Средства обеспечения защиты персональных данных

Предлагаем к прочтению статью. Если вы не найдете ответа по теме "Средства обеспечения защиты персональных данных" или захотите актуализировать данные на 2020 год, то задавайте вопросы дежурному специалисту.

Средства обеспечения защиты персональных данных

Ключевые слова: ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ; СРЕДСТВА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ; МЕТОДЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ; PERSONAL DATA PROTECTION; MEANS OF PERSONAL DATA PROTECTION; METHODS OF PERSONAL DATA PROTECTION.

В последнее десятилетие в Российской Федерации происходит активное внедрение системы защиты персональных данных в государственных органах и коммерческих организациях, совершенствуются методы и, соответственно, способы защиты персональных данных физических лиц с целью сохранения их конфиденциального характера [1].

Обработка персональных данных в Российской Федерации осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 [2].

Средства защиты персональных данных выбираются оператором в соответствии с правовыми актами, исходящими от Федеральной службы безопасности Российской Федерации, а также от Федеральной службы по техническому и экспортному контролю.

Обработка персональных данных осуществляется техническими средствами, поэтому безопасность персональных данных может быть достигнута только в том случае, если будет исключена возможность несанкционированного доступа к информационной системе, в которой обрабатываются персональные данные.

Как правило, выделяют четыре класса методов защиты персональных данных в информационных системах. Во-первых, физические методы, во-вторых, аппаратные, в-третьих, программные, наконец, в-четвертых, организационные.

На организационном уровне защита персональных данных происходит посредством разработки и внедрения соответствующих нормативно-правовых актов, проведения организационно-технических мероприятий.

Физическая защита осуществляется за счет таких средств как служба охраны, система защиты окон и дверей, лазерные и оптические системы, которые реагируют на пересечение злоумышленником световых лучей. То есть физические методы защиты подразумевают под собой физическое преграждение доступа к персональным данным.

Аппаратные методы защиты возможно реализовать при помощи специальных устройств. К таким средствам можно отнести различные схемы блокировки от несанкционированного использования персональных данных. Аппаратные средства применяются в составе ЭВМ.

Наконец, программная защита осуществляется при помощи программ, к которым можно отнести операционную систему, антивирусы, специальные программы защиты и прочие.

Пожалуй, именно аппаратно-программные средства защиты персональных данных в наибольшей степени позволяют защищать персональные данные от несанкционированного доступа к ним.

Аппаратно-программная защита достигается применением таких способов защиты как:
1. Защита от несанкционированного использования персональных данных со стороны пользователей и программ, в том числе и при наличии доступов.
2. Защита от некорректного использования имеющихся ресурсов.
3. Высокая степень качества используемых аппаратно-программных средств.

В целом, перечень технических мероприятий по защите персональных данных в информационной системе выглядит следующим образом:
— недопущение несанкционированного доступа к персональным данным с помощью антивирусного программного обеспечения и системы паролей;
— деятельность по обнаружению фактов несанкционированного доступа и использования персональных данных (к примеру, обновление антивирусного программного обеспечения);
— охрана, а также регламентирование использования технических средств, с помощью которых происходит обработка персональных данных с целью недопущения нарушения их функционирования;
— наличие возможности восстановления персональных данных в случае уничтожения персональных данных (хранение резервных копий на съемных носителях) [3].

Таким образом, обработка персональных данных в Российской Федерации осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119. Средства защиты персональных данных выбираются оператором в соответствии с правовыми актами, исходящими от Федеральной службы безопасности Российской Федерации, а также от Федеральной службы по техническому и экспортному контролю. Выделяют четыре класса методов защиты персональных данных в информационных системах: физические, аппаратные, программные, организационные. Каждой группе методов, в свою очередь, присущи определенные средства защиты персональных данных.

Источник: http://novaum.ru/public/p1041

Методы и способы защиты персональных данных в информационных системах персональных данных

«Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки ин­формации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также ис­пользуемые в информационной системе информационные технологии».

Выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором УБПДн (модели угроз) и в зависимости от класса ИСПДн.

Выбранные и реализованные методы и способы защиты информации в ИСПДн должны обеспечивать нейтрализацию предполагаемых УБПДн при их обработке в ИСПДн в составе создаваемой оператором СЗПДн.

