8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400001, г. Волгоград, ул. Социалистическая, д. 17
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Вендоры
  • Карта партнера
  • Конфиденциальность
  • Политика
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • DOCSHELL – интеллектуальный сервис защиты информации
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Вендоры
    • Карта партнера
    • Конфиденциальность
    • Политика
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • DOCSHELL – интеллектуальный сервис защиты информации
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Вендоры
        • Карта партнера
        • Конфиденциальность
        • Политика
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • DOCSHELL – интеллектуальный сервис защиты информации
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400001, г. Волгоград, ул. Социалистическая, д. 17
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      Как проверяет ФСБ или правила правильной эксплуатации СКЗИ для защиты персональных данных

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • Как проверяет ФСБ или правила правильной эксплуатации СКЗИ для защиты персональных данных
      27 августа 2020
      // Средства защиты информации
      Как проверяет ФСБ или правила правильной эксплуатации СКЗИ для защиты персональных данных

      Федеральная служба безопасности осуществляет проверку операторов в том случае, если в примененных средствах защиты используется криптография. Федеральный закон № 152-ФЗ «О персональных данных» (далее – ФЗ № 152-ФЗ) обязует оператора персональных данных (далее – ПДн) обеспечивать конфиденциальность ПДн.


      Обеспечить безопасность

      Стоит понимать, что обеспечение конфиденциальности не подразумевает обязательное применение средств шифрования. Применение средств криптографической защиты информации (далее – СКЗИ) актуально в том случае, если это установлено в техническом задании, следует из Модели угроз (МУ) и/или Модели нарушителя, а также при передаче персональных данных по линиям связи, выходящим за пределы контролируемой зоны оператора.

      Правильный выбор средств криптографической защиты информации позволяет обеспечить не только соблюдение нормативно-правовых актов, но и безопасность персональных данных, передаваемых по каналам связи с использованием таких средств. Подбор СКЗИ должен осуществляться с учетом требований нормативно-правовых актов, особенностей инфраструктуры информационной системы персональных данных, выявленных актуальных угроз персональным данным и необходимых функциональных характеристик СКЗИ.

      Классы СКЗИ

      Согласно приказу ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – приказ ФСБ №378) в соответствии с уровнем защищенности персональных данных,  обрабатываемых в информационных системах персональных данных, должен быть определен класс СКЗИ. В выборе класса СКЗИ важно опираться на Модель нарушителя и его возможности при реализации атак на информационную систему персональных данных.

      Классы СКЗИ и соответствующие возможности нарушителей согласно приказу ФСБ № 378 представлены в таблице 1.

      СКЗИ определенного класса применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных для предыдущего класса и не менее одной данного класса.

      Каждый следующий класс СКЗИ включает в себя возможности нарушителей предыдущего класса.

      Таблица 1 – Классы СКЗИ и соответствующие возможности нарушителей

      Класс СКЗИ

      Возможности нарушителей

      КС1

      Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ

      Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ

      Проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона)

      Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

      • внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
      • внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ.

      Проведение атак на этапе эксплуатации СКЗИ на:

      • персональные данные;
      • ключевую, аутентифицирующую и парольную информацию СКЗИ;
      • программные компоненты СКЗИ;
      • аппаратные компоненты СКЗИ;
      • программные компоненты СФ, включая программное обеспечение BIOS;
      • аппаратные компоненты СФ;
      • данные, передаваемые по каналам связи;
      • иные объекты, которые установлены при формировании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО).

      Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:

      • общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);
      • сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;
      • содержание конструкторской документации на СКЗИ;
      • содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
      • общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
      • сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи);
      • все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;
      • сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
      • сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
      • сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ.

      Применение:

      • находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
      • специально разработанных АС и ПО.

      Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

      • каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;
      • каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ.

      Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети.

      Использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).

      КС2

      Проведение атаки при нахождении в пределах контролируемой зоны.

      Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

      • документацию на СКЗИ и компоненты СФ;
      • помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ.

      Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

      • сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;
      • сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;
      • сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.

      Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

      КС3

      Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.

      Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

      КВ

      Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.

      Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

      Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

      КА

      Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.

      Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.

      Возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

      При выборе СКЗИ стоит обратить внимание на наличие сертификата соответствия требованиям ФСБ России и его актуальность. В процессе эксплуатации СКЗИ важно обеспечивать контроль использования СКЗИ и актуальности срока действия сертификата соответствия.

      Контроль и проверка использования СКЗИ

      Контроль использования СКЗИ, применяемых для обеспечения безопасности ПДн, проводится на основании следующих нормативно-методических документов (в том числе с учетом информационного письма ФСБ России от 21.06.2016 «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных»):

      • федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ №152);
      • приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – приказ ФСБ № 378);
      • приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (далее – Положение ПКЗ-2005);
      • «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152 (далее – приказ ФАПСИ №152);
      • «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015).

      В подготовке к самой проверке ФСБ особого смысла нет. Построение комплексной системы защиты персональных данных – процесс, требующий времени и определенных компетенций. Наличие документов (например: приказов, инструкций, журналов) необходимо, но для проверки этого недостаточно. Необходимо осуществлять ведение журналов и систематически проводить проверки по исполнению положений локально-нормативных актов, регламентирующих эксплуатацию СКЗИ. В случае отсутствия таких процедур подготовка к проверке приведет к пустой трате времени, а проверяющие все равно выявят все ошибки эксплуатации СКЗИ, способных впоследствии привести к утере, несанкционированному доступу, уничтожению и блокированию ПДн.

      Федеральная служба безопасности проверяет условия обработки и защиты персональных данных с использованием средств криптографической защиты информации. Более детальная информация приведена в таблице 2.

      Таблица 2 – Соответствие требований и перечня предоставляемых документов

       

      Проверяемые требования

      Перечень предоставляемых документов

      Примечание

      1.          

      Организация системы организационных мер защиты персональных данных.

      Приказы:

      • о назначении ответственного пользователя СКЗИ;
      • о перечне лиц, допущенных к работе с СКЗИ;
      • об утверждении инструкций;
      • иные.

       

      Другие:

      • модель нарушителя ИСПДн, содержащая возможности нарушителей в соответствии с приказом ФСБ №378.

      Смысл данного приказа заключается в обосновании выбора класса СКЗИ.

      2.          

      Организация системы криптографических мер защиты информации.

      • Модель угроз на каждую ИСПДн.
      • Документы по поставке СКЗИ оператору.

       

      3.          

      Разрешительная и эксплуатационная документация на СКЗИ.

      • Лицензии на СКЗИ.
      • Сертификаты соответствия на СКЗИ.
      • Формуляры на СКЗИ.

      Следует предоставлять в печатном виде.

      4.          

      Требования к обслуживающему персоналу (требование к лицам, допущенным к работе).

      • Утвержденный список лиц, допущенных к работе с СКЗИ.
      • Документы, подтверждающие функциональные обязанности сотрудников.
      • Журнал учета пользователей криптосредств.
      • Документы, подтверждающие прохождение обучения сотрудников.

      Инструкции:

      • ответственного за эксплуатацию средств криптографической защиты информации;
      • по обращению со средствами криптографической защиты информации;
      • пользователя и администратора СКЗИ.

       

      5.          

      Эксплуатация СКЗИ

      Акты:

      • ввода СКЗИ в эксплуатацию;
      • приема-передачи средств криптографической защиты;
      • установления уровня защищенности ПДн, обрабатываемых в информационных системах персональных данных.

      В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.

      • установки средств защиты информации на все рабочие станции.

       

      Следует опечатать рабочие станции

      Журналы:

      • поэкземплярного учета СКЗИ;
      • учета и выдачи носителей с ключевой информацией.

       

      6.          

      Оценка соответствия применяемых СКЗИ

      • Средства СКЗИ.
      • Программное обеспечение СКЗИ (дистрибутив).

       

      7.          

      Организационные меры

      • Эксплуатационная документация на СКЗИ.
      • Помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним.
      • Инструкции, регламентирующие правила и процедуры доступа в помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним.
      • Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ.

      Необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты.


      Перечисленные требования и перечень предоставляемых документов составлены на основании «Типового регламента проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утв. Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173.

