Практика внедрения систем защиты персональных данных
5 сентября 2009 ИБИнформационная безопасность
Алексей Липатов, технический руководитель направления отдела информационной безопасности компании Открытые Технологии
В процессе реализации проекта компания может столкнуться и с некоторыми сложностями. Среди них - недостаточная поддержка проекта со стороны высшего руководства, финансирование проекта в неполном объеме, неэффективная организационная структура обеспечения безопасности ПД и информационной безопасности в целом, неформализованные и недокументированные организационные меры защиты данных, а также отсутствие взаимодействия структурных подразделений, задействованных в обеспечении ИБ в организации, и должного информирования и обучения персонала.
Избежать этого поможет грамотное и эффективное управление проектом, слаженная проектная команда, осуществление финансирования на должном уровне, а также поддержка проекта по обеспечению безопасности ПД со стороны руководства.
С принятием Федерального закона от 27.07.06 г. № 152-ФЗ "О персональных данных" большинство российских организаций столкнулось с необходимостью применения комплекса мер и средств защиты персональных данных (ПД). Рассмотрим более подробно практику внедрения и эксплуатации систем защиты, призванных обеспечить безопасность информации.
Для обеспечения безопасности ПД в организации требуется построить систему защиты персональных данных. В ходе ее создания нужно предусмотреть комплекс организационных, технических, программных мер и средств по защите ПД при автоматизированной обработке, хранении и передаче.
Внедрение системы защиты персональных данных осуществляется с учетом законодательных требований РФ по информационной безопасности и производится в следующем порядке.
Первый этап (разработка системы защиты ПД)
На первом этапе проекта (разработка системы) проводится обследование информационной системы персональных данных (ИСПД) на предмет выполнения требований по обеспечению их безопасности и определения требований по защите информации. Производится сбор и предварительная обработка исходных данных о системе и принятых мерах защиты, составляется перечень защищаемых информационных активов; анализируется эффективность существующих защитных мер и степень их соответствия требованиям нормативно-методических документов ФСТЭК и ФСБ России. Далее формируется частная модель угроз безопасности ПД применительно к конкретным условиям функционирования, определяется класс системы.
Вслед за этим разрабатываются предложения по необходимым защитным мерам как организационного, так и технического характера.
Непосредственное определение требований по обеспечению безопасности данных осуществляется в рамках технического задания (ТЗ) на создание системы защиты ПД. Такое ТЗ должно содержать:
- Исходные данные о системе в техническом, программном, информационном и организационном аспектах.
- Требования к создаваемой системе, формируемые на основе положений РД ФСТЭК и ФСБ России и установленного класса системы (либо частной модели угроз ИБ - для специальных систем).
- Перечень руководящих и нормативных документов, в соответствии с которыми будет создаваться система защиты ПД.
- Перечень предполагаемых к использованию средств обеспечения безопасности.
- Состав, содержание, сроки и результаты проведения работ по этапам создания системы.
После оформления технического задания необходимо осуществить разработку технического проекта и рабочей документации. В частности, подготовить пояснительную записку, излагающую принятые решения по организационным мерам, а также внедряемым техническим и программным средствам обеспечения безопасности ПД.
Второй этап (внедрение системы защиты ПД)
На втором этапе проекта -этапе непосредственного внедрения системы защиты персональных данных - проводится поставка средств защиты информации, их пусконаладка, внедрение организационных мер защиты, обучение сотрудников по ИБ, опытная эксплуатация системы и ее аттестация на соответствие требованиям по безопасности.
При построении системы следует учитывать некоторые важные моменты.
Так, при создании подсистемы защиты от несанкционированного доступа на базе встроенных, например, в операционные системы механизмов защиты такие механизмы должны пройти сертификационные испытания в системе сертификации ФСТЭК России на отсутствие недеклари-рованных возможностей.
При построении системы обнаружения вторжений следует использовать также системы обнаружения атак, сертифицированные уже ФСБ России. А для проведения организацией, имеющей информационные системы класса К1, К2 и К3, мероприятий по защите ПД своими силами в штате компании должно быть не менее двух специалистов, имеющих диплом о высшем образовании в области ИБ или свидетельство государственного образца о повышении квалификации в сфере защиты информации, а также лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Для защиты системы шифровальными средствами и обслуживания их своими силами организация должна получить еще лицензию ФСБ России на техническое обслуживание шифровальных средств.
Доказано на опыте
Внедрение системы защиты персональных данных в соответствии с предлагаемой выше методологией позволяет получить организации целый ряд преимуществ, таких как: снижение рисков, связанных с регуляторами, объективное повышение уровня ИБ корпоративной системы и, как следствие, доверие к организации со стороны партнеров и клиентов.
Предыдущая новость:
Защита персональных данных
Следующая новость:
ЦОД. Cэкономить и не навредить