К какому виду мер защиты информации относится утвержденная программа работ в области безопасности

Содержание

Содержание:

  • Что такое «информационная безопасность предприятия»?
  • Как осуществить контроль информационной безопасности?
  • Виды угроз информационной безопасности
  • Средства защиты информации
  • Обеспечение информационной безопасности предприятий
  • Этапы внедрения системы безопасности
  • Организационные меры
  • Режим коммерческой тайны
  • Технические меры
  • Итог: как выбрать комплекс мер по информационной безопасности в организации?

Что такое «информационная безопасность предприятия»?

Если говорить просто, то это комплекс мер, которые закрывают три ключевых уровня:

  1. Работоспособность некритичных для бизнеса сервисов — например, сайта компании. Компания должна быть готова к банальным DDoS-атакам и прочим киберсредствам нападения.
  2. Защита критической информации, к которой относятся персональные данные и коммерческие тайны. Задача ИБ-специалистов защитить ИТ-узлы, чтобы организация могла функционировать и при этом не нести репутационные или финансовые потери.
  3. Требования регуляторов. Часто, увидев смету на решения информационной безопасности, руководство компании пытается на них «забить». Государство понимает нежелание организаций тратить деньги на вещи, которые могут не случиться, но, с другой стороны, есть критические процессы, и их необходимо предупреждать, поэтому власти заставляют делать это законодательно.

Три уровня — это минимум, под которым понимается система информационной безопасности организации. Более глобальный вопрос звучит так: кто атакует?

Защита информации. Основы информационной безопасности.

  • малоквалифицированные студенты,
  • спецслужбы или военизированные группировки, для которых нанести критический урон — прямая задача.

От того, в чьей руке «меч», зависит обеспечение информационной безопасности предприятия.

То, что эффективно против студентов, вряд ли остановит хакеров на службе у государства. Это мы увидели в феврале-марте 2022 года: уровень систем информационной безопасности организаций РФ оказался ниже необходимого из-за выросшего качества атак.

Компании это поняли, поэтому за последний год затраты на ИБ существенно выросли.

Как осуществить контроль информационной безопасности?

Есть несколько способов в организации защиты информационной безопасности:

  • Неправильный — когда равномерно тратятся на защиту всей ИТ-инфраструктуры. Чаще всего компании используют именно его.
  • Половинчатый — заключается в следовании нормативам регуляторов, когда компания обеспечивает безопасность тех узлов ИТ-инфраструктуры, которые требует государство.
  • Правильный — когда компания оценила уровень воздействия событий безопасности на бизнес и понимает, какой компонент ИТ-системы нужно защищать в первую очередь. Для этого необходима серьезная зрелость, но зато такой подход дает бизнесу наибольшую устойчивость.

Виды угроз информационной безопасности

Хотя ландшафт угроз информационной безопасности организации постоянно расширяется за счет новых уязвимостей, основные виды атак остаются примерно одинаковыми.

Информационная безопасность. Основы информационной безопасности.

Среди них можно выделить:

  • вредоносное ПО (шифровальщики, вирусы, троянцы);
  • SQL-инъекции (фишинг, DoS, перехват данных).

Опасность атаки определяют по специальной модели угроз, которая состоит из нескольких параметров-вопросов:

  • Какими ресурсами располагают злоумышленники?
  • Сколько времени они готовы потратить на атаку?

Проблема в том, что продвинутый хакер, имея время и ресурсы, попадет в любую систему. Конечно, такое «внимание» уделяют не всем компаниям, и большинство организаций могут подготовиться к возможным проникновениям.

К сожалению, пока что эта «игра» напоминает «Тетрис» — в нее невозможно выиграть.

Средства защиты информации

На сегодня отечественные разработчики создали десятки решений информационной безопасности, которые закрывают все сегменты ИТ-инфраструктуры.

  • к контролю доступа,
  • защите данных и приложений,
  • обнаружению и реагированию на инциденты.

Как правило, многие инструменты идут в связке — это позволяет проводить грамотную политику информационной безопасности организации и обеспечивать комплексную защиту.

Сейчас особенно актуальными считаются межсетевые экраны следующего поколения (Next Generation Firewall, NGFW), которые сочетают несколько решений с единой панелью управления. Это особенно полезно для крупных ИТ-инфраструктур.

Обеспечение информационной безопасности предприятий

В построении системы информационной безопасности организации средства защиты не занимают ведущую роль.

