Правда и мифы №152-ФЗ. Как выполнить требования закона малой кровью?::Журнал СА 3.2011
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6143
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6855
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4139
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2978
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6282
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3433
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12336
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13968
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9099
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7052
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5361
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4593
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3400
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3127
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3378
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 2999
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Правда и мифы №152-ФЗ. Как выполнить требования закона малой кровью?

Архив номеров / 2011 / Выпуск №3 (100) / Правда и мифы №152-ФЗ. Как выполнить требования закона малой кровью?

Рубрика: БИТ. Бизнес & Информационные технологии /  Внедрение

Вячеслав Медведев ВЯЧЕСЛАВ МЕДВЕДЕВ, аналитик компании «Доктор Веб»

Правда и мифы №152-ФЗ
Как выполнить требования закона малой кровью?

Вопрос об актуальности проблемы выполнения требований Федерального закона №152-ФЗ «О персональных данных» на данный момент является одним из основных как для руководителей компаний и организаций, так и для системных администраторов

Окончательное вступление положений закона в силу (сам закон вступил в силу давно, но об этом далее) было в очередной раз перенесено (в этот раз до 16 июля 2011 года), но нет никакой уверенности, что этот срок не будет перенесен вновь. При этом необходимо помнить, что:

  • закон вступил в силу достаточно давно, отсрочка касается только сетей, существовавших на момент принятия закона, – все организации, сети которых созданы после вступления в силу данного закона, уже должны выполнить все его требования;
  • положение закона о том, что оператор обязан принимать необходимые организационные и технические меры для защиты персональных данных, не отменено и действует в полной мере.

Не будем подробно останавливаться на причинах, приводящих к сложностям в реализации требований этого закона, – они хорошо известны и описаны во многих публикациях. Вместо этого попробуем посмотреть, как можно выполнить требования закона «малой кровью», с помощью имеющихся специалистов и оставаясь в рамках бюджета.

Прежде всего, необходимо дать несколько определений, так как уже из непонимания определений начинается мифология, связанная с законом.

В соответствии с положениями закона, оператором является практически любое физическое или юридическое лицо – исключений достаточно мало. В свою очередь понятие «обработка персональных данных» включает в себя не только их сбор, накопление и хранение, но и такие действия, как удаление, уточнение, блокирование данных. Таким образом, даже если вы на своей машине только уничтожаете данные (например, удаляете письма, приходящие вам по почте, если эти письма содержат персональные данные), ваш компьютер уже должен быть защищен в соответствии с категорией этих персональных данных.

И о вышеупомянутых исключениях. Действие закона не распространяется на действия по обработке архивных документов, в соответствии с законодательством об архивном деле в Российской Федерации.

Еще одним мифом, связанным с Федеральным законом № 152-ФЗ, является утверждение о том, что неподача уведомления о намерении обработки персональных данных автоматически освобождает от необходимости их защиты. В действительности Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных, имеет право запрашивать все необходимые данные от оператора (которым, напомним, может являться и простой пользователь), а также предпринимать все необходимые меры вне зависимости от подачи уведомления – вплоть до прекращения обработки персональных данных, подачи в суд исковых заявлений и привлечения к административной ответственности.

И, наконец, необходимо ввести понятие персональных данных. В соответствии с Евродирективой (а закон был принят вследствие присоединения 7 ноября 2001 года Российской Федерации к Европейской конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах), для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованными либо оператором, либо любым иным лицом для идентификации указанного лица. Таким образом, персональными могут быть любые данные, которые могут привести к идентификации человека, а не только данные паспорта.

При этом в соответствии с законом обязанность представлять доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. В силу вышеизложенного именно оператор должен определять, что является персональными данными, а что нет, и именно оператор должен собирать доказательства своей правоты. Это притом что возможность идентифицировать человека на основании тех или иных данных зависит от очень многих факторов, и в первую очередь от финансовых возможностей того, кто задастся такой целью.

Также на оператора возлагается ответственность за составление списка угроз, определение их значимости и в конечном итоге, за правильность классификации информационной системы, от чего напрямую зависит список организационных и технических мер, которые необходимо предпринимать для защиты данных. При этом ответственность за порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации. Общий же список документов, на основании которых оператор должен проводить все необходимые работы, далеко не исчерпывается самим законом, постановлениями правительства № 781, 687 и 512, а также документами Роскомнадзора, ФСТЭК и ФСБ – федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных. В связи с этим второе, что необходимо сделать в ходе работ по защите персональных данных (первое – это назначение ответственно за проведение работ лица), – составить список документов, имеющих силу для данного типа предприятий и организаций.

В зависимости от утвержденного списка угроз оператор должен принимать меры по обеспечению целостности, управлению доступом, внедрению антивирусной и криптографической систем, мер по защите от утечек по аудио- и видеоканалам. К сожалению, объем статьи не позволяет подробно рассмотреть порядок определения угроз персональных данных и выбора тех или иных средств защиты в зависимости от класса информационной системы. Поэтому ограничимся только рассмотрением методов защиты от несанкционированного доступа.

Подключение информационных систем к информационно-телекоммуникационным сетям осуществляется в соответствии с Указом Президента Российской Федерации № 351.

При этом для информационных систем первого класса (и только для него, требование использования сертифицированных средств для всех средств защиты – это еще один миф) требуется использование сертифицированных средств защиты информации, соответствующее четвертому уровню контроля отсутствия недекларированных возможностей.

Угрозы несанкционированного доступа требуют защиты:

  • линий связи и сетей передачи данных;
  • сетевых программных и аппаратных средства, в том числе сетевых серверов;
  • файлов и баз данных;
  • носителей информации любых типов, в том числе бумажных носителей;
  • прикладных и общесистемных программных средств;
  • всех помещений компании.

Список программных и аппаратных средств, требуемых для защиты от несанкционированного доступа, также велик и включает в большинстве случаев (но не ограничивается):

  • средства антивирусной защиты как рабочих станций, так и серверов;
  • средства антивирусной защиты всех каналов передачи данных в сети общего пользования;
  • средства резервного копирования;
  • средства уничтожения данных и очистки оперативной памяти;
  • средства контроля целостности данных и программ;
  • средства блокирования исследования, модификации и несанкционированного запуска;
  • средства предупреждения пользователей о выполнении опасных действий;
  • программные средства администрирования (разграничения полномочий, регистрации и контроля);
  • программные и аппаратные средства идентификации и аутентификации;
  • средства создания защищенных каналов связи;
  • средства ЭЦП;
  • средства тестирования сетей и программ;
  • средства обнаружения атак и межсетевые экраны.

Если говорить об антивирусной защите, то, согласно закону, требуется:

  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам;
  • предотвращение внедрения в информационные системы вредоносных программ;
  • использование средств антивирусной защиты при взаимодействии с сетью Интернет;
  • централизованное управление системой защиты персональных данных информационной системы.

Эти меры подразумевают наличие централизованной защиты рабочих станций и серверов, вне зависимости от используемой операционной системы, а также защиту каналов передачи данных (почты и шлюза сети Интернет) и обеспечение недоступности серверов и содержащихся на них данных для несанкционированного доступа.

В связи с тем, что средства защиты от разных производителей могут быть несовместимы, рекомендуется по возможность использовать средства защиты от одного вендора. При закупке таких средств необходимо обращать внимание на возможности продукта. Так, антивирусные продукты компании «Доктор Веб» включают средства защиты от несанкционированного доступа и позволяют определить список ресурсов, к которым пользователь должен иметь доступ. Кроме того, продукты Dr.Web для защиты рабочих станций включают в себя брандмауэр, что также позволяет сэкономить деньги на закупке специализированных решений.

Большую проблему представляет защита сетей компаний, имеющих филиалы либо размещающихся в местах, не позволяющих обеспечить регулярное обслуживание локальных сетей. В качестве примеров таких сетей можно привести банки, крупные компании и учреждения здравоохранения. Для таких организаций необходимо использование централизованно управляемых систем защиты с возможностью построения иерархических сетей любых конфигураций. По возможности должна быть доступна поставка предустановленных средств защиты в виде программно-аппаратного решения.

В качестве примеров также можно привести хорошо себя зарекомендовавшие Dr.Web Enterprise Security Suite и Dr.Web Office Shield. Оба этих продукта имеют интерфейс управления, рассчитанный на использование неподготовленными пользователями, но, с другой стороны, имеют богатый функционал, позволяющий реализовать любую политику информационной безопасности, вплоть до самостоятельного наращивания возможности решений.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru