Создание системы защиты персональных данных — СКБ Контур

Безопасность

Проект Контур-Безопасность компании СКБ Контур

Опыт работы по защите информации начался с первых внедрений средств защиты информационных и автоматизированных систем на крупных предприятиях, для которых работа с персональными данными очень жестко регламентирована.

На сегодняшний день Контур-Безопасность оказывает заказчикам комплекс услуг по обеспечению информационной безопасности, в том числе по защите персональных данных и результатов интеллектуальной деятельности, включающий обследование информационных систем, внедрение и сопровождение средств защиты информации, а также оценку соответствия требованиям нормативных документов по защите информации.

Для выполнения требований регуляторов специалисты Контур-Безопасность:

* проконсультируют должностных лиц Вашего предприятия в случае возникновения сложных вопросов по вопросам практики по защите персональных данных

* оценят состояние нормативных документов предприятия и подготовят заключение об их достаточности и/или рекомендации по доработке

* определят уровень защищенности информационных систем, в которых обрабатываются персональные данные

* разработают модели угроз и сформируют требования к системе защиты

* разработают или доработают необходимые нормативные документы для установления и поддержания режима защиты персональных данных в соответствии с требованиями

* при необходимости проведут выбор и внедрение технических средств, которые обеспечат защиту персональных данных.

* проведут оценку соответствия информационных систем на соответствие требованиям нормативных документов по защите персональных данных

В результате внедрения решений по защите персональных данных:

* предприятие будет защищено от претензий со стороны регуляторов, сотрудников и клиентов по вопросам обработки персональных данных;

* предприятие сможет избежать принудительного приостановления или прекращения обработки персональных данных, а также приостановления действия или аннулирования лицензии на основной вид деятельности данного предприятия;

* будут минимизированы риски привлечения предприятия и/или ее руководителя к административной ответственности от возможных гражданских исков сотрудников.

В рамках проекта Контур-Безопасность предлагаем Вам услуги по созданию, доработке и сопровождению системы по защите персональных данных в полном соответствии с требованиями надзорных ведомств в условиях меняющихся реалий.

Возможности проекта Контур-Безопасность

Аудит информационной безопасности

Анализ документации на соответствие нормам и требованиям законодательства

Анализ защищенности сети

Рекомендации по предотвращению нарушений

Построение системы управления информационной безопасностью

Разработка организационной политики информационной безопасности

Разработка политик информационной безопасности, ориентированных на задачи/системы

Разработка инструкций и регламентов по информационной безопасности

Проектирование и внедрение технических решений

Идентификация и аутентификация

Управление правами доступа к информации (IRM)

Защита от несанкционированного доступа

Обнаружение и предотвращение вторжений (IDS/IPS)

Виртуальные частные сети VPN

Инфраструктура открытых ключей PKI

Обнаружение и предотвращение утечек информации DLP

Резервное копирование и восстановление информации

Автоматизированный анализ защищенности ИТ-инфраструктуры

Защита информации от утечек по техническим каналам

Оценка соответствия требованиям

Аттестация автоматизированных систем по требованиям безопасности информации

Читать еще:  Завещание на квартиру какие документы брать к нотариусу

Оценка эффективности принимаемых мер по обеспечению безопасности ПДН в информационных системах персональных данных

Аттестация информационных систем персональных данных

Аттестация государственных/муниципальных информационных систем (ГИС/МИС)

Защищенное подключение к ГИС/МИС: ФИС ГИА, ЕГИСМ, ФГИС Аккредитация, ФИС ФРДО, АИСТ ГБД и др.

Техническое сопровождение систем информационной безопасности

Периодический контроль состояния защиты информации на объектах информатизации

Техническое сопровождение систем защиты информации

Типичные ошибки при построении системы защиты ПДн (СЗПДн)

Уровень правовой грамотности ИТ-специалистов в области информационной безопасности, в частности защиты персональных данных, с каждым годом растет. Ведь именно на специалиста ИТ-отдела возлагают функции по защите информации. Однако чаще всего специалисты приобретают новые знания самостоятельно из открытых источников. К сожалению, это ведет к однотипным ошибкам при создании системы защиты персональных данных.

Как рождается ошибка?

Зачастую к нам приходят запросы на проведение работ по защите персональных данных с конкретной спецификацией работ и средств защиты информации. Казалось бы, идеальный вариант для всех, но по факту оказывается, что указанных работ и средств защиты информации либо слишком много, либо недостаточно для приведения организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона «О персональных данных» от 27.07.2006 № 152. Оба варианта ведут к финансовым потерям.

Мы выделили основные недочеты в построении систем защиты ПДн и надеемся, что эта «шпаргалка» пригодится и опытным, и начинающим ИТ-специалистам.

Распространенные ошибки при построении СЗПДн:

1. Неверно определено число информационных систем, обрабатывающих персональные данные.

Часто при определении информационных систем, в которых обрабатываются персональные данные, выделяют лишь те, что лежат на виду (например, информационные системы бухгалтерии или кадров). На деле же в организации их может быть куда больше. Зачастую информационной системой, которую забыли упомянуть, оказывается система контроля управления доступом (СКУД), а между тем вероятность обработки биометрических данных в такой информационной системе весьма высока.

Совет: для того чтобы не упустить из виду информационные системы персональных данных, необходимо провести аудит всех имеющихся информационных систем, а затем установить факт обработки в них персональных данных. Не забывайте про системы видеонаблюдения, так как в отдельных случаях они также являются ИСПДн.

Экспресс-обследование СЗПДн от проекта Контур.Безопасность

2. Неверный выбор средств защиты информации.

Бывают случаи, когда заказчик самостоятельно ставит себе «диагноз» через интернет. Находит в сети пример, где описывается построение технической системы защиты персональных данных информационной системы, схожей с его, и закупает приведенные в списке СЗИ. В результате возможно несколько вариантов развития событий:

  • используемые средства защиты персональных данных будут соответствовать требованиям нормативных документов и закроют все актуальные угрозы безопасности персональных данных;
  • используемых средств защиты информации будет недостаточно для закрытия всех актуальных угроз безопасности персональных данных;
  • перечень используемых средств защиты информации будет избыточным;
  • используемые средства защиты информации не будут соответствовать требованиям нормативных документов.
Читать еще:  Образец решения о разлделе имущества супругов пополам

При этом первый вариант развития событий возможен в крайне редких случаях.

Советы:

  • используйте известный алгоритм создания системы защиты персональных данных;
  • проведите обследование информационной системы;
  • определите актуальные угрозы безопасности персональных данных в соответствии с нормативными документами ФСТЭК России;
  • определите требуемый уровень защищенности персональных данных, обрабатываемых в информационной системе;
  • руководствуясь приказом ФСТЭК России № 21, определите организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных.

3. Пренебрежение организационными мерами, концентрация исключительно на технической защите.

Бывают ситуации, когда заказчик фокусируется исключительно на технической защите информации, закупает качественные и подходящие СЗИ, но при этом забывает об организационной части. Не разработаны необходимые документы, не подписаны соглашения с работниками и т.д. Во всем нужен разумный баланс, кроме того, непонимание персоналом смысла использования СЗИ может нивелировать всю грамотно выстроенную техническую защиту.

4. Средства защиты информации верно подобраны, но неверно настроены (или не настроены вообще).

Распространенная ошибка — наделение пользователей правами администраторов. Это удобно для системного администратора, так как настройка системы в таком случае не требует много времени и решение проблем пользователей сводится к минимуму. При таком подходе установка СЗИ на компьютеры пользователей не имеет никакого смысла: сотрудник с правами администратора может отключить что угодно, даже не осознавая этого. Например, межсетевой экран не позволяет пользователю выйти в интернет, он читает выскочившую подсказку и парой нажатий клавиш отключает защиту. Формально СЗИ установлено, угроза закрыта, однако в реальности она остается актуальной.