      С целью прохождения проверки ФСБ оператор при эксплуатации СКЗИ в обязательном порядке должен:

      1. Обеспечивать контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, согласно эксплуатационной документации производителя.
      2. Обеспечивать контроль за актуальностью сертификата соответствия ФСБ России и лицензии на применяемое СКЗИ.
      3. Издавать локально-нормативные акты, регламентирующие порядок, правила обращения и обслуживания СКЗИ.
      4. Обеспечивать физическую защиту средств вычислительной техники, содержащих СКЗИ или их компоненты, аппаратных СКЗИ и ключевых носителей информации.
      5. Ограничивать физический и логический доступ к СКЗИ и ключевым носителям информации.
      6. Обеспечивать контроль соответствия положений организационно-распорядительной документации реальным условиям эксплуатации СКЗИ и информационной системы персональных данных в целом.
      7. Обеспечивать контроль работоспособности и правильности функционирования СКЗИ.

      Мероприятия для обеспечения безопасности ПДн

      Мероприятия, необходимые для обеспечения безопасности персональных данных, должны быть реализованы с учетом особенностей инфраструктуры информационной системы персональных данных, актуальных угроз безопасности персональным данным и в соответствии с требованиями нормативно-правовых документов, упомянутых выше. Мы бы рекомендовали провести полное обследование всей информационной инфраструктуры, оттолкнувшись от которого можно грамотно построить план по защите персональных данных организации. Далее сделать акцент на подготовке документов именно к проверке ФСБ, а также провести необходимые работы по монтажу, установке и настройке средств защиты информации. Стоит отметить, что монтаж и установку СКЗИ может производить исключительно организация, осуществляющая работы по лицензируемым видам деятельности согласно Постановлению Правительства Российской Федерации    от 16 апреля 2012 г. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

      При нарушении требований по обеспечению персональных данных, предусмотренных нормативно-правовыми актами, предусмотрена административная ответственность.  Для физического лица, как правило, в среднем предусмотрены штрафы около тысячи - двух тысяч рублей, для юридического лица – от двадцати тысяч рублей. При невыполнении множества требований нормативно-правовых актов другими регуляторами, например, Роскомнадзором, могут накладываться более серьезные штрафы, суммы которых в совокупности могут привести к значительным финансовым потерям.

      При подготовке к проверке регулятора к типовым нарушениям относятся:

      - Отсутствие актуального сертификата соответствия СКЗИ;

      - Отсутствие журналов учета или нерегулярное их заполнение;

      - Отсутствие дистрибутивов СКЗИ, формуляров, документов;

      - Недостаточные меры по обеспечению физической защиты;

      - Использование СКЗИ класса ниже необходимого.

      - Некорректно разработанная модель угроз.


      Остались вопросы? Нужна консультация? Необходимо выполнить работы по внедрению СКЗИ?
      Напишите нам! Сегодня обсудим, а завтра начнем выполнять!
      Отправить


      Услуги
      Аудит информационной безопасности
      Аудит информационной безопасности
      Аудит информационной безопасности — это процесс получения объективных оценок о текущем состоянии защищенности информационных ресурсов компании в соответствии с российскими и международными нормативами. В рамках данного мероприятия проводится комплекс работ по определению уязвимостей IT инфраструктуры, анализ защищенности веб приложений и предотвращению потенциальных кабератак.

      Пентест (Pentest) — анализ защищенности информационной системы
      PENTEST – анализ реальной защищенности информационной системы

      Самый эффективный способ провести анализ защищенности сетевых ресурсов компании.
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных12
      • Пентест3
      • КИИ22
      • Информационная безопасность20
      • АСУ3
      • Средства защиты информации5
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • Мониторинг IT инфраструктуры
        30 мая 2022
      • Этапы создания систем защиты информации
        12 апреля 2022
      • Обзор изменений приказа ФСТЭК №17 утверждённых 28.05.2019
        6 ноября 2019
      • Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31
        19 июня 2016
      Компания
      О компании
      Лицензии
      Вендоры
      Карта партнера
      Конфиденциальность
      Политика
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400001, г. Волгоград, ул. Социалистическая, д. 17
      resp@ec-rs.ru
      © 2023 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.