Можно выбрать самое навороченное решение, но бизнес все равно встанет.

Почему? Потому что сначала необходимо разобраться: а какие последствия в принципе критичны.

Об этом необходимо договориться с теми, кто принимает решения, то есть с топ-менеджментом, иначе защита не будет эффективной. Люди, управляющие рисками компании, не воспринимают ИБ-события как неизбежность — это скорее что-то эфемерное, что не случится вовсе, а значит, можно и не вкладываться.

Этапы внедрения системы безопасности

Итак, первым делом необходимо определить критические процессы и договориться об этом с руководством.

Затем анализ продолжается:

  • нужно обозначить те бизнес-процессы, в которых нарушения повлекут недопустимые последствия,
  • понять, какие ИТ-системы их поддерживают.

Финальный этап — определение возможных инструментов защиты.

К недопустимым последствиям относятся:

  1. Утечка данных пользователей;
  2. Техногенные катастрофы;
  3. Остановка обеспечения услуг компании.

Организационные меры

Такие меры порой позволяют избежать громадных инвестиций и при этом сильно облегчить жизнь. Это банальное введение регламентов, которые бы структурировали работу с ИТ-системами.

Скажем, инструкция по работе с интернетом и жесткое требование:

  • не кликать по ссылкам в почте и мессенджерах;
  • менять пароль каждые полгода;
  • не использовать один и тот же пароль для разных сервисов.

Сотрудникам кажется, что эти мелочи отравляют им жизнь, но на деле — помогают избежать больших проблем. К сожалению, такие регламенты чаще всего вводят зрелые компании, у которых система информационной безопасности предприятия и так выстроена на отлично.

Режим коммерческой тайны

Это отдельная область права позволяет легитимно наказывать людей, раскрывших конфиденциальные данные.

В основном она касается случаев, которые относятся к краже информации, но есть и второй момент. Как известно, слабое место ИБ — это человек, поэтому хакеры часто прибегают к социальному инжинирингу, и «точкой входа» может стать сотрудник компании, который даже не подозревает, что его используют.

Стать востребованным специалистом по кибербезопасности можно, выбрав онлайн-курс в каталоге курсов по информационной безопасности.

В этом случае режим коммерческой тайны действует, как окрик родителя, — предупреждающе, и человек поостережется раскрывать даже незначительную информацию.

Технические меры

ИТ-инфраструктура предприятия в идеале напоминает подводную лодку — отсеки разделены переборками, которые задраиваются в случае проблемы и сохраняют судно на плаву.

Читайте также:
Программа чтобы делать шаржи

На практике это реализуется так: у компании есть ИБ-средства для сегментации доступа, при этом большинство пользователей обладают минимальными правами. Если сотрудник имеет доступ к ограниченному числу сервисов, то и злоумышленнику будет сложнее войти в систему.

Итог: как выбрать комплекс мер по информационной безопасности в организации?

Информационная безопасность предприятия — это масштабная задача, успешность которой зависит от множества факторов.

Компания должна понимать:

  • Какие ИБ-события она не может допустить;
  • Удар по каким бизнес-процессам станет критическим;
  • Какие ИТ-системы поддерживают эти процессы.

Затем нужно обеспечить их защиту. И лишь когда прикрыты критические узлы, можно подумать о полноценной безопасности других компонентов.

При этом нельзя забывать о требованиях регуляторов, которые у каждой отрасли свои. В составлении таких требований участвуют ведущие компании сектора, поэтому их можно считать эталонными.

Фото на обложке сгенерировано с помощью нейросети Midjourney

  • Бизнес
  • Кибербезопасность
  • Как защититься от мошенников
  • Лайфхаки

Источник: rb.ru

Меры обеспечения информационной безопасности

Меры обеспечения информационной безопасности

При профессиональной деятельности разных компаний, государственных учреждений, формируются массивы данных, которые нуждаются в защите. Меры информационной безопасности, которые принимаются для защиты информации, находятся в зависимости от нормативно-правовых требований, а также утвержденной внутри конкретной организации концепции противодействия киберугрозам.

Главные категории мер обеспечения информационной безопасности

Выделяется перечень мер информационной безопасности, реализуемый полностью или частично в конкретной компании:

  • морально-этические;
  • правовые (законодательные);
  • технологические;
  • организационные (процедурные, административные);
  • физические;
  • технические (программные, аппаратные, программно-аппаратные).

