+7 (495) 790-79-79
Безопасность

Безопасность

Одной из самых критичных задач любого российского предприятия, которое обрабатывает персональные данные или другую информацию ограниченного доступа, является обеспечение информационной безопасности.

Согласно законодательству Российской Федерации, основными документами, определяющими требования к защите информации, являются:

Самостоятельная реализация требований информационной безопасности становится, как правило, технически сложной и затратной задачей для предприятия, так как в короткие сроки необходимо создать и в дальнейшем поддерживать собственную экспертизу в данном вопросе, а именно:

По запросу компания «Техносерв» оказывает заказчикам следующую экспертную поддержку в решении задачи защиты данных:

Два изолированных сегмента Техносерв Cloud

Параметр сегмента

Защищенный

Закрытый

Среды виртуализации

OpenStack-KVM, VMware

VMware

Назначение

  • Размещение информационных систем, не предъявляющих специализированных требований к средствам виртуализации
  • Размещение информационных систем компаний и организаций, в том числе участвующих в процессах обработки данных держателей банковских карт

Размещение государственных информационных систем (ГИС) и информационных систем персональных данных (ИСПДн) с наивысшими требованиями к информационной безопасности

Соответствие законодательству РФ

Приказ №21 ФСТЭК России для обеспечения 3-го и 4-го уровней защищенности ПДн

  • Приказ №17 ФСТЭК России для обеспечения 1-го класса защиты ГИС
  • Приказ №21 ФСТЭК России для обеспечения 1-го уровня защищенности ПДн включительно
  • Закон №152-ФЗ

Сертификация/

Аттестация

PCI DSS

Стандарт безопасности данных индустрии платежных карт

  • Аттестат соответствия требованиям по безопасности информации для размещения информационных систем и систем, обрабатывающих персональные данные до 1-го класса/уровня защищенности
  • Лицензии ФСТЭК и ФСБ России на осуществление разработки и (или) производства средств защиты конфиденциальной информации, на деятельность по технической защите конфиденциальной информации

Информационная безопасность

  • Идентификация и управление доступом к ресурсам
  • Межсетевое экранирование
  • Защита от DDoS-атак

Аппаратные и программные средства обеспечения информационной безопасности сертифицированы ФСТЭК и ФСБ России

Организационные меры защиты

Обеспечение физической безопасности ИТ-инфраструктуры:

  • Контроль и управление доступом в дата-центр
  • Охранно-пожарная сигнализация
  • Автоматическое пожаротушение
  • Видеонаблюдение
  • Сейфовые стойки

Дополнительные меры защиты:

  • Регулярный мониторинг и тестирование сети, а также систем и процессов обеспечения безопасности
  • Наличие и поддержка политик безопасности, стандартов конфигурации
  • Наличие процессов управления рисками, управления уязвимостями, расследования инцидентов
  • Внутренние и внешние аудиты безопасности платформы

СПРАВОЧНАЯ ИНФОРМАЦИЯ

Классификация ГИС

Классификация ГИС по четырем установленным классам защищенности проводится в зависимости от значимости, обрабатываемой в ней информации и масштаба ГИС: федерального, регионального, объектового (см. Табл.1).

Уровень значимости информации определяется степенью возможного ущерба для обладателя информации или оператора от нарушения конфиденциальности (неправомерного доступа, копирования, предоставления или распространения), целостности (неправомерных уничтожений или модифицирований) или доступности (неправомерного блокирования) информации. Степень возможного ущерба определяется обладателем информации или оператором самостоятельно (экспертным или иными методами).


Определение класса защищенности ГИС

Уровень значимости (УЗ) информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К 1

К 1

К 1

УЗ 2

К 1

К 2

К 2

УЗ 3

К 2

К 3

К 3

УЗ 4

К 3

К 3

К 4


Определение уровня защищенности ПДн

Критерии ИСПДн

Категория ПДн по степени информативности

1-я категория
Специальные ПДн

2-я категория
Биометрические ПДн

4-я категория

Иные ПДн

3-я категория
Общедоступные ПДн

Информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях; о здоровье и интимной жизни субъекта.

Информация, по которой можно идентифицировать субъекта, охарактеризовать биологические или физиологические особенности (например, фотография или отпечатки пальцев), а также получить о нем дополнительные сведения (например, ФИО, адрес и сведения о заработках).

Общедоступные или обезличенные ПДн. Общедоступные ПДн – те, которые в соответствии с законодательством не могут подвергаться сокрытию – не могут быть конфиденциальными (например, сведения о доходах представителей органов государственной и муниципальной власти), либо ПДн, доступ к которым предоставлен с разрешения самого субъекта, и обезличенная информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.

Сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом. Информация, позволяющая только определить субъекта (например, фамилия, имя и дата рождения).

Сотрудники оператора ПДн

нет

нет

да

 

нет

нет

да

нет

нет

да

Количество объектов ПДн

>100 тыс.

≤100 тыс.

 

 

>100 тыс.

≤100 тыс.

 

>100 тыс.

≤100 тыс.

 

Тип актуальных угроз

1

1 УЗ

1 УЗ

1 УЗ

1 УЗ

1 УЗ

2 УЗ

2 УЗ

2 УЗ

2 УЗ

2 УЗ

2

1 УЗ

2 УЗ

2 УЗ

2 УЗ

2 УЗ

3 УЗ

3 УЗ

2 УЗ

3 УЗ

3 УЗ

3

2 УЗ

3 УЗ

3 УЗ

3 УЗ

3 УЗ

4 УЗ

4 УЗ

4 УЗ

4 УЗ

4 УЗ

Чем выше выбранный класс защищенности ГИС, тем больше мер по обеспечению информационной безопасности требуется выполнить для нейтрализации угроз безопасности. Если по ошибке определить более высокий класс защищенности, то, соответственно, придется строить более дорогую систему защиты информации.  Выбор более низкого класса защищенности может привести к нарушению требования законодательства.

Категории и уровни защищенности ПДн

Закон №152-ФЗ определяет четыре категории ПДн, которые разделяются по степени информативности (см. Табл.2). Классификация ИСПДн производится в соответствии с категорией обрабатываемых ПДн.

Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определены четыре уровня защищенности Персональных данных, различающихся составом необходимых к выполнению требований по защите информационных систем.

Таким образом, уровень защищенности ПДн является комплексным показателем с набором требований, нейтрализующих угрозы безопасности для ИСПДн.

Каждый оператор обязан определить для своей ИСПДн требуемый законодательством уровень защищенности, исходя из четырех критериев, характеризующих информационную систему (см. Табл.2).


Задать вопрос

У вас есть вопрос, идея, предложение или хотите стать нашим партнером? Просто отправьте нам сообщение в свободной форме, и в течение рабочего дня мы свяжемся с вами.

ФИО*
Компания
Категория вопроса
E-mail*
Телефон
Вопрос*

* - Поля, обязательные для заполнения

Авторизация

Логин (e-mail)
Пароль
Забыли пароль?

Авторизация доступна заказчикам Техносерв Cloud. Чтобы стать нашим клиентом, свяжитесь с нами. Спасибо!

Восстановление пароля

Логин (e-mail)

На ваш e-mail будет отправлено письмо со ссылкой на страницу смены пароля

Контакты службы поддержки:
+7 (495) 790-79-79
support@technoserv.cloud