Совет: следует тщательно подходить к вопросу установки средств защиты информации и грамотно разделять права и обязанности пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы с учетом производственной необходимости.

Общий совет: обследование позволяет избежать этих мелких, но неприятных ошибок. Обследование позволяет определить текущую степень соответствия процессов обработки и защиты персональных данных требованиям безопасности информации, а также составить перечень необходимых мероприятий по приведению процессов организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных».

В ходе обследования собираются данные:

  • об организационно-штатной структуре заказчика;
  • о мерах физической безопасности;
  • о структуре, техническом и программном составе информационных систем;
  • об архитектуре информационных систем;
  • о технологических процессах обработки ПДн;
  • о существующих средствах и механизмах обеспечения безопасности ПДн.
Читать еще:  Куда направить жалобу на судебных приставов

В большинстве случаев цена такого обследования невысока. Но порой оно помогает существенно сэкономить на приобретении ненужных СЗИ. Причина в том, что после обследования часто сокращается объем парка машин, которые необходимо защитить, а также конкретизируются организационные и технические требования по защите персональных данных в информационной системе, которые необходимо реализовать.

СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Основополагающим законом в области защиты персональных данных является Федеральный закон «О персональных данных» №152-ФЗ, который был принят 27 июля 2006 года и вступил в силу с 26 января 2007 года.

Каждая организация так или иначе обрабатывает персональные данные сотрудников, содержащиеся в системах кадрового делопроизводства и бухгалтерских информационных системах, и, следовательно, она является оператором персональных данных и обязана обеспечивать их защиту.

Компания «Технологии успеха» предлагает полный комплекс услуг по созданию системы защиты персональных данных, который позволит вашей организации выполнить требования законодательства в области защиты персональных данных, а также пройти проверку контролирующих органов (Роскомнадзор, ФСТЭК и ФСБ России):

  • Аудит текущего состояния защиты персональных данных;
  • Проектирование системы защиты персональных данных;
  • Разработка необходимого комплекта организационно-распорядительной документации и приведение в соответствие требованиям законов;
  • Внедрение защиты персональных данных;
  • Оценка соответствия информационных систем персональных данных;
  • Аттестация ИСПДН в соответствии с требованиями ФСТЭК;
  • Поставка средств защиты;
  • Инструктаж сотрудников клиента по вопросам информационной безопасности;
  • Сопровождение и обслуживание системы защиты персональных данных.

В рамках договора по сопровождению информационной системы персональных данных компания «Технологии успеха» обеспечивает:

  • поддержание в актуальном состоянии организационно-распорядительной документации по вопросам обеспечения безопасности персональных данных;
  • контроль изменений в функционировании информационных систем персональных данных (смена ответственных лиц, аппаратных или программных компонентов информационной системы и т. п.);
  • консультирование по вопросам, связанным с защитой персональных данных.

Компания «Технологии успеха» имеет действующую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, и лицензию ФСБ РФ по РК на распространение шифровальных (криптографических) средств, работы (оказание услуг) в области шифрования информации, технического обслуживания шифровальных (криптографических) средств.

Специалисты компании «Технологии успеха» имеют огромный опыт внедрения решений по защите конфиденциальной информации и персональных данных. Мы готовы взять на себя реализацию проекта по их защите, учитывающего все особенности вашей сферы деятельности.

Став нашим заказчиком, ваша организация получит работоспособную и эффективную комплексную систему защиты персональных данных, снабженную необходимым пакетом документации. Тем самым обеспечив защиту персональных данных, обрабатываемых в ИСПДн, и выполнив соответствующие требования действующего законодательства Российской Федерации.

Ссылка на основную публикацию
Adblock
detector