Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Подписка
	Архив номеров
	Где купить
	Наука и технологии
	Авторам
	Рекламодателям
	Контакты

Опросы

Статьи

Дата-центры

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

Событие

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

Организация бесперебойной работы

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

Книжная полка

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

СУБД PostgreSQL

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

Критическая инфраструктура

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

Архитектура ПО

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

Как хорошо вы это знаете

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

Графические редакторы

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

День сисадмина

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

День сисадмина

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

Виртуализация

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

Книжная полка

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

Книжная полка

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

12.03.2018г.

Комментарии: 0

Глубокое обучение с точки зрения практика

12.03.2018г.

Комментарии: 0

Изучаем pandas

12.03.2018г.

Комментарии: 0

Программирование на языке Rust (Цветное издание)

19.12.2017г.

Комментарии: 0

Глубокое обучение

19.12.2017г.

Комментарии: 0

Анализ социальных медиа на Python

19.12.2017г.

Комментарии: 0

Основы блокчейна

19.12.2017г.

Комментарии: 0

Java 9. Полный обзор нововведений

16.02.2017г.

Комментарии: 0

Опоздавших не бывает, или книга о стеке

17.05.2016г.

Комментарии: 0

Теория вычислений для программистов

30.03.2015г.

Комментарии: 0

От математики к обобщенному программированию

18.02.2014г.

Комментарии: 0

Рецензия на книгу «Читаем Тьюринга»

13.02.2014г.

Комментарии: 0

Читайте, размышляйте, действуйте

12.02.2014г.

Комментарии: 0

Рисуем наши мысли

10.02.2014г.

Комментарии: 3

Страна в цифрах

18.12.2013г.

Комментарии: 0

Большие данные меняют нашу жизнь

18.12.2013г.

Комментарии: 0

Компьютерные технологии – корень зла для точки роста

04.12.2013г.

Комментарии: 0

Паутина в облаках

03.12.2013г.

Комментарии: 0

Рецензия на книгу «MongoDB в действии»

02.12.2013г.

Комментарии: 0

Не думай о минутах свысока

Друзья сайта

Правда и мифы №152-ФЗ. Как выполнить требования закона малой кровью?

Архив номеров / 2011 / Выпуск №3 (100) / Правда и мифы №152-ФЗ. Как выполнить требования закона малой кровью?

Рубрика: БИТ. Бизнес & Информационные технологии / Внедрение

ВЯЧЕСЛАВ МЕДВЕДЕВ, аналитик компании «Доктор Веб»

Правда и мифы №152-ФЗ
Как выполнить требования закона малой кровью?

Вопрос об актуальности проблемы выполнения требований Федерального закона №152-ФЗ «О персональных данных» на данный момент является одним из основных как для руководителей компаний и организаций, так и для системных администраторов

Окончательное вступление положений закона в силу (сам закон вступил в силу давно, но об этом далее) было в очередной раз перенесено (в этот раз до 16 июля 2011 года), но нет никакой уверенности, что этот срок не будет перенесен вновь. При этом необходимо помнить, что:

закон вступил в силу достаточно давно, отсрочка касается только сетей, существовавших на момент принятия закона, – все организации, сети которых созданы после вступления в силу данного закона, уже должны выполнить все его требования;
положение закона о том, что оператор обязан принимать необходимые организационные и технические меры для защиты персональных данных, не отменено и действует в полной мере.

Не будем подробно останавливаться на причинах, приводящих к сложностям в реализации требований этого закона, – они хорошо известны и описаны во многих публикациях. Вместо этого попробуем посмотреть, как можно выполнить требования закона «малой кровью», с помощью имеющихся специалистов и оставаясь в рамках бюджета.

Прежде всего, необходимо дать несколько определений, так как уже из непонимания определений начинается мифология, связанная с законом.

В соответствии с положениями закона, оператором является практически любое физическое или юридическое лицо – исключений достаточно мало. В свою очередь понятие «обработка персональных данных» включает в себя не только их сбор, накопление и хранение, но и такие действия, как удаление, уточнение, блокирование данных. Таким образом, даже если вы на своей машине только уничтожаете данные (например, удаляете письма, приходящие вам по почте, если эти письма содержат персональные данные), ваш компьютер уже должен быть защищен в соответствии с категорией этих персональных данных.

И о вышеупомянутых исключениях. Действие закона не распространяется на действия по обработке архивных документов, в соответствии с законодательством об архивном деле в Российской Федерации.

Еще одним мифом, связанным с Федеральным законом № 152-ФЗ, является утверждение о том, что неподача уведомления о намерении обработки персональных данных автоматически освобождает от необходимости их защиты. В действительности Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных, имеет право запрашивать все необходимые данные от оператора (которым, напомним, может являться и простой пользователь), а также предпринимать все необходимые меры вне зависимости от подачи уведомления – вплоть до прекращения обработки персональных данных, подачи в суд исковых заявлений и привлечения к административной ответственности.

И, наконец, необходимо ввести понятие персональных данных. В соответствии с Евродирективой (а закон был принят вследствие присоединения 7 ноября 2001 года Российской Федерации к Европейской конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах), для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованными либо оператором, либо любым иным лицом для идентификации указанного лица. Таким образом, персональными могут быть любые данные, которые могут привести к идентификации человека, а не только данные паспорта.

При этом в соответствии с законом обязанность представлять доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. В силу вышеизложенного именно оператор должен определять, что является персональными данными, а что нет, и именно оператор должен собирать доказательства своей правоты. Это притом что возможность идентифицировать человека на основании тех или иных данных зависит от очень многих факторов, и в первую очередь от финансовых возможностей того, кто задастся такой целью.

Также на оператора возлагается ответственность за составление списка угроз, определение их значимости и в конечном итоге, за правильность классификации информационной системы, от чего напрямую зависит список организационных и технических мер, которые необходимо предпринимать для защиты данных. При этом ответственность за порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации. Общий же список документов, на основании которых оператор должен проводить все необходимые работы, далеко не исчерпывается самим законом, постановлениями правительства № 781, 687 и 512, а также документами Роскомнадзора, ФСТЭК и ФСБ – федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных. В связи с этим второе, что необходимо сделать в ходе работ по защите персональных данных (первое – это назначение ответственно за проведение работ лица), – составить список документов, имеющих силу для данного типа предприятий и организаций.

В зависимости от утвержденного списка угроз оператор должен принимать меры по обеспечению целостности, управлению доступом, внедрению антивирусной и криптографической систем, мер по защите от утечек по аудио- и видеоканалам. К сожалению, объем статьи не позволяет подробно рассмотреть порядок определения угроз персональных данных и выбора тех или иных средств защиты в зависимости от класса информационной системы. Поэтому ограничимся только рассмотрением методов защиты от несанкционированного доступа.

Подключение информационных систем к информационно-телекоммуникационным сетям осуществляется в соответствии с Указом Президента Российской Федерации № 351.

При этом для информационных систем первого класса (и только для него, требование использования сертифицированных средств для всех средств защиты – это еще один миф) требуется использование сертифицированных средств защиты информации, соответствующее четвертому уровню контроля отсутствия недекларированных возможностей.

Угрозы несанкционированного доступа требуют защиты:

линий связи и сетей передачи данных;
сетевых программных и аппаратных средства, в том числе сетевых серверов;
файлов и баз данных;
носителей информации любых типов, в том числе бумажных носителей;
прикладных и общесистемных программных средств;
всех помещений компании.

Список программных и аппаратных средств, требуемых для защиты от несанкционированного доступа, также велик и включает в большинстве случаев (но не ограничивается):

средства антивирусной защиты как рабочих станций, так и серверов;
средства антивирусной защиты всех каналов передачи данных в сети общего пользования;
средства резервного копирования;
средства уничтожения данных и очистки оперативной памяти;
средства контроля целостности данных и программ;
средства блокирования исследования, модификации и несанкционированного запуска;
средства предупреждения пользователей о выполнении опасных действий;
программные средства администрирования (разграничения полномочий, регистрации и контроля);
программные и аппаратные средства идентификации и аутентификации;
средства создания защищенных каналов связи;
средства ЭЦП;
средства тестирования сетей и программ;
средства обнаружения атак и межсетевые экраны.

Если говорить об антивирусной защите, то, согласно закону, требуется:

разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам;
предотвращение внедрения в информационные системы вредоносных программ;
использование средств антивирусной защиты при взаимодействии с сетью Интернет;
централизованное управление системой защиты персональных данных информационной системы.

Эти меры подразумевают наличие централизованной защиты рабочих станций и серверов, вне зависимости от используемой операционной системы, а также защиту каналов передачи данных (почты и шлюза сети Интернет) и обеспечение недоступности серверов и содержащихся на них данных для несанкционированного доступа.

В связи с тем, что средства защиты от разных производителей могут быть несовместимы, рекомендуется по возможность использовать средства защиты от одного вендора. При закупке таких средств необходимо обращать внимание на возможности продукта. Так, антивирусные продукты компании «Доктор Веб» включают средства защиты от несанкционированного доступа и позволяют определить список ресурсов, к которым пользователь должен иметь доступ. Кроме того, продукты Dr.Web для защиты рабочих станций включают в себя брандмауэр, что также позволяет сэкономить деньги на закупке специализированных решений.

Большую проблему представляет защита сетей компаний, имеющих филиалы либо размещающихся в местах, не позволяющих обеспечить регулярное обслуживание локальных сетей. В качестве примеров таких сетей можно привести банки, крупные компании и учреждения здравоохранения. Для таких организаций необходимо использование централизованно управляемых систем защиты с возможностью построения иерархических сетей любых конфигураций. По возможности должна быть доступна поставка предустановленных средств защиты в виде программно-аппаратного решения.

В качестве примеров также можно привести хорошо себя зарекомендовавшие Dr.Web Enterprise Security Suite и Dr.Web Office Shield. Оба этих продукта имеют интерфейс управления, рассчитанный на использование неподготовленными пользователями, но, с другой стороны, имеют богатый функционал, позволяющий реализовать любую политику информационной безопасности, вплоть до самостоятельного наращивания возможности решений.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Tel.: (499) 277-12-45
E-mail: sa@samag.ru