Организационно-техническое обеспечение систем безопасности персональных данных

В качестве средства, применяемого в подсистеме анализа защищенности, например, используется сетевой сканер Xspider компании Positive Technologies. Сетевой сканер Xspider сертифицирован ФСТЭК России (сертификат соответствия № 1323от 23 января 2007 г., действителен до 23 января 2010 г.) и Министерством Обороны (сертификат соответствия № 354). Xspider  – сетевой сканер безопасности, построенный на базе интеллектуального сканирующего ядра, которое обеспечивает максимально полное и надежное определение уязвимостей на системном и прикладном уровне. XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов, работает с уязвимостями на разном уровне – от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений. Xspider поддерживает различные способы сканирования, в том числе и удаленное, при гарантии доступности сетевого сегмента.

Выявление угроз несанкционированного доступа при межсетевом взаимодействии производится с помощью систем обнаружения вторжений (подсистема обнаружения вторжений). Такие системы строятся с учетом особенностей реализации атак и этапов их развития. Они основаны на следующих методах обнаружения атак: сигнатурные методы, методы выявления аномалий, комбинированные методы с использованием обоих названных методов.

Для обнаружения вторжений  в информационную систему персональных данных 3 и 4 классов рекомендуется использовать системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2 класса – системы, применяющие сигнатурный метод и метод выявления аномалий.

В качестве средства для  реализации подсистемы обнаружения  и предотвращения вторжений, например, можно использовать продукты компании Cisco. Данные средства сертифицированы ФСТЭК и соответствуют требованиям технических условий и стандарту ГОСТ Р ИСО/МЭК 15408-2002.

К таким продуктам, в  частности, относится Cisco Intrusion Detection System/Intrusion Preventing System (IPS/IDS), который является основным компонентом решений Cisco Systems по обнаружению и отражению атак. Наряду с традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки. Встроенные технологии корреляции событий безопасности Cisco Threat Response, Threat Risk Rating и Meta Event Generator не только помогают существенно уменьшить число ложных срабатываний, но и позволяют администраторам реагировать лишь на действительно критичные атаки, которые могут нанести серьезный ущерб ресурсам корпоративной сети.

Средства защиты каналов  при передаче персональных данных.

Для обеспечения безопасности персональных данных при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий).

Помимо описанных выше программно-технических можно использовать продукты других ведущих производителей на рынке информационной безопасности. К ним, в частности, относятся Oracle, Aladdin, Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят активную позицию по соответствию требований регуляторов и сертификации своих продуктов с целью их применения в решениях по защите персональных данных.

Требования  к средствам защиты персональных данных.

Для реализации перечисленных  подсистем, общая структура средств защиты персональных данных может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации.

В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. №781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в информационных системах персональных данных, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

В отношении разработанных  шифровальных (криптографических) средств  защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации.

Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных  для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ.

К средствам защиты информации, предназначенным для обеспечения  безопасности персональных данных при  их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с ФСТЭК и ФСБ.

Средства защиты информации, предназначенные для обеспечения  безопасности персональных данных при  их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.

Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.

Все сертифицированные  ФСТЭК средства защиты представлены на сайте ФСТЭК (http://www.fstec.ru/) в разделе  «Сведения о Системе сертификации средств защиты информации по требованиям  безопасности информации» (http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр сертифицированных средств защиты информации».

Заключение

Таким образом, проанализировав ситуацию по поводу охраны персональных данных, можно  сделать следующие выводы.

Личная тайна  работника охраняется законом на самом высоком уровне.

Законодатель  предусмотрел практически все необходимые  нормы для защиты этой категории правоотношений. Однако следует заметить, что часто источником правонарушений в области охраны персональных данных персонала служит неграмотность работников в указанных вопросах, вызванная тем, что нормативно не отрегулирован порядок организации деятельности по сохранности персональных данных в организациях и на предприятиях.

Надо отметить, что санкции, предусмотренные за нарушение законодательства по охране персональных данных работника достаточно адекватны и соответствуют мере правонарушения. Но санкции скорее восстанавливают справедливость, нежели снижают количество правонарушений.

Большое значение имеет то, как работодатель относится  к конституционным правам и обязанностям своих работников. Ведь только администрация предприятия или организации в состоянии вести непрерывный контроль за соблюдением установленного порядка осуществления защиты персональных данных работников.

 

 

 

 

 

 

 

Список используемой литературы:

1. Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» - Справочно-правовая база «КонсультантПлюс».
2. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации» - Справочно-правовая база «КонсультантПлюс».
3. Аверченков В.И., Рытов М.Ю.,  Организационная защита информации: учебное пособие для вузов. - Флинта, 2011 г., 184 с.
4. Аверченков В.И., Рытов М.Ю., Служба защиты информации: организация и управление: учебное пособие для вузов. - Флинта, 2011 г., 186 с.
5. Ковалева Н.Н., Информационное право России: учебное пособие. - Дашков и К, 2009 г.,350 с.
6. Лютов Н.Л. Защита персональных данных: международные стандарты и внутреннее российское законодательство – М.: «Трудовое право», № 8, 2010 г.
7. Сердюк В.А., Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий: учебное пособие. - Издательский дом Государственного университета – Высшей школы экономики, 2011 г., 574 с.
8. Шаньгин В.Ф., Защита компьютерной информации. Эффективные методы и средства. - ДМК Пресс, 2010 г., 544 с.
9. Щербаков А.Ю., Современная компьютерная безопасность. Теоретические основы. Практические аспекты. Учебное пособие. - Книжный мир, 2009 г., 352 с.