Морально-этические

К этой категории мер обеспечения информационной безопасности можно причислить стандарты поведения, традиционно сложившиеся или складывающиеся при распространении информационных технологий в обществе.

К морально-этическим мерам информационной безопасности можно отнести неписаные (честность, патриотизм и т. д.), писаные (кодекс, устав организации и т. д.) правила. Морально-этические меры имеют профилактический характер, поэтому организации необходимо проводить работу по формированию внутри коллектива компании здорового морального микроклимата.

Правовые (законодательные)

К этой категории мер обеспечения информационной безопасности принято причислять законодательные акты, приказы и другие нормативные документы, с помощью которых осуществляется регламентация правил обращения с защищаемыми данными. С их помощью также выполняется закрепление прав и обязанностей информационных отношений при получении, обработке, эксплуатации данных. Правовые меры информационной безопасности устанавливают уровень ответственности за нарушение действующих регламентов, что создает барьеры для неправомерного использования данных.

Законодательные меры информационной безопасности имеют строго упреждающий характер, выступают в качестве профилактики нарушений, поэтому необходимо постоянно проводить соответствующую разъяснительную работу с пользователями и сотрудниками, которые обслуживают информационную систему.

Технологические

К этой разновидности мер информационной безопасности можно отнести различные технологические приемы, решения, которые базируются на применении избыточности (информационной, структурной, временной, функциональной и т. д.). Технологические меры направлены на то, что снизить вероятность совершения работниками организации ошибок в рамках полномочий и прав, которые им предоставлены.

Например: повторный ввод ответственных данных, инициализация ответственных операций при наличии разрешения вышестоящих сотрудников, процедуры проверки соответствия реквизитов входящих и исходящих сообщений и т. д.

Организационные

К этой категории мер информационной безопасности относят защитные меры административно-процедурного характера, с помощью которых осуществляется регламентация процессов работы систем обработки информации, эксплуатации их ресурсов, деятельности сотрудников, порядка взаимодействия пользователей и работников организации с информационными системами так, чтобы в максимальной степени затруднить или исключить вероятность реализации угроз безопасности, либо уменьшить объемы возможных потерь при их реализации.

Физические

Физические меры обеспечения информационной безопасности базируются на использовании всевозможных электронных, электронно-механических, механических устройств и конструкций, основное предназначение которых – формирование действенных физических препятствий на вероятных путях проникновения и получения доступа потенциальными нарушителями к компонентам информационной системы и защищаемым данным.

К физическим мерам информационной безопасности также можно отнести средства визуального наблюдения, связи, охранной сигнализации.

Технические

Подобные меры информационной безопасности представлены в виде разного электронного оборудования и специализированного программного обеспечения, выполняющих защитные функции (совместно с иными средствами защиты информации или самостоятельно).

Основные меры безопасности

К наиболее важным мерам обеспечения информационной безопасности также принято относить:

  • криптографическая защита;
  • выявление кибератак и формирование нескольких уровней защиты от них;
  • разграничение доступа к системам с защищаемой информацией;
  • использования для защиты инфосистемы межсетевых экранов;
  • использование лицензионного антивирусного ПО;
  • резервное копирование информации и приложения;
  • обеспечение защиты от утечек информации;
  • протоколирование, аудит;
  • защита данных, которые передаются по проводным и беспроводным сетям.

Источник: cisoclub.ru

Как проверяет ФСБ или правила правильной эксплуатации СКЗИ для защиты персональных данных

Как проверяет ФСБ или правила правильной эксплуатации СКЗИ для защиты персональных данных

Федеральная служба безопасности осуществляет проверку операторов в том случае, если в примененных средствах защиты используется криптография. Федеральный закон № 152-ФЗ «О персональных данных» (далее – ФЗ № 152-ФЗ) обязует оператора персональных данных (далее – ПДн) обеспечивать конфиденциальность ПДн.

Стоит понимать, что обеспечение конфиденциальности не подразумевает обязательное применение средств шифрования. Применение средств криптографической защиты информации (далее – СКЗИ) актуально в том случае, если это установлено в техническом задании, следует из Модели угроз (МУ) и/или Модели нарушителя, а также при передаче персональных данных по линиям связи, выходящим за пределы контролируемой зоны оператора.

Правильный выбор средств криптографической защиты информации позволяет обеспечить не только соблюдение нормативно-правовых актов, но и безопасность персональных данных, передаваемых по каналам связи с использованием таких средств. Подбор СКЗИ должен осуществляться с учетом требований нормативно-правовых актов, особенностей инфраструктуры информационной системы персональных данных, выявленных актуальных угроз персональным данным и необходимых функциональных характеристик СКЗИ.

Классы СКЗИ

Согласно приказу ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – приказ ФСБ №378) в соответствии с уровнем защищенности персональных данных, обрабатываемых в информационных системах персональных данных, должен быть определен класс СКЗИ. В выборе класса СКЗИ важно опираться на Модель нарушителя и его возможности при реализации атак на информационную систему персональных данных.

Классы СКЗИ и соответствующие возможности нарушителей согласно приказу ФСБ № 378 представлены в таблице 1.

Читайте также:
Разработанную программу можно использовать

СКЗИ определенного класса применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных для предыдущего класса и не менее одной данного класса.

Каждый следующий класс СКЗИ включает в себя возможности нарушителей предыдущего класса.

Таблица 1 – Классы СКЗИ и соответствующие возможности нарушителей

Возможности нарушителей

Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ

Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ

Проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее — контролируемая зона)

Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

  • внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее — СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
  • внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ.

Проведение атак на этапе эксплуатации СКЗИ на:

  • персональные данные;
  • ключевую, аутентифицирующую и парольную информацию СКЗИ;
  • программные компоненты СКЗИ;
  • аппаратные компоненты СКЗИ;
  • программные компоненты СФ, включая программное обеспечение BIOS;
  • аппаратные компоненты СФ;
  • данные, передаваемые по каналам связи;
  • иные объекты, которые установлены при формировании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее — АС) и программного обеспечения (далее — ПО).

Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть «Интернет») информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:

  • находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
  • специально разработанных АС и ПО.

Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

  • каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;
  • каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ.

Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети.

Использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее — штатные средства).

Проведение атаки при нахождении в пределах контролируемой зоны.

Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

  • документацию на СКЗИ и компоненты СФ;
  • помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее — СВТ), на которых реализованы СКЗИ и СФ.

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

  • сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;
  • сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;
  • сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.

Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.

Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.

Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.

Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.

Возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

При выборе СКЗИ стоит обратить внимание на наличие сертификата соответствия требованиям ФСБ России и его актуальность. В процессе эксплуатации СКЗИ важно обеспечивать контроль использования СКЗИ и актуальности срока действия сертификата соответствия.

Контроль и проверка использования СКЗИ

Контроль использования СКЗИ, применяемых для обеспечения безопасности ПДн, проводится на основании следующих нормативно-методических документов (в том числе с учетом информационного письма ФСБ России от 21.06.2016 «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных»):

  • федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ №152);
  • приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – приказ ФСБ № 378);
  • приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (далее – Положение ПКЗ-2005);
  • «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152 (далее – приказ ФАПСИ №152);
  • «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015).
Читайте также:
Общий план аудита и программа аудита могут

В подготовке к самой проверке ФСБ особого смысла нет. Построение комплексной системы защиты персональных данных – процесс, требующий времени и определенных компетенций. Наличие документов (например: приказов, инструкций, журналов) необходимо, но для проверки этого недостаточно. Необходимо осуществлять ведение журналов и систематически проводить проверки по исполнению положений локально-нормативных актов, регламентирующих эксплуатацию СКЗИ. В случае отсутствия таких процедур подготовка к проверке приведет к пустой трате времени, а проверяющие все равно выявят все ошибки эксплуатации СКЗИ, способных впоследствии привести к утере, несанкционированному доступу, уничтожению и блокированию ПДн.

Федеральная служба безопасности проверяет условия обработки и защиты персональных данных с использованием средств криптографической защиты информации. Более детальная информация приведена в таблице 2.

Таблица 2 – Соответствие требований и перечня предоставляемых документов

Перечень предоставляемых документов

Организация системы организационных мер защиты персональных данных.

  • о назначении ответственного пользователя СКЗИ;
  • о перечне лиц, допущенных к работе с СКЗИ;
  • об утверждении инструкций;
  • иные.
  • модель нарушителя ИСПДн, содержащая возможности нарушителей в соответствии с приказом ФСБ №378.

Смысл данного приказа заключается в обосновании выбора класса СКЗИ.

Организация системы криптографических мер защиты информации.

  • Модель угроз на каждую ИСПДн.
  • Документы по поставке СКЗИ оператору.

Разрешительная и эксплуатационная документация на СКЗИ.

  • Лицензии на СКЗИ.
  • Сертификаты соответствия на СКЗИ.
  • Формуляры на СКЗИ.

Следует предоставлять в печатном виде.

Требования к обслуживающему персоналу (требование к лицам, допущенным к работе).

  • Утвержденный список лиц, допущенных к работе с СКЗИ.
  • Документы, подтверждающие функциональные обязанности сотрудников.
  • Журнал учета пользователей криптосредств.
  • Документы, подтверждающие прохождение обучения сотрудников.
  • ответственного за эксплуатацию средств криптографической защиты информации;
  • по обращению со средствами криптографической защиты информации;
  • пользователя и администратора СКЗИ.
  • ввода СКЗИ в эксплуатацию;
  • приема-передачи средств криптографической защиты;
  • установления уровня защищенности ПДн, обрабатываемых в информационных системах персональных данных.

В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.

  • установки средств защиты информации на все рабочие станции.

Следует опечатать рабочие станции

  • поэкземплярного учета СКЗИ;
  • учета и выдачи носителей с ключевой информацией.

Оценка соответствия применяемых СКЗИ

  • Средства СКЗИ.
  • Программное обеспечение СКЗИ (дистрибутив).
  • Эксплуатационная документация на СКЗИ.
  • Помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним.
  • Инструкции, регламентирующие правила и процедуры доступа в помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним.
  • Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ.

Необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты.

Перечисленные требования и перечень предоставляемых документов составлены на основании «Типового регламента проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утв. Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173.

С целью прохождения проверки ФСБ оператор при эксплуатации СКЗИ в обязательном порядке должен:

  1. Обеспечивать контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, согласно эксплуатационной документации производителя.
  2. Обеспечивать контроль за актуальностью сертификата соответствия ФСБ России и лицензии на применяемое СКЗИ.
  3. Издавать локально-нормативные акты, регламентирующие порядок, правила обращения и обслуживания СКЗИ.
  4. Обеспечивать физическую защиту средств вычислительной техники, содержащих СКЗИ или их компоненты, аппаратных СКЗИ и ключевых носителей информации.
  5. Ограничивать физический и логический доступ к СКЗИ и ключевым носителям информации.
  6. Обеспечивать контроль соответствия положений организационно-распорядительной документации реальным условиям эксплуатации СКЗИ и информационной системы персональных данных в целом.
  7. Обеспечивать контроль работоспособности и правильности функционирования СКЗИ.

Мероприятия для обеспечения безопасности ПДн

Мероприятия, необходимые для обеспечения безопасности персональных данных, должны быть реализованы с учетом особенностей инфраструктуры информационной системы персональных данных, актуальных угроз безопасности персональным данным и в соответствии с требованиями нормативно-правовых документов, упомянутых выше. Мы бы рекомендовали провести полное обследование всей информационной инфраструктуры, оттолкнувшись от которого можно грамотно построить план по защите персональных данных организации. Далее сделать акцент на подготовке документов именно к проверке ФСБ, а также провести необходимые работы по монтажу, установке и настройке средств защиты информации. Стоит отметить, что монтаж и установку СКЗИ может производить исключительно организация, осуществляющая работы по лицензируемым видам деятельности согласно Постановлению Правительства Российской Федерации от 16 апреля 2012 г. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

При нарушении требований по обеспечению персональных данных, предусмотренных нормативно-правовыми актами, предусмотрена административная ответственность. Для физического лица, как правило, в среднем предусмотрены штрафы около тысячи — двух тысяч рублей, для юридического лица – от двадцати тысяч рублей. При невыполнении множества требований нормативно-правовых актов другими регуляторами, например, Роскомнадзором, могут накладываться более серьезные штрафы, суммы которых в совокупности могут привести к значительным финансовым потерям.

При подготовке к проверке регулятора к типовым нарушениям относятся:

— Отсутствие актуального сертификата соответствия СКЗИ;

— Отсутствие журналов учета или нерегулярное их заполнение;

— Отсутствие дистрибутивов СКЗИ, формуляров, документов;

— Недостаточные меры по обеспечению физической защиты;

— Использование СКЗИ класса ниже необходимого.

— Некорректно разработанная модель угроз.

Остались вопросы? Нужна консультация? Необходимо выполнить работы по внедрению СКЗИ?
Напишите нам! Сегодня обсудим, а завтра начнем выполнять!

Источник: www.ec-rs.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru