Программа-методика проведения аттестационных испытаний;
  • Протоколы проведенных испытаний;
  • Аттестат соответствия ИСПДн требованиям безопасности.

Источник: https://www.cryptopro.ru/service/zashchita-is-pd

Защита персональных данных

Создание системы защиты персональных данных в организациях рф. Техническая защита информационных систем персональных данных: проблемы и … решения? Внедрение системы защиты персональных данных в организации

Решение о модернизации подсистем информационной безопасности, как правило, приводит к необходимости внесения определенных изменений в ИТ-инфраструктуру и существенных финансовых вложений. В условиях изменяющихся требований законодательства в области защиты персональных данных компаниям крайне важно сохранять инвестиции, вложенные в систему обеспечения ИБ.

При построении системы защиты, с одной стороны, необходимо учитывать требования бизнеса по обеспечению безопасности критичной информации, с другой – обязательные требования законодательства.

Проблематика

За последние несколько лет нормативно-правовая база в области защиты персональных данных существенно менялась несколько раз. Наиболее значимыми событиями можно назвать отмену «четырехкнижия» ФСТЭК и публикацию Приказа № 58, а также новую редакцию Федерального закона «О персональных данных», вышедшую в июле 2011 года.

В связи с этими изменениями многие компании, которые пошли по пути формального выполнения требований, были вынуждены вносить серьезные изменения в системы защиты персональных данных (СЗПДн).

Причиной этому стала ограниченная функциональность созданных подсистем ИБ, так как в их основу явно закладывались только формализованные требования.

Повторное проектирование подсистем ИБ и изменение их состава и настроек требовало значительных дополнительных инвестиций.

Существенная доля организаций сознательно готова принять регуляторные риски из-за опасений, что с выходом новой редакции закона «О персональных данных» придется переделывать уже созданные системы защиты.

Оба этих подхода могут привести к необходимости в сжатые сроки перестраивать подсистемы ИБ или приводить их в соответствие «с нуля» в случае изменения требований по защите персональных данных и совершенствования законодательной базы.

Решение

Компания «Инфосистемы Джет» имеет выработанную методологию, учитывающую специфику предприятий разных отраслей. Ее уникальность заключается в фокусировании на реальной защищенности, что позволяет нивелировать изменяющиеся требования законодательства и одновременно учитывать требования бизнеса.

При таком подходе построенные подсистемы не потребуют замены в случае изменения законодательных требований. Компания «Инфосистемы Джет» вносит все необходимые изменения в проектную документацию в рамках постпроектного сопровождения.

Это позволяет сохранить инвестиции заказчиков и обеспечить надежность работы системы.

Полный комплекс работ по защите персональных данных включает:

  • оценку соответствия процессов обработки и защиты персональных данных автоматизированным и неавтоматизированным способами, в том числе юридическую оценку взаимодействия с работниками, клиентами, подрядчиками и другими контрагентами;
  • разработку полного комплекта документов (локальных актов операторов ПДн), регламентирующих обработку и защиту персональных данных; переработку необходимой документации в случае изменения требований законодательства;
  • проектирование и создание системы защиты персональных данных (СЗПДн), а также оценку эффективности принимаемых мер по обеспечению безопасности ПДн;
  • проведение аттестации информационных систем персональных данных (ИСПДн) в случае необходимости;
  • постпроектное сопровождение системы защиты и поддержку режима обработки персональных данных в актуальном состоянии.

При построении систем защиты ПДн специалисты компании «Инфосистемы Джет» наряду с традиционными механизмами защиты информации применяют инновационные технологии ведущих производителей в области ИБ.

К ним относятся решения класса Security Information Management (НP, ArcSight, Symantec SIEM, RSA), DataBase Activity Monitoring, Identity Management и Information Rights Management (Oracle, IBM), Data Loss Prevention («Дозор-Джет», Symantec), Configuration &Vulnerability Management (MaxPatrol) и др.

Выгоды

Реализованные проекты обеспечивают:

  • минимальное влияние возможных изменений законодательства на актуальность системы защиты;
  • эффективную, гибкую и адаптивную для дальнейшего совершенствования систему ИБ;
  • защиту инвестиций в построенные СЗПДн;
  • повышение фактической защищенности ПДн;
  • выполнение требований бизнеса по защите коммерческой тайны;
  • создание комплексных решений, которые могут обеспечить одновременно соответствие требованиям Федерального Закона № 152-ФЗ и стандартов (СТО БР, PCI DSS, ISO 27001 и др.).

Специалисты Центра информационной безопасности компании «Инфосистемы Джет» имеют уникальный опыт в области построения систем защиты различной степени сложности.

Преимущества работы с компанией «Инфосистемы Джет»:

  • компания осуществляет весь комплекс работ, включая постпроектное сопровождение;
  • большой опыт реализации проектов и наличие собственной методологии. Успешная реализация проектов по защите ПДн более чем в 90 российских компаниях, более 50 выданных аттестатов соответствия (из которых более 20 на ИСПДн);
  • компания участвует в проверках, проводимых регуляторами;
  • учитывается специфика деятельности компании-заказчика и ее бизнес-процессов.

Источник: https://jet.su/services/informatsionnaya-bezopasnost/katalog-resheniy/sootvetstvie_trebovaniyam/zaschita_personalnyh_dannyh/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.