Безопасность

Одной из самых критичных задач любого российского предприятия, которое обрабатывает персональные данные или другую информацию ограниченного доступа, является обеспечение информационной безопасности.

Согласно законодательству Российской Федерации, основными документами, определяющими требования к защите информации, являются:

Закон №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Закон №152-ФЗ «О персональных данных».
Приказы ФСТЭК России №17 и №21. Эти документы определили требования для выполнения упомянутых выше законов.
Закон №242-ФЗ, который уточняет №152-ФЗ и в части 5 говорит о необходимости размещения ПДн на территории РФ.

Самостоятельная реализация требований информационной безопасности становится, как правило, технически сложной и затратной задачей для предприятия, так как в короткие сроки необходимо создать и в дальнейшем поддерживать собственную экспертизу в данном вопросе, а именно:

закупить и установить сертифицированные средства защиты информации ограниченного доступа и/или ПДн;
внедрить в организацию регламенты обеспечения информационной безопасности;
обучить и сертифицировать администраторов информационной безопасности;
регулярно проводить аттестационные испытания (для ГИС);
периодически оценивать эффективность и необходимость модернизации системы защиты информации и/или ПДн.

По запросу компания «Техносерв» оказывает заказчикам следующую экспертную поддержку в решении задачи защиты данных:

Определяет требуемый уровень защищенности и в соответствии с этим предлагает вариант реализации платформы Техносерв Cloud с размещением в соответствующем изолированном сегменте (защищенном или закрытом).
Разрабатывает необходимую документацию для выполнения требований законодательства РФ и аттестации информационных систем в регулирующем органе.
Проводит аттестацию информационных систем на правах регулирующего органа, так как обладает всеми необходимыми сертификатами соответствия требованиям законодательства РФ и лицензиями ФСТЭК и ФСБ России.
Консультирует по любым вопросам для решения данной задачи.

Два изолированных сегмента Техносерв Cloud

Параметр сегмента	Защищенный	Закрытый
Среды виртуализации	OpenStack-KVM, VMware	VMware
Назначение	Размещение информационных систем, не предъявляющих специализированных требований к средствам виртуализации Размещение информационных систем компаний и организаций, в том числе участвующих в процессах обработки данных держателей банковских карт	Размещение государственных информационных систем (ГИС) и информационных систем персональных данных (ИСПДн) с наивысшими требованиями к информационной безопасности
Соответствие законодательству РФ	Приказ №21 ФСТЭК России для обеспечения 3-го и 4-го уровней защищенности ПДн	Приказ №17 ФСТЭК России для обеспечения 1-го класса защиты ГИС Приказ №21 ФСТЭК России для обеспечения 1-го уровня защищенности ПДн включительно Закон №152-ФЗ
Сертификация/ Аттестация	PCI DSS Стандарт безопасности данных индустрии платежных карт	Аттестат соответствия требованиям по безопасности информации для размещения информационных систем и систем, обрабатывающих персональные данные до 1-го класса/уровня защищенности Лицензии ФСТЭК и ФСБ России на осуществление разработки и (или) производства средств защиты конфиденциальной информации, на деятельность по технической защите конфиденциальной информации
Информационная безопасность	Идентификация и управление доступом к ресурсам Межсетевое экранирование Защита от DDoS-атак	Аппаратные и программные средства обеспечения информационной безопасности сертифицированы ФСТЭК и ФСБ России
Организационные меры защиты	Обеспечение физической безопасности ИТ-инфраструктуры: Контроль и управление доступом в дата-центр Охранно-пожарная сигнализация Автоматическое пожаротушение Видеонаблюдение Сейфовые стойки	Дополнительные меры защиты: Регулярный мониторинг и тестирование сети, а также систем и процессов обеспечения безопасности Наличие и поддержка политик безопасности, стандартов конфигурации Наличие процессов управления рисками, управления уязвимостями, расследования инцидентов Внутренние и внешние аудиты безопасности платформы

СПРАВОЧНАЯ ИНФОРМАЦИЯ

Классификация ГИС

Классификация ГИС по четырем установленным классам защищенности проводится в зависимости от значимости, обрабатываемой в ней информации и масштаба ГИС: федерального, регионального, объектового (см. Табл.1).

