iehfclaude

1) как мне доказать при проверке, что система достаточно защищена и что к ней нельзя "подключиться" извне, "взломать" ее и просмотреть информацию? ежели я просто зашифрую данные каким-нибудь PGP (который не факт, что соответствует ГОСТам), то как я буду объяснять, что система "надежна" и подходит для хранения и обработки такого рода данных?



CodenamedНесколько замечаний по теме:
4) для обеспечения выполнения требований закона необходимо использовать сертифицированные ФСБ криптографические средства;

5) логины и пароли в таком деле - плохой выбор, необходимо использовать инфраструктуру открытого ключа (PKI) и съемные контейнеры закрытых ключей;


Предъявить сертификат применяемого шифросредства. Иногда требуется сертификат корректности встраивания.

Добрый день, помимо ПП 781 и ПП 687, требования по созданию системы защиты информации и применению СрЗИ устанавливаются в документах ФСТЭК и ФСБ России:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
http://www.fstec.ru/_spravs/recomend.doc
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
http://www.fstec.ru/_spravs/meropriaytiay.doc,
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21 февраля 2008 г.
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 21 февраля 2008 г. (на сайте ФСБ).

Ваше предприятие может выполнить самостоятельно, без привлечения сторонних специалистов, мероприятия, кроме создания системы защиты информации (разработка ТЗ, проекта, установка и настройка средств защиты информации (СрЗИ)) и аттестации. На проведение этих (создание системы защиты информации и аттестация) работ необходима лицензия на деятельность по технической защите конфиденциальной информации.

Расскажу об этом подробней:
Помимо ФЗ-152 «О персональных данных» действуют:
 ФЗ