1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Создание системы защиты персональных данных — СКБ Контур

Создание системы защиты персональных данных — СКБ Контур

Безопасность

Проект Контур-Безопасность компании СКБ Контур

Опыт работы по защите информации начался с первых внедрений средств защиты информационных и автоматизированных систем на крупных предприятиях, для которых работа с персональными данными очень жестко регламентирована.

На сегодняшний день Контур-Безопасность оказывает заказчикам комплекс услуг по обеспечению информационной безопасности, в том числе по защите персональных данных и результатов интеллектуальной деятельности, включающий обследование информационных систем, внедрение и сопровождение средств защиты информации, а также оценку соответствия требованиям нормативных документов по защите информации.

Для выполнения требований регуляторов специалисты Контур-Безопасность:

* проконсультируют должностных лиц Вашего предприятия в случае возникновения сложных вопросов по вопросам практики по защите персональных данных

* оценят состояние нормативных документов предприятия и подготовят заключение об их достаточности и/или рекомендации по доработке

* определят уровень защищенности информационных систем, в которых обрабатываются персональные данные

* разработают модели угроз и сформируют требования к системе защиты

* разработают или доработают необходимые нормативные документы для установления и поддержания режима защиты персональных данных в соответствии с требованиями

* при необходимости проведут выбор и внедрение технических средств, которые обеспечат защиту персональных данных.

* проведут оценку соответствия информационных систем на соответствие требованиям нормативных документов по защите персональных данных

В результате внедрения решений по защите персональных данных:

* предприятие будет защищено от претензий со стороны регуляторов, сотрудников и клиентов по вопросам обработки персональных данных;

* предприятие сможет избежать принудительного приостановления или прекращения обработки персональных данных, а также приостановления действия или аннулирования лицензии на основной вид деятельности данного предприятия;

* будут минимизированы риски привлечения предприятия и/или ее руководителя к административной ответственности от возможных гражданских исков сотрудников.

В рамках проекта Контур-Безопасность предлагаем Вам услуги по созданию, доработке и сопровождению системы по защите персональных данных в полном соответствии с требованиями надзорных ведомств в условиях меняющихся реалий.

Возможности проекта Контур-Безопасность

Аудит информационной безопасности

Анализ документации на соответствие нормам и требованиям законодательства

Анализ защищенности сети

Рекомендации по предотвращению нарушений

Построение системы управления информационной безопасностью

Разработка организационной политики информационной безопасности

Разработка политик информационной безопасности, ориентированных на задачи/системы

Разработка инструкций и регламентов по информационной безопасности

Проектирование и внедрение технических решений

Идентификация и аутентификация

Управление правами доступа к информации (IRM)

Защита от несанкционированного доступа

Обнаружение и предотвращение вторжений (IDS/IPS)

Виртуальные частные сети VPN

Инфраструктура открытых ключей PKI

Обнаружение и предотвращение утечек информации DLP

Резервное копирование и восстановление информации

Автоматизированный анализ защищенности ИТ-инфраструктуры

Защита информации от утечек по техническим каналам

Оценка соответствия требованиям

Аттестация автоматизированных систем по требованиям безопасности информации

Оценка эффективности принимаемых мер по обеспечению безопасности ПДН в информационных системах персональных данных

Аттестация информационных систем персональных данных

Аттестация государственных/муниципальных информационных систем (ГИС/МИС)

Защищенное подключение к ГИС/МИС: ФИС ГИА, ЕГИСМ, ФГИС Аккредитация, ФИС ФРДО, АИСТ ГБД и др.

Техническое сопровождение систем информационной безопасности

Периодический контроль состояния защиты информации на объектах информатизации

Техническое сопровождение систем защиты информации

Типичные ошибки при построении системы защиты ПДн (СЗПДн)

Уровень правовой грамотности ИТ-специалистов в области информационной безопасности, в частности защиты персональных данных, с каждым годом растет. Ведь именно на специалиста ИТ-отдела возлагают функции по защите информации. Однако чаще всего специалисты приобретают новые знания самостоятельно из открытых источников. К сожалению, это ведет к однотипным ошибкам при создании системы защиты персональных данных.

Как рождается ошибка?

