В настоящее время защита персональных данных является одной из наиболее актуальных задач для большинства коммерческих и государственных организаций. Информационные системы должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 июля 2011 года.
Я планирую написать цикл статей об общих методах защиты персональных данных, которые помогут вашей компании немного сократить издержки на услуги фирм, занимающихся защитой данных или, по крайней мере, понять, за что вы платите. Все это мы испытали на собственной компании.
По итогам всех действий, которые будут описаны, мы успешно получили свой аттестат соответствия ИСПДн требованиям ФЗ и сэкономили около 45000р. на услугах интеграторов (12 АРМ+сервер).
Построение защиты информационной системы персональных данных (ИСПДн) начинается с обследования ИСПДн, ее классификации и составления конкретных требований к защите.
Обследование проводит специальная комиссия, состоящая из специалиста по защите информации*, администратора ИС и оператора ИС. Соответственно, предварительно нужно издать приказ о назначении комиссии и проведении обследования.
Сразу озвучу расценки по нашему городу: 200-700р. в час – предпроектное обследование, 10-20тыс. р. – комплект документации по итогам обследования.
Перед тем, как начинать какие-либо действия, необходимо установить перечень хранящихся и обрабатываемых на предприятии персональных данных.
Здесь у нас получится документ с таблицей из трех колонок: № п\п; наименование (файла, БД, таблицы); содержание файла (ФИО, серия\номер паспорта и т.д).
Во время обследования нужно установить следующее:
1. Доступ на территорию организации. Кто и в какое время может туда пройти. По пропускам или без, записывается ли он в журнал посещений и т.д. Имеют ли сотрудники возможность пройти на территорию организации в нерабочее время.
2. Контролируемая зона (КЗ) организации.
Контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.
Итак, границами контролируемой зоны будут являться ограждающие конструкции помещений, принадлежащих Организации (стены, двери, окна, потолок).
Возможно, вашей организации принадлежит весь этаж или какое-то его крыло. В этом случае холл и коридор между офисами будут являться контролируемой зоной только при наличии тамзлой старушки с шваброй охранника/администратора или камеры видеонаблюдения.
В контролируемой зоне возможны некоторые особенности. Например, в ней может вестись постоянный прием третьих лиц (клиентов) – это тоже необходимо отметить.
3. Электропитание здания. Здесь требуется указать на какой территории находится трансформаторная подстанция и какой организацией обслуживается. Все очень просто, никаких ООО «Мосгорсвет» знать не нужно (это никого не интересует) — ответа может быть всего два: подстанция находится в пределах КЗ, либо за ее пределами и соответственно обслуживаться она может либо собственным подразделением организации, либо сторонней организацией (название и адрес организации не требуются).
Также, требуется указать по какой схеме сделано заземление трансформатора и где оно находится (в пределах КЗ или за пределами). Знаний из Википедии здесь больее, чем достаточно ru.wikipedia.org/wiki/%D0%A2N-S
4. Телефонная связь. Организована через собственную АТС или общую. Выходят ли кабели телефонной связи за пределы КЗ.
5. Пожарная и охранная сигнализация. Где установлена, куда подключена. Если подключена на пульт охраны, то указать где находится этот пульт. Выходят ли кабели этих систем за пределы КЗ.
6. Вычислительная сеть организации. По какой технологии построена, какая схема, структура, имеются ли подсети и т.д.
7. Обработка информации.
— Ввод информации: осуществляется в ручном/автоматическом режиме на всех компьютерах (АРМ) с помощью манипулятора типа «мышь», клавиатуры, сканера и т.д.
Под ручным обычно понимается ввод с бумажных носителей, а под автоматическим – с флэшек, дисков и пр.
— Отображение информации: информация отображается на мониторе во время ввода и вывода информации пользователем и работы с ПО.
— Обработка информации: производится на компьютере при помощи такого-то ПО. Не нужно писать про все ПО на компьютере, а только про то, в котором обрабатываются персональные данные.
— Хранение информации: информация остается на жестком диске компьютера или автоматически передается на сервер.
— Передача информации: между АРМ пользователей, между компьютером и сканером\принтером, между АРМ и сервером.
— Вывод информации: на бумажные\электронные носители при помощи таких-то устройств.
8. Компоненты процесса обработки информации:
— Субъекты доступа: персонал, который в силу должностных обязанностей должен взаимодействовать с ПДн; процессы, происходящие в прикладном и системном ПО компьютера.
— Объекты доступа: информационные ресурсы (пример: файлы, таблицы, массивы, документы, базы данных и т.д.); элементы системы (флэшки, принтеры, ПО, сам компьютер).
Доступ субъектов к объектам должен быть как-то разграничен или регламентирован (пароли к учетным записям на ПК, флэшки только под роспись, доступ к файлам).
9. Группы субъектов доступа: администраторы (описание кто такие и какие функции выполняют), пользователи (аналогично), обслуживающий персонал (аналогично). Желательно также отдельно в этом пункте описать, какие функции по администрированию ОС и защите информации выполняет администратор (резервное копирование, создание учетных записей и пр.)
10. Система резервного копирования: как часто, куда и где\у кого\как это потом хранится.
11. Дополнительно… Здесь можно указать другие важные моменты, характерные для вашей информационной системы.
По результатам всего этого мы составили Акт обследования ИСПДн.
ru.wikipedia.org/wiki/Контролируемая_зона
*Наличие в составе комиссии специалиста по защите информации носит рекомендательный характер и его вполне может заменить старший админ. Но чтобы не испытывать судьбу, таким специалистом может быть любой админ, прошедший коротенький курс по ЗИ и имеющий об этом соответствующую бумажку, либо сторонее физ. лицо, имеющее соответствующее образование, с которым заключается договор подряда.
В следующей статье: тех. паспорт ИСПДн, описание технологического процесса, акт классификации
Я планирую написать цикл статей об общих методах защиты персональных данных, которые помогут вашей компании немного сократить издержки на услуги фирм, занимающихся защитой данных или, по крайней мере, понять, за что вы платите. Все это мы испытали на собственной компании.
По итогам всех действий, которые будут описаны, мы успешно получили свой аттестат соответствия ИСПДн требованиям ФЗ и сэкономили около 45000р. на услугах интеграторов (12 АРМ+сервер).
Обследование ИСПДн
Построение защиты информационной системы персональных данных (ИСПДн) начинается с обследования ИСПДн, ее классификации и составления конкретных требований к защите.
Обследование проводит специальная комиссия, состоящая из специалиста по защите информации*, администратора ИС и оператора ИС. Соответственно, предварительно нужно издать приказ о назначении комиссии и проведении обследования.
Сразу озвучу расценки по нашему городу: 200-700р. в час – предпроектное обследование, 10-20тыс. р. – комплект документации по итогам обследования.
Перед тем, как начинать какие-либо действия, необходимо установить перечень хранящихся и обрабатываемых на предприятии персональных данных.
Здесь у нас получится документ с таблицей из трех колонок: № п\п; наименование (файла, БД, таблицы); содержание файла (ФИО, серия\номер паспорта и т.д).
Во время обследования нужно установить следующее:
1. Доступ на территорию организации. Кто и в какое время может туда пройти. По пропускам или без, записывается ли он в журнал посещений и т.д. Имеют ли сотрудники возможность пройти на территорию организации в нерабочее время.
2. Контролируемая зона (КЗ) организации.
Контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.
Итак, границами контролируемой зоны будут являться ограждающие конструкции помещений, принадлежащих Организации (стены, двери, окна, потолок).
Возможно, вашей организации принадлежит весь этаж или какое-то его крыло. В этом случае холл и коридор между офисами будут являться контролируемой зоной только при наличии там
В контролируемой зоне возможны некоторые особенности. Например, в ней может вестись постоянный прием третьих лиц (клиентов) – это тоже необходимо отметить.
3. Электропитание здания. Здесь требуется указать на какой территории находится трансформаторная подстанция и какой организацией обслуживается. Все очень просто, никаких ООО «Мосгорсвет» знать не нужно (это никого не интересует) — ответа может быть всего два: подстанция находится в пределах КЗ, либо за ее пределами и соответственно обслуживаться она может либо собственным подразделением организации, либо сторонней организацией (название и адрес организации не требуются).
Также, требуется указать по какой схеме сделано заземление трансформатора и где оно находится (в пределах КЗ или за пределами). Знаний из Википедии здесь больее, чем достаточно ru.wikipedia.org/wiki/%D0%A2N-S
4. Телефонная связь. Организована через собственную АТС или общую. Выходят ли кабели телефонной связи за пределы КЗ.
5. Пожарная и охранная сигнализация. Где установлена, куда подключена. Если подключена на пульт охраны, то указать где находится этот пульт. Выходят ли кабели этих систем за пределы КЗ.
6. Вычислительная сеть организации. По какой технологии построена, какая схема, структура, имеются ли подсети и т.д.
7. Обработка информации.
— Ввод информации: осуществляется в ручном/автоматическом режиме на всех компьютерах (АРМ) с помощью манипулятора типа «мышь», клавиатуры, сканера и т.д.
Под ручным обычно понимается ввод с бумажных носителей, а под автоматическим – с флэшек, дисков и пр.
— Отображение информации: информация отображается на мониторе во время ввода и вывода информации пользователем и работы с ПО.
— Обработка информации: производится на компьютере при помощи такого-то ПО. Не нужно писать про все ПО на компьютере, а только про то, в котором обрабатываются персональные данные.
— Хранение информации: информация остается на жестком диске компьютера или автоматически передается на сервер.
— Передача информации: между АРМ пользователей, между компьютером и сканером\принтером, между АРМ и сервером.
— Вывод информации: на бумажные\электронные носители при помощи таких-то устройств.
8. Компоненты процесса обработки информации:
— Субъекты доступа: персонал, который в силу должностных обязанностей должен взаимодействовать с ПДн; процессы, происходящие в прикладном и системном ПО компьютера.
— Объекты доступа: информационные ресурсы (пример: файлы, таблицы, массивы, документы, базы данных и т.д.); элементы системы (флэшки, принтеры, ПО, сам компьютер).
Доступ субъектов к объектам должен быть как-то разграничен или регламентирован (пароли к учетным записям на ПК, флэшки только под роспись, доступ к файлам).
9. Группы субъектов доступа: администраторы (описание кто такие и какие функции выполняют), пользователи (аналогично), обслуживающий персонал (аналогично). Желательно также отдельно в этом пункте описать, какие функции по администрированию ОС и защите информации выполняет администратор (резервное копирование, создание учетных записей и пр.)
10. Система резервного копирования: как часто, куда и где\у кого\как это потом хранится.
11. Дополнительно… Здесь можно указать другие важные моменты, характерные для вашей информационной системы.
По результатам всего этого мы составили Акт обследования ИСПДн.
ru.wikipedia.org/wiki/Контролируемая_зона
*Наличие в составе комиссии специалиста по защите информации носит рекомендательный характер и его вполне может заменить старший админ. Но чтобы не испытывать судьбу, таким специалистом может быть любой админ, прошедший коротенький курс по ЗИ и имеющий об этом соответствующую бумажку, либо сторонее физ. лицо, имеющее соответствующее образование, с которым заключается договор подряда.
В следующей статье: тех. паспорт ИСПДн, описание технологического процесса, акт классификации