Уровень значимости информации определяется степенью возможного ущерба для обладателя информации или оператора от нарушения конфиденциальности (неправомерного доступа, копирования, предоставления или распространения), целостности (неправомерных уничтожений или модифицирований) или доступности (неправомерного блокирования) информации. Степень возможного ущерба определяется обладателем информации или оператором самостоятельно (экспертным или иными методами).

Определение класса защищенности ГИС

Уровень значимости (УЗ) информации	Масштаб информационной системы
Уровень значимости (УЗ) информации	Федеральный	Региональный	Объектовый
УЗ 1	К 1	К 1	К 1
УЗ 2	К 1	К 2	К 2
УЗ 3	К 2	К 3	К 3
УЗ 4	К 3	К 3	К 4

Определение уровня защищенности ПДн

Критерии ИСПДн		Категория ПДн по степени информативности
		1-я категория Специальные ПДн			2-я категория Биометрические ПДн	4-я категория Иные ПДн			3-я категория Общедоступные ПДн
		Информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях; о здоровье и интимной жизни субъекта.			Информация, по которой можно идентифицировать субъекта, охарактеризовать биологические или физиологические особенности (например, фотография или отпечатки пальцев), а также получить о нем дополнительные сведения (например, ФИО, адрес и сведения о заработках).	Общедоступные или обезличенные ПДн. Общедоступные ПДн – те, которые в соответствии с законодательством не могут подвергаться сокрытию – не могут быть конфиденциальными (например, сведения о доходах представителей органов государственной и муниципальной власти), либо ПДн, доступ к которым предоставлен с разрешения самого субъекта, и обезличенная информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.			Сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом. Информация, позволяющая только определить субъекта (например, фамилия, имя и дата рождения).
Сотрудники оператора ПДн		нет	нет	да		нет	нет	да	нет	нет	да
Количество объектов ПДн		>100 тыс.	≤100 тыс.			>100 тыс.	≤100 тыс.		>100 тыс.	≤100 тыс.
Тип актуальных угроз	1	1 УЗ	1 УЗ	1 УЗ	1 УЗ	1 УЗ	2 УЗ	2 УЗ	2 УЗ	2 УЗ	2 УЗ
	2	1 УЗ	2 УЗ	2 УЗ	2 УЗ	2 УЗ	3 УЗ	3 УЗ	2 УЗ	3 УЗ	3 УЗ
	3	2 УЗ	3 УЗ	3 УЗ	3 УЗ	3 УЗ	4 УЗ	4 УЗ	4 УЗ	4 УЗ	4 УЗ

Чем выше выбранный класс защищенности ГИС, тем больше мер по обеспечению информационной безопасности требуется выполнить для нейтрализации угроз безопасности. Если по ошибке определить более высокий класс защищенности, то, соответственно, придется строить более дорогую систему защиты информации. Выбор более низкого класса защищенности может привести к нарушению требования законодательства.

Категории и уровни защищенности ПДн

Закон №152-ФЗ определяет четыре категории ПДн, которые разделяются по степени информативности (см. Табл.2). Классификация ИСПДн производится в соответствии с категорией обрабатываемых ПДн.

Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определены четыре уровня защищенности Персональных данных, различающихся составом необходимых к выполнению требований по защите информационных систем.

Таким образом, уровень защищенности ПДн является комплексным показателем с набором требований, нейтрализующих угрозы безопасности для ИСПДн.

Каждый оператор обязан определить для своей ИСПДн требуемый законодательством уровень защищенности, исходя из четырех критериев, характеризующих информационную систему (см. Табл.2).

Задать вопрос

У вас есть вопрос, идея, предложение или хотите стать нашим партнером? Просто отправьте нам сообщение в свободной форме, и в течение рабочего дня мы свяжемся с вами.

Авторизация

Логин (e-mail)

Пароль

Забыли пароль?

Авторизация доступна заказчикам Техносерв Cloud. Чтобы стать нашим клиентом, свяжитесь с нами. Спасибо!

Восстановление пароля

Логин (e-mail)

На ваш e-mail будет отправлено письмо со ссылкой на страницу смены пароля

Контакты службы поддержки:
+7 (495) 790-79-79
support@technoserv.cloud