Зачастую к нам приходят запросы на проведение работ по защите персональных данных с конкретной спецификацией работ и средств защиты информации. Казалось бы, идеальный вариант для всех, но по факту оказывается, что указанных работ и средств защиты информации либо слишком много, либо недостаточно для приведения организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона «О персональных данных» от 27.07.2006 № 152. Оба варианта ведут к финансовым потерям.

Мы выделили основные недочеты в построении систем защиты ПДн и надеемся, что эта «шпаргалка» пригодится и опытным, и начинающим ИТ-специалистам.

Распространенные ошибки при построении СЗПДн:

1. Неверно определено число информационных систем, обрабатывающих персональные данные.

Часто при определении информационных систем, в которых обрабатываются персональные данные, выделяют лишь те, что лежат на виду (например, информационные системы бухгалтерии или кадров). На деле же в организации их может быть куда больше. Зачастую информационной системой, которую забыли упомянуть, оказывается система контроля управления доступом (СКУД), а между тем вероятность обработки биометрических данных в такой информационной системе весьма высока.

Совет: для того чтобы не упустить из виду информационные системы персональных данных, необходимо провести аудит всех имеющихся информационных систем, а затем установить факт обработки в них персональных данных. Не забывайте про системы видеонаблюдения, так как в отдельных случаях они также являются ИСПДн.

Экспресс-обследование СЗПДн от проекта Контур.Безопасность

2. Неверный выбор средств защиты информации.

Бывают случаи, когда заказчик самостоятельно ставит себе «диагноз» через интернет. Находит в сети пример, где описывается построение технической системы защиты персональных данных информационной системы, схожей с его, и закупает приведенные в списке СЗИ. В результате возможно несколько вариантов развития событий:

  • используемые средства защиты персональных данных будут соответствовать требованиям нормативных документов и закроют все актуальные угрозы безопасности персональных данных;
  • используемых средств защиты информации будет недостаточно для закрытия всех актуальных угроз безопасности персональных данных;
  • перечень используемых средств защиты информации будет избыточным;
  • используемые средства защиты информации не будут соответствовать требованиям нормативных документов.
Читать еще:  Как узнать номер полиса ОМС по паспорту

При этом первый вариант развития событий возможен в крайне редких случаях.

Советы:

  • используйте известный алгоритм создания системы защиты персональных данных;
  • проведите обследование информационной системы;
  • определите актуальные угрозы безопасности персональных данных в соответствии с нормативными документами ФСТЭК России;
  • определите требуемый уровень защищенности персональных данных, обрабатываемых в информационной системе;
  • руководствуясь приказом ФСТЭК России № 21, определите организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных.

3. Пренебрежение организационными мерами, концентрация исключительно на технической защите.

Бывают ситуации, когда заказчик фокусируется исключительно на технической защите информации, закупает качественные и подходящие СЗИ, но при этом забывает об организационной части. Не разработаны необходимые документы, не подписаны соглашения с работниками и т.д. Во всем нужен разумный баланс, кроме того, непонимание персоналом смысла использования СЗИ может нивелировать всю грамотно выстроенную техническую защиту.

4. Средства защиты информации верно подобраны, но неверно настроены (или не настроены вообще).

Распространенная ошибка — наделение пользователей правами администраторов. Это удобно для системного администратора, так как настройка системы в таком случае не требует много времени и решение проблем пользователей сводится к минимуму. При таком подходе установка СЗИ на компьютеры пользователей не имеет никакого смысла: сотрудник с правами администратора может отключить что угодно, даже не осознавая этого. Например, межсетевой экран не позволяет пользователю выйти в интернет, он читает выскочившую подсказку и парой нажатий клавиш отключает защиту. Формально СЗИ установлено, угроза закрыта, однако в реальности она остается актуальной.

Совет: следует тщательно подходить к вопросу установки средств защиты информации и грамотно разделять права и обязанности пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы с учетом производственной необходимости.

Общий совет: обследование позволяет избежать этих мелких, но неприятных ошибок. Обследование позволяет определить текущую степень соответствия процессов обработки и защиты персональных данных требованиям безопасности информации, а также составить перечень необходимых мероприятий по приведению процессов организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных».

