Поддержка Заказчиков, в выполнении требований 152-ФЗ

с учетом Приказа № 58 ФСТЭК

Филатов Дмитрий Владимирович, Заместитель генерального директора по ИТ

Противоречия?

Правительство РФ, № 781 «Положением по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Пункт 5 «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».

Мы рекомендуем организации проводить добровольную аттестацию своих информационных систем персональных данных с помощью компаний-лицензиатов, в случаях, когда риск несоответствия организационно-распорядительных документов и ИСПДн требованиям регуляторов может иметь критические последствия.

Соответствие ИСПДн 152-ФЗ

Как NAUMEN учел требования ФСТЭК при разработке систем?

Управление доступом

Идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю.

Идентификация терминалов, технических средств по логическим именам.

Идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.

Контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа.

Регистрация и учет

Регистрация входа (выхода) пользователей в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова.

Регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи, краткое содержание документа (наименование, вид, шифр, код), идентификатор пользователя, запросившего документ.

Регистрация и учет

Регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки персональных данных.

Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная).

Регистрация и учет

Регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей).

Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних накопителей.

Обеспечение целостности

Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. Целостность системы защиты персональных данных проверяется при загрузке по контрольным суммам компонентов системы;

Наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.

Общие требования

Защищенный канал до рабочего места.

Защищенный канал между сервером приложений и СУБД.

Подписывание исполняемого кода и подсчет контрольных сумм (выполняется в рамках специальных проектов).

Мероприятия NAUMEN

Создан в начале 2009 года Отдел технической защиты информации, проведены специальные мероприятия.

Оформлены заявки на Лицензии ФСТЭК (деятельность по технической защите конфиденциальной информации и разработка технических средств защиты конфиденциальной информации).

Наличие специального программного обеспечения сертифицированного ФСТЭК.

Мы предлагаем пакет Организационно-распорядительной документации для

пользователей информационных систем NAUMEN в рамках специального предложения.

Мы готовы рекомендовать партнеров, которые имеют неограниченный доступ к нашей

проектно-технической документации.

Наши предложения

Мы ценим ваше доверие!

www.naumen.ru