Поддержка заказчиков в выполнении требований Закона о защите ПДн
1. Поддержка Заказчиков,
в выполнении требований 152-ФЗ
с учетом Приказа № 58 ФСТЭК
Филатов Дмитрий Владимирович,
Заместитель генерального директора по ИТ
2. Противоречия?
Правительство РФ, № 781 «Положением по обеспечению
безопасности персональных данных при их обработке в
информационных системах персональных данных».
Пункт 5 «Средства защиты информации, применяемые в
информационных системах, в установленном порядке
проходят процедуру оценки соответствия».
Мы рекомендуем организации проводить добровольную
аттестацию своих информационных систем персональных
данных с помощью компаний-лицензиатов, в случаях, когда
риск несоответствия организационно-распорядительных
документов и ИСПДн требованиям регуляторов может иметь
критические последствия.
4. Управление доступом
Идентификация и проверка подлинности пользователя при
входе в систему по идентификатору (коду) и паролю.
Идентификация терминалов, технических средств по
логическим именам.
Идентификация программ, томов, каталогов, файлов, записей,
полей записей по именам.
Контроль доступа пользователей к защищаемым ресурсам в
соответствии с матрицей доступа.
5. Регистрация и учет
Регистрация входа (выхода) пользователей в систему
(из системы), либо регистрация загрузки и инициализации
операционной системы и ее программного останова.
Регистрация выдачи печатных (графических)
документов на бумажный носитель. В параметрах
регистрации указываются дата и время выдачи (обращения к
подсистеме вывода), спецификация устройства выдачи,
краткое содержание документа (наименование, вид, шифр,
код), идентификатор пользователя, запросившего документ.
6. Регистрация и учет
Регистрация запуска (завершения) программ и процессов
(заданий, задач), предназначенных для обработки
персональных данных.
Регистрация попыток доступа программных средств
(программ, процессов, задач, заданий) к защищаемым файлам.
В параметрах регистрации указываются дата и время попытки
доступа к защищаемому файлу с указанием ее результата
(успешная, неуспешная).
7. Регистрация и учет
Регистрация попыток доступа программных средств к
дополнительным защищаемым объектам доступа (терминалам,
техническим средствам, узлам сети, линиям (каналам) связи,
внешним устройствам, программам, томам, каталогам, файлам,
записям, полям записей).
Очистка (обнуление, обезличивание) освобождаемых областей
оперативной памяти информационной системы и внешних
накопителей.
8. Обеспечение целостности
Обеспечение целостности программных средств системы
защиты персональных данных, обрабатываемой информации, а
также неизменность программной среды. Целостность системы
защиты персональных данных проверяется при загрузке по
контрольным суммам компонентов системы;
Наличие средств восстановления системы защиты
персональных данных, предусматривающих ведение двух
копий программных компонентов средств защиты информации,
их периодическое обновление и контроль работоспособности.
9. Общие требования
Защищенный канал до рабочего места.
Защищенный канал между сервером приложений и СУБД.
Подписывание исполняемого кода и подсчет контрольных
сумм (выполняется в рамках специальных проектов).
10. Мероприятия NAUMEN
Создан в начале 2009 года Отдел технической
защиты информации, проведены специальные
мероприятия.
Оформлены заявки на Лицензии ФСТЭК
(деятельность по технической защите
конфиденциальной информации и разработка
технических средств защиты конфиденциальной
информации).
Наличие специального программного
обеспечения сертифицированного ФСТЭК.
11. Наши предложения
Мы предлагаем пакет Организационно-
распорядительной документации для
пользователей информационных систем NAUMEN
в рамках специального предложения.
Мы готовы рекомендовать партнеров, которые
имеют неограниченный доступ к нашей
проектно-технической документации.