В ходе обследования собираются данные:

  • об организационно-штатной структуре заказчика;
  • о мерах физической безопасности;
  • о структуре, техническом и программном составе информационных систем;
  • об архитектуре информационных систем;
  • о технологических процессах обработки ПДн;
  • о существующих средствах и механизмах обеспечения безопасности ПДн.

В большинстве случаев цена такого обследования невысока. Но порой оно помогает существенно сэкономить на приобретении ненужных СЗИ. Причина в том, что после обследования часто сокращается объем парка машин, которые необходимо защитить, а также конкретизируются организационные и технические требования по защите персональных данных в информационной системе, которые необходимо реализовать.

СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Основополагающим законом в области защиты персональных данных является Федеральный закон «О персональных данных» №152-ФЗ, который был принят 27 июля 2006 года и вступил в силу с 26 января 2007 года.

Каждая организация так или иначе обрабатывает персональные данные сотрудников, содержащиеся в системах кадрового делопроизводства и бухгалтерских информационных системах, и, следовательно, она является оператором персональных данных и обязана обеспечивать их защиту.

Компания «Технологии успеха» предлагает полный комплекс услуг по созданию системы защиты персональных данных, который позволит вашей организации выполнить требования законодательства в области защиты персональных данных, а также пройти проверку контролирующих органов (Роскомнадзор, ФСТЭК и ФСБ России):

  • Аудит текущего состояния защиты персональных данных;
  • Проектирование системы защиты персональных данных;
  • Разработка необходимого комплекта организационно-распорядительной документации и приведение в соответствие требованиям законов;
  • Внедрение защиты персональных данных;
  • Оценка соответствия информационных систем персональных данных;
  • Аттестация ИСПДН в соответствии с требованиями ФСТЭК;
  • Поставка средств защиты;
  • Инструктаж сотрудников клиента по вопросам информационной безопасности;
  • Сопровождение и обслуживание системы защиты персональных данных.

В рамках договора по сопровождению информационной системы персональных данных компания «Технологии успеха» обеспечивает:

  • поддержание в актуальном состоянии организационно-распорядительной документации по вопросам обеспечения безопасности персональных данных;
  • контроль изменений в функционировании информационных систем персональных данных (смена ответственных лиц, аппаратных или программных компонентов информационной системы и т. п.);
  • консультирование по вопросам, связанным с защитой персональных данных.

Компания «Технологии успеха» имеет действующую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, и лицензию ФСБ РФ по РК на распространение шифровальных (криптографических) средств, работы (оказание услуг) в области шифрования информации, технического обслуживания шифровальных (криптографических) средств.

Специалисты компании «Технологии успеха» имеют огромный опыт внедрения решений по защите конфиденциальной информации и персональных данных. Мы готовы взять на себя реализацию проекта по их защите, учитывающего все особенности вашей сферы деятельности.

Став нашим заказчиком, ваша организация получит работоспособную и эффективную комплексную систему защиты персональных данных, снабженную необходимым пакетом документации. Тем самым обеспечив защиту персональных данных, обрабатываемых в ИСПДн, и выполнив соответствующие требования действующего законодательства Российской Федерации.

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Читать еще:  Создание и принятие корпоративных нормативных актов

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Читать еще:  Как проходить регистрация расторжения договора дду

Типичные ошибки при построении системы защиты ПДн (СЗПДн)

Уровень правовой грамотности ИТ-специалистов в области информационной безопасности, в частности защиты персональных данных, с каждым годом растет. Ведь именно на специалиста ИТ-отдела возлагают функции по защите информации. Однако чаще всего специалисты приобретают новые знания самостоятельно из открытых источников. К сожалению, это ведет к однотипным ошибкам при создании системы защиты персональных данных.

Как рождается ошибка?

Зачастую к нам приходят запросы на проведение работ по защите персональных данных с конкретной спецификацией работ и средств защиты информации. Казалось бы, идеальный вариант для всех, но по факту оказывается, что указанных работ и средств защиты информации либо слишком много, либо недостаточно для приведения организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона «О персональных данных» от 27.07.2006 № 152. Оба варианта ведут к финансовым потерям.

Мы выделили основные недочеты в построении систем защиты ПДн и надеемся, что эта «шпаргалка» пригодится и опытным, и начинающим ИТ-специалистам.

Распространенные ошибки при построении СЗПДн:

1. Неверно определено число информационных систем, обрабатывающих персональные данные.

Часто при определении информационных систем, в которых обрабатываются персональные данные, выделяют лишь те, что лежат на виду (например, информационные системы бухгалтерии или кадров). На деле же в организации их может быть куда больше. Зачастую информационной системой, которую забыли упомянуть, оказывается система контроля управления доступом (СКУД), а между тем вероятность обработки биометрических данных в такой информационной системе весьма высока.

Совет: для того чтобы не упустить из виду информационные системы персональных данных, необходимо провести аудит всех имеющихся информационных систем, а затем установить факт обработки в них персональных данных. Не забывайте про системы видеонаблюдения, так как в отдельных случаях они также являются ИСПДн.

Экспресс-обследование СЗПДн от проекта Контур.Безопасность

2. Неверный выбор средств защиты информации.

Бывают случаи, когда заказчик самостоятельно ставит себе «диагноз» через интернет. Находит в сети пример, где описывается построение технической системы защиты персональных данных информационной системы, схожей с его, и закупает приведенные в списке СЗИ. В результате возможно несколько вариантов развития событий:

  • используемые средства защиты персональных данных будут соответствовать требованиям нормативных документов и закроют все актуальные угрозы безопасности персональных данных;
  • используемых средств защиты информации будет недостаточно для закрытия всех актуальных угроз безопасности персональных данных;
  • перечень используемых средств защиты информации будет избыточным;
  • используемые средства защиты информации не будут соответствовать требованиям нормативных документов.

При этом первый вариант развития событий возможен в крайне редких случаях.

Советы:

  • используйте известный алгоритм создания системы защиты персональных данных;
  • проведите обследование информационной системы;
  • определите актуальные угрозы безопасности персональных данных в соответствии с нормативными документами ФСТЭК России;
  • определите требуемый уровень защищенности персональных данных, обрабатываемых в информационной системе;
  • руководствуясь приказом ФСТЭК России № 21, определите организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных.

3. Пренебрежение организационными мерами, концентрация исключительно на технической защите.

Бывают ситуации, когда заказчик фокусируется исключительно на технической защите информации, закупает качественные и подходящие СЗИ, но при этом забывает об организационной части. Не разработаны необходимые документы, не подписаны соглашения с работниками и т.д. Во всем нужен разумный баланс, кроме того, непонимание персоналом смысла использования СЗИ может нивелировать всю грамотно выстроенную техническую защиту.

4. Средства защиты информации верно подобраны, но неверно настроены (или не настроены вообще).

Распространенная ошибка — наделение пользователей правами администраторов. Это удобно для системного администратора, так как настройка системы в таком случае не требует много времени и решение проблем пользователей сводится к минимуму. При таком подходе установка СЗИ на компьютеры пользователей не имеет никакого смысла: сотрудник с правами администратора может отключить что угодно, даже не осознавая этого. Например, межсетевой экран не позволяет пользователю выйти в интернет, он читает выскочившую подсказку и парой нажатий клавиш отключает защиту. Формально СЗИ установлено, угроза закрыта, однако в реальности она остается актуальной.

Совет: следует тщательно подходить к вопросу установки средств защиты информации и грамотно разделять права и обязанности пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы с учетом производственной необходимости.

Общий совет: обследование позволяет избежать этих мелких, но неприятных ошибок. Обследование позволяет определить текущую степень соответствия процессов обработки и защиты персональных данных требованиям безопасности информации, а также составить перечень необходимых мероприятий по приведению процессов организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных».

В ходе обследования собираются данные:

  • об организационно-штатной структуре заказчика;
  • о мерах физической безопасности;
  • о структуре, техническом и программном составе информационных систем;
  • об архитектуре информационных систем;
  • о технологических процессах обработки ПДн;
  • о существующих средствах и механизмах обеспечения безопасности ПДн.

В большинстве случаев цена такого обследования невысока. Но порой оно помогает существенно сэкономить на приобретении ненужных СЗИ. Причина в том, что после обследования часто сокращается объем парка машин, которые необходимо защитить, а также конкретизируются организационные и технические требования по защите персональных данных в информационной системе, которые необходимо реализовать.

Ссылка на основную публикацию
Adblock
detector