Для выбора и реализации методов и способов защиты информации в ИСПДн может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

В СЗПДн ИСПДн в зависимости от класса ИСПДн и исходя из УБПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режи­мов обработки ПДн с использованием соответствующих методов и способов защиты информации от НСД реализуются функции управления досту­пом, регистрации и учета, обеспечения целостности, анализа защищенно­сти, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

Поскольку применение СЗИ не является обязательным для всех ти­пов ИСПДн, то выбор СЗИ необходимо осуществлять с учетом того, что итоговый набор реализуемых мер защиты должен удовлетворять требова­ниям, предъявляемым к ИСПДн соответствующего класса, концентриро­ванное выражение которых приведено в «Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России от 5 февраля 2010 г. № 58 (см. таблицы 1 — 3).

Методы и способы защиты информации от НСД для обеспечения безопасности ПДн в ИСПДн 4 класса и целесообразность их применения определяются оператором.

В ИСПДн, имеющих подключение к информационно телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, исполь­зуются средства антивирусной защиты.

Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федера­ции от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно телекоммуникационных сетей международного информационного обмена».

Читайте так же:  Как исчисляется срок исковой давности по кредиту

Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.

Подключение ИСПДн к ИСПДн другого класса или к информационно телекоммуникационной сети международного информационного обме­на (сети связи общего пользования) осуществляется с использованием МЭ.

Программное обеспечение СЗИ, применяемых в ИСПДн 1 класса, проходит контроль отсутствия недекларированных возможностей.

Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения СЗИ, применяемых в ИСПДн 2 и 3 классов, определяется оператором.

Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществля­ется в случаях, когда при определении УБПДн и формировании модели уг­роз применительно к ИСПДн являются актуальными угрозы утечки аку­стической речевой информации, угрозы утечки видовой информации и уг­розы утечки информации по каналам ПЭМИН.

Для исключения утечки ПДн за счет ПЭМИН в ИСПДн 1 класса мо­гут применяться следующие методы и способы защиты информации:

  • использование технических средств в защищенном исполнении;
  • использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия;
  • размещение объектов защиты в соответствии с предписанием на эксплуатацию;
  • размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
  • обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
  • обеспечение электромагнитной развязки между линиями связи и другими цепями ВТСС, выходящими за пределы охраняемой террито­рии, и информационными цепями, по которым циркулирует защищаемая информация.

В ИСПДн 2 класса для обработки информации используются СВТ, удовлетворяющие требованиям национальных стандартов по электромагнит­ной совместимости, по безопасности и эргономическим требованиям к сред­ствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам СВТ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

При применении в ИСПДн функции голосового ввода ПДн в ИСПДн или функции воспроизведения информации акустическими средствами ИСПДн для ИСПДн 1 класса реализуются организационные и технические меры для обеспечения звукоизоляции ограждающих конструкций помеще­ний, в которых расположена ИСПДн, их систем вентиляции и кондициони­рования, не позволяющей вести прослушивание акустической (речевой) ин­формации при голосовом вводе ПДн в ИСПДн или воспроизведении ин­формации акустическими средствами.

Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки ПДн в ИСПДн.

Размещение устройств вывода информации СВТ, информационно вычислительных комплексов, технических средств обработки графиче­ской, видео и буквенно-цифровой информации, входящих в состав ИСПДн, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн.

Анализ защищенности проводится для распределенных ИСПДн и ИСПДн, подключенных к сетям международного информационного обме­на, путем использования в составе ИСПДн программных или программно аппаратных средств (систем) анализа защищенности.

Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигура­ции программного обеспечения ИСПДн, которые могут быть использова­ны нарушителем для реализации атаки на систему.

Обнаружение вторжений проводится для ИСПДн, подключенных к сетям международного информационного обмена, путем использования в составе ИСПДн программных или программно-аппаратных средств (сис­тем) обнаружения вторжений.

Для ИСПДн 1 класса применяется программное обеспечение СЗИ, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.

Требования к защите, определенные для специальной ИСПДн со­гласно построенной модели угроз, сопоставляются и суммируются с тре­бованиями, определенными для нее согласно ее классу (К1, К2, КЗ или К4). При сопоставлении однотипных требований в качестве окончатель­ного требования выбирается более жесткое.

Следует обратить особое внимание на то, что все используемые оператором СЗИ должны быть сертифицированы ФСТЭК России, СКЗИ сертифицированы ФСБ России и должны входить в государственный реестр сертифицированных СЗИ.

Принципиально возможен такой вариант, когда в ИСПДн изначально используются несертифицированные СЗИ и организовывается сертификация ИСПДн в целом. Однако, это является длительным и дорогостоящим процессом. Кроме того при внесении в ИСПДн любых изменений — от перенастройки до установки обновлений программного обеспечения — потребуется ее повторная сертификация.

Таблица 1 — Требования к системе защиты персональных данных для ИСПДн З класса

Требования к системе защиты персо­нальных данных


Источник: http://itsec2012.ru/metody-i-sposoby-zashchity-personalnyh-dannyh-v-informacionnyh-sistemah-personalnyh-dannyh

Порядок организации защиты персональных данных. Организационно-распорядительная документация

5.1.Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781. (Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 настоящее постановление признано утратившим силу.)

При защите персональных данных должно быть обеспечено:

  1. предотвращение несанкционированного доступа к ПД и передачи их лицам, не имеющим соответствующих прав;
  2. своевременное обнаружение фактов НСД к ПД;
  3. предотвращение воздействия на технические средства обработки ПД, которое может нарушить их функционирование;
  4. возможность немедленного восстановления ПД в случае их модификации или уничтожения в результате НСД.
  5. постоянный контроль уровня защищенности персональных данных[18].

Организация безопасности ПД в ИСПД происходит в порядке, который предусматривает следующие этапы:

  1. оценка обстановки;
  2. обоснование требований безопасности ПД и постановка задач защиты;
  3. разработка замысла обеспечения безопасности;
  4. выбор мер и способов защиты в соответствии с требованиями безопасности и замыслом защиты;
  5. решения вопросов управления защитой;
  6. реализация замысла защиты;
  7. планирование мероприятий по защите;
  8. создание СЗПД;
  9. разработка документов для эксплуатации СЗПД и организации обеспечения безопасности ИСПД.

Прежде всего, необходимо ограничить физический доступ к защищаемой информации. В основе защиты от физического доступа лежат организационные мероприятия. Для организации физической защиты помещений и технических средств обработки ПД в первую очередь документально заверяются границы контролируемой зоны, ограничивается доступ в помещения, где обрабатываются ПД, производится их охрана в нерабочее время, определяется порядок и специальное место хранения материальных носителей с ПД, опечатываются корпуса ПЭВМ.

5.2. Оценка обстановки и формирование замысла защиты персональных данных

Оценка обстановки является этапом, во многом определяющим эффективность решения задач обеспечения безопасности ПД. В ее основе лежит комплексное обследование организации и ИСПД, использующихся для обработки ПД. Прежде всего, определяется информация , которую необходимо защищать, производится ее категорирование и оценивается необходимость защиты от таких угроз, как уничтожение или хищение аппаратных средств или носителей с ПД, утечки информации по техническим каналам, от НСД и прочих рассмотренных ранее угроз.

Читайте так же:  Образец заполнения генеральной доверенности в деловые линии

При оценке обстановки учитывается степень ущерба в случае успешной реализации одной из угроз. Рассмотрим основные подэтапы оценки обстановки:

  1. Анализ информационных ресурсов:
    • Определение состава, содержания и местонахождения ПД, подлежащих защите;
    • Категорирование ПД;
    • Оценка выполнения обязанностей по обеспечению безопасности ПД оператором в текущий момент времени.

В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПД, рассматриваются два вида ущерба: непосредственный и опосредованный.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде:

  • нанесения вреда здоровью субъекта ПД;
  • незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
  • потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД;
  • нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПД.

Разработка замысла защиты является важным этапом построения СЗПД, в ходе которого определяются основные направления защиты персональных данных , и производится выбор способов защиты. К способам защиты относятся как технические средства, так и организационные меры. В качестве технических средств защиты следует использовать сертифицированные средства защиты. Основные этапы формирования замысла защиты показаны на рисунке 5.1.

К основным вопросам управления относятся:

  1. распределение функций управления доступом к данным и их обработкой между должностными лицами;
  2. определение порядка изменения правил доступа к защищаемой информации;
  3. определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
  4. определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;
  5. определение порядка проведения контрольных мероприятий и действий по его результатам.

Для поддержания эффективного уровня защиты персональных данных необходимо своевременно решать вопросы по управлению защитой, а также основные вопросы, такие как подготовка кадров, финансирование и закупка необходимого оборудования. Только комплексный подход может гарантировать достаточность принятых мер защиты персональных данных .

Источник: http://www.intuit.ru/studies/courses/697/553/lecture/12448

Как работает система защиты персональных данных?

Устраиваясь на работу и подписывая трудовое соглашение, каждый работник обязуется должным образом исполнять свои профессиональные обязанности.

Одновременно с принятыми обязательствами у него появляются и установленные законом права.

Одним из элементов охраны труда сотрудников является сохранение их конфиденциальных данных, обеспечение которой входит в обязанности нанимателя.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-59-47 . Это быстро и бесплатно !

Сориентироваться с этим аспектом трудового права поможет нижеизложенная информация.

Зачем нужна система защиты?

В список персональных данных сотрудников входят следующие сведения: паспортные данные, другие предоставленные работодателю в процессе трудоустройства и трудовой деятельности документы, информация о доходах, личные данные и др.

Отношения в сфере защиты персональных данных регулируются законом «О персональных данных». Пункт 1 статьи 3 закона указывает, что персональными данными любого человека считаются вся личная и иного рода информация, в т.ч. имя, фамилия, возраст и т.д.

Часть 1 статья 85 Гражданского Кодекса поясняет, что под персональными данными работника подразумевается вся информация, которая требуется работодателю в рамках трудовых отношений с сотрудником.

На работодателе лежит ответственность по созданию системы сохранности этой информации. Система должна препятствовать попыткам кражи персональных данных, их копирования, изменения, блокирования и других незаконных действий.

Создание проекта такой системы проходит в несколько этапов:

  • начальный этап включает сбор и анализ существующей на предприятии ситуации: перечня предоставляемой работниками информации, основные цели и сроки её обработки, сроки хранения полученных данных;
  • подготовка документов, необходимых для прохождения сертификации в ФСТЭК;
  • создание проекта и собственно самой системы;
  • разработка регламентной документации для дальнейшей эксплуатации и функционирования системы;
  • аттестация системы в ФСТЭК.

ФСТЭК (полное наименование «Федеральная служба по техническому и экспортному контролю») – орган государственной власти, функционирующий в сфере охраны информации.

Процедура

Процедура защиты данных каждого работника включает комплекс мероприятий:

  • создание внутренней документации по сбору, хранению и применению данных;
  • внедрение и реализация мер;
  • получение от работника письменного согласия на обработку полученных от него персональных сведений;
  • соблюдение всех мер по сохранению конфиденциальности во время использования данных;
  • своевременное уничтожение устаревшей и ненужной информации.
Видео (кликните для воспроизведения).

Перечисленные меры являются ключевыми в процедуре защиты конфиденциальных данных.

Защита

Для эффективного предотвращения незаконной утечки конфиденциальных данных должна быть создана система защиты, включающая следующие элементы:

  • регистрация и учёт;
  • управление доступом;
  • обеспечение целостности системы;
  • установка надёжного программного обеспечения с антивирусной защитой.

Эти технические меры защитят от взлома системы, её блокировки, незаконного доступа к персональным данным.

Технические средства

Технические средства защиты персональных данных подразделяются на следующие разновидности:

  • криптографические (кодирование, шифрование и другие способы преобразования информации);
  • антивирусные (предотвращение, с помощью специального программного обеспечения, заражения компьютера вирусами);
  • межсетевые экраны (защита и фильтрация компьютерных сетей);
  • против несанкционированного доступа.

Применяемые на предприятии средства технической защиты персональных данных должны быть сертифицированы. С их полным реестром можно ознакомиться на официальном сайте ФСТЭК.

При ненадлежащем обеспечении защиты персональных данных работника, и в результате этого причинение ему морального или имущественного вреда, работодатель несёт ответственность в соответствии с законом.

Читайте так же:  Разъехаться по обоюдному согласию

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-59-47 (Москва)
Это быстро и бесплатно !

Источник: http://naim.guru/trudovoe-pravo/sistema/personalnye-dannye/zashita/sistema.html

Техническая защита персональных данных

Защита персональных данных
с помощью DLP-системы

Б ольшинство компаний в стране являются операторами персональных данных, так как обрабатывают большие объемы информации, прямо относящейся к личности граждан, которую они получают в ходе выполнения свих уставных задач. Существующие модели угроз требуют адекватных уровню угроз технических средств защиты данных от утечек, неправомерного доступа и использования, утраты при передаче по каналам связи. Перечень таких мер устанавливается нормативными актами ФСТЭК России. Это же ведомство вместе с ФСБ РФ контролирует правомерность их выбора и правильность применения. Требования ФСТЭК обязательны для применения, в противном случае организация может лишиться права на обработку персональных данных.

Для чего требуется техническая защита персональных данных

По своей правовой природе персональные данные относятся к конфиденциальной, охраняемой законом информации. Федеральный закон «О персональных данных» причисляет к ним любую информацию, которая прямо относится к тому или иному человеку. После того, как она доверена операторам-компаниям, осуществляющим ее обработку, сведения, переданные физическими лицами при условии оформления согласия на их обработку определенными способами и в определенных целях, получают охраняемый статус. В отличие от коммерческой тайны, способы защиты персональных данных устанавливаются государством. Перечень конкретных технических средств определяется ФСТЭК России в Приказе № 21. Рекомендации вводят 15 групп технических мер, в каждой группе прописаны базовые, обязательные для применения, меры и рекомендуемые, которые оператор может использовать по своему усмотрению, сравнивая с актуальной на текущий момент моделью угроз безопасности персональных данных.

Этапы создания системы защиты персональных данных

До направления уведомления о начале осуществления деятельности, связанной с защитой персональных данных, оператор должен позаботиться о том, чтобы его информационная система соответствовала установленным требованиям, и о выборе технических средств. Процесс внедрения делится на несколько последовательных этапов, их количество зависит от выбранного способа защиты, который, в свою очередь, зависит от типа информации, класса защищенности, определяемого по параметрам, устанавливаемым Постановлением Правительства РФ № 1119, наличия или отсутствия подключения системы к телекоммуникационным каналам связи.

Первичные организационные меры

Прежде чем переходить к реализации системы технических мер по защите персональных данных, необходимо осуществить некоторые организационные меры, относящиеся к классификации угроз и оценке имеющихся в наличии технических средств. Это потребуется для оценки необходимости установки и выбора антивирусных средств и средств криптографической защиты.

В рамках такого анализа устанавливаются:

  • перечень персональных данных, имеющихся в распоряжении организации, и требуемая степень их защиты. Усиленная потребуется при обработке данных, составляющих врачебную тайну, и тех сведений, на основании которых будут приниматься решения, имеющие юридические последствия;
  • цели обработки данных. Это может быть сбор кадровой информации, оказание услуг, связанных с обработкой, услуги по передаче сведений;
  • сроки работы с данными. Закон устанавливает, что они являются ограниченными. Необходимо определить объемы данных, которые должны быть уничтожены, сроки, средства и порядок такого уничтожения.

После определения объекта технической защиты надо перейти к определению технических средств, необходимых для обеспечения защиты персональных данных.

Способы обработки персональных данных

На практике персональные данные на первом этапе обрабатываются вручную, и от оператора требуется только физическая защита материальных носителей, для которой используются такие средства, как пропускная система и оборудование помещений согласно определенному классу безопасности, и только на следующем этапе они поступают в автоматизированные информационные системы. В рамках ручного и технического методов обработки выделяется несколько отдельных способов, при автоматизированной обработке необходимо определить те элементы конфигурации системы, в которых происходит обработка. Это могут быть кадровый и бухгалтерский модуль, модуль по работе с клиентами.

Определение характеристик технических систем

Следующим этапом работы по обеспечению технической защиты персональных данных становится определение основных характеристик автоматизированных систем обработки, их конфигурации, потребности в генерации электронной подписи, установлении сертифицированных средств антивирусной или криптографической защиты. Далее проводится классификация системы в зависимости от качества данных. Выделяются такие группы, как:

  • категория 1. Это сведения, касающиеся здоровья, личной жизни, политических взглядов;
  • категория 2. Любые данные, позволяющие идентифицировать человека и получить о нем в дальнейшем дополнительную информацию;
  • категория 3. Сведения, которые только позволяют идентифицировать субъекта персональных данных;
  • категория 4. Обезличенные данные.

При обработке данных 1-й категории автоматизированная система, в которой хранятся персональные данные, должна быть оборудована техническими средствами защиты как специальная, для остальных будет достаточно базовой модели. Кроме категории данных, на параметры системы влияет количество человек, чьи сведения обрабатываются. Исходя из этого, устанавливается четыре уровня защищенности системы – от максимального до низкого.

Оценка соответствия системы требованиям ФСТЭК России

После определения класса данных и требований к системе нужно установить, какие именно требования ФСТЭК России предъявляет в целях оценки соответствия применяемых для обеспечения безопасности персональных данных технических средств своим требованиям. Они выглядят следующим образом:

  • если система относится к 1-му или 2-му классу, то ее соответствие требованиям, предъявляемым к уровню защищенности, подтверждается обязательной сертификацией (в ряде нормативных документов эта процедура называется аттестацией). Она проводится ФСТЭК России;
  • если система относится к 3-му классу, то от оператора потребуется декларирование соответствия ее параметров предъявляемым требованиям;
  • для систем 4-го класса выбор метода защиты и применяемых технических средств остается на волеизъявление оператора.

После того, как определено, каким параметрам должна отвечать система и какие технические средства для ее работоспособности и надлежащей защиты персональных данных необходимы, начинается построение ее конфигурации. Оценку правильности применяемых решений раз в три года проводит оператор, также соответствие системы требованиям может контролировать ФСТЭК РФ в рамках документарных или выездных проверок.

Установка технических средств защиты

После того, как параметры системы определены, начинается выбор необходимых программных и технических средств, соответствующих заявленному классу безопасности. При выборе базовых и компенсирующих средств необходимо соблюдать баланс между уровнем безопасности и финансовой целесообразностью. Иногда для такой оценки правильным решением будет привлечь специализированную организацию.

Читайте так же:  Как оформить право подписи первичных документов

Качество средств, требования к их сертификации определяются согласно нормативным документам ФСТЭК Российской Федерации. Все технические средства делятся на две группы:

  • защищающие персональные данные и другую конфиденциальную информацию от несанкционированного доступа. К ним относятся средства антивирусной и криптографической защиты, межсетевые экраны, средства блокировки устройств ввода-вывода информации, системы, ограничивающие возможности вывода информации из защищаемого периметра;
  • средства защиты информации, отвечающие за исключение утечек сведений по техническим каналам связи. Это генераторы шумов, экранированные кабели, исключающие перехват электромагнитного излучения, высокочастотные фильтры на линии связи.

При привлечении специализированной организации для создания технической системы защиты персональных данных необходимо проконтролировать наличие у нее соответствующих лицензий, а также то, чтобы все применяемые средства были сертифицированы в установленном порядке.

Выбор технических средств защиты должен обусловливаться классом защищенности системы, тем, относится она к категории обычных или специальных, собственными возможностями.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/tekhnicheskaya-zashchita-personalnyh-dannyh/

Сертификация систем защиты информации (СЗИ) и персональных данных (ПНд)

Вопрос сертификации защиты персональных данных на уровне ФСТЭК и ФСБ РФ не имеет однозначного решения: контролирующие органы ориентируются во многом на собственное видение безопасности. В целом, систему защиты информации (СЗИ) представляют как совокупность организационных мер и программно-технических средств. Целью СЗИ является предотвращение или серьезное затруднение несанкционированного доступа.

С организационной точки зрения допускается деление деление рисков на недопустимые и допустимые – но оно условно, зависит от многих факторов: размеров компании, ее известности, способов обработки персональных данных, репутации, политики взаимодействия с клиентами. Наиболее сильным риск является для организаций, которые поддерживают сайты с персональными данными либо формами для их регистрации, проводят массированные е-mail рассылки, ведут агрессивные рекламные кампании.

Обеспечение сохранности данных для различных предприятий зависят от масштабов работы, финансовых и производственных возможностей, а также от количества сведений, нуждающихся в охране. Определение рисков и мер защиты должно базироваться на принципах достаточности и разумности.

Сертификация на соответствие защиты персональных данных представляет собой совокупность действий, нацеленных на подтверждение основных и дополнительных параметров услуг, систем или продуктов требованиям выработанных актов и стандартов. Учитывая то, что безопасность относится к разряду социализированных областей, завязана на человеческий фактор и информационные технологии, она не может быть всеобъемлющей. Утечка или утрата персональных данных автоматически признается виной оператора связи.

Департамент защиты персональных данных системы сертификации Росконтроля проводит мониторинг всех российских организаций, независимо от формы собственности, являющихся операторами связи, предъявляя к ним ряд требований по организации адекватной защиты.

Сертификация средств защиты персональных данных по 152-ФЗ

Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.

Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:

  1. Подготовить уникальный портфель документов, включающий акты, приказы, инструкции и т.д.
  2. Опубликовать документ – политику, с описанием способов работы с персональных данных.
  3. Подать уведомление в Роскомнадзор.

Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов – Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.

Порядок работ по методике, утвержденной ФСТЭК, выглядит так:

  1. Проводится обследование информационной системы персональных данных (ИСПДн).
  2. Проектируется система защиты.
  3. Внедряется система, защищающая информацию.
  4. Оценивается эффективность всех предпринятых шагов, по результатам которых принимается решение о соответствии.

Стоимость сертификации в соответствии с 152-ФЗ складывается из:

  1. Наличия подключения к сети Интернет.
  2. Количества компьютеров.
  3. Наличия сервера или общей сети.
  4. Техподдержки.
  5. Юридического сопровождения.

Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.

Сертификат соответствия ФСТЭК

Система сертификации персональных данных ФСТЭК России отвечает за некриптографическую защиту информации, препятствуя несанкционированному доступу к ней или «слитию» ее по техническим каналам связи. Служба организует сертификацию и контролирует «верхний уровень». Все остальные работы ложатся на лицензиаров в лице лабораторий-испытателей ПО и экспертных организаций. Клиент самостоятельно выбирает лабораторию, а ФСТЭК создает экспертную комиссию.

Процесс сертификации программ обработки персональных данных ФСТЭК осуществляется сходных образом, с привлечением института заявителей. Взаимодействуя с лабораториями и экспертами, они сравнивают продаваемые версии продукта с сертифицированным образцом-эталоном. В среднем время аттестации ИСПДн занимает от полугода или больше, все зависит от ее уровня и категорийности – чем выше степень, тем больше требований к безопасности предъявляется.

Сертификация программных продуктов в соответствии с законом «О персональных данных» ставит своей целью контроль над информацией, обеспечивающей национальную безопасность. Поэтому все программное обеспечение, поставляемое на рынок и используемое в построении ключевых зон информационной структуры, должно соответствовать жестким требованиям.

Уже готовые сертификаты для работы с персональными данными имеют семейство операционных систем Linux, сетевое оборудование от IT-корпорации Cisco, реляционная СУБД Sybase ASE, продукция 1С.

Аттестация систем персональных данных

Проведение аттестации информационных систем персональных данных – дорогое удовольствие, поэтому часть операторов ПДн старается всеми силами избежать этой процедуры. Она является обязательной для государственных ИСПДн, накладывая на операторов ряд обязательств. Для негосударственных предприятий аттестат требуется в случае подтверждения должного уровня защиты, поэтому процедура может проходит в добровольном порядке. Соответствующая документация получается в территориальном отделении ФСТЭКа.

Процедура производится лицензированными на проведение технической защиты организациями. Аттестационная комиссия состоит из специалистов информационной безопасности и экспертов. В ее задачу входит проведение оценки соответствия всех мер, технических и организационных, с последующими испытаниями всех программных и технических средств, направленных на защиту ПДн. По результатам оценки выдается либо аттестат, либо предписание с перечнем обязательных к устранению недостатков. В целях экономии времени и средств, подготовку к аттестации лучше доверить имеющим опыт аналогичной работы организациям.

Аттестация многоэтапна и требует строжайшего документирования, при этом ее методология одинакова как для компьютера, так и для рабочих места по защите персональных данных. Зато по факту получается полноценная система защиты информации. Следование алгоритму сертификации, все операторы ПДн принимают участие в выработке максимальной защиты ИС.

Читайте так же:  Экспертиза для признания гражданина недееспособным

После введения системы защиты в эксплуатацию, не стоит забывать об изменчивости технологий. Спустя некоторое время могут возникнуть новые угрозы и риски, поэтому для поддержания работоспособности и защищенности информации рекомендуется устраивать аудит информационной безопасности ежегодно.

Источник: http://integrus.ru/blog/it-decisions/sertifikatsiya-sistem-zashhity-personalnyh-dannyh.html

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Видео (кликните для воспроизведения).

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.


Источник: http://kontur.ru/articles/1723
Средства обеспечения защиты персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here