Поддержка заказчиков в выполнении требований Закона о...
TRANSCRIPT
Поддержка Заказчиков, в выполнении требований 152-ФЗ
с учетом Приказа № 58 ФСТЭК
Филатов Дмитрий Владимирович, Заместитель генерального директора по ИТ
Противоречия?
Правительство РФ, № 781 «Положением по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Пункт 5 «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».
Мы рекомендуем организации проводить добровольную аттестацию своих информационных систем персональных данных с помощью компаний-лицензиатов, в случаях, когда риск несоответствия организационно-распорядительных документов и ИСПДн требованиям регуляторов может иметь критические последствия.
Соответствие ИСПДн 152-ФЗ
Как NAUMEN учел требования ФСТЭК при разработке систем?
Управление доступом
Идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю.
Идентификация терминалов, технических средств по логическим именам.
Идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.
Контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа.
Регистрация и учет
Регистрация входа (выхода) пользователей в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова.
Регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи, краткое содержание документа (наименование, вид, шифр, код), идентификатор пользователя, запросившего документ.
Регистрация и учет
Регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки персональных данных.
Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная).
Регистрация и учет
Регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей).
Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних накопителей.
Обеспечение целостности
Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. Целостность системы защиты персональных данных проверяется при загрузке по контрольным суммам компонентов системы;
Наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.
Общие требования
Защищенный канал до рабочего места.
Защищенный канал между сервером приложений и СУБД.
Подписывание исполняемого кода и подсчет контрольных сумм (выполняется в рамках специальных проектов).
Мероприятия NAUMEN
Создан в начале 2009 года Отдел технической защиты информации, проведены специальные мероприятия.
Оформлены заявки на Лицензии ФСТЭК (деятельность по технической защите конфиденциальной информации и разработка технических средств защиты конфиденциальной информации).
Наличие специального программного обеспечения сертифицированного ФСТЭК.
Мы предлагаем пакет Организационно-распорядительной документации для
пользователей информационных систем NAUMEN в рамках специального предложения.
Мы готовы рекомендовать партнеров, которые имеют неограниченный доступ к нашей
проектно-технической документации.
Наши предложения
Мы ценим ваше доверие!
www.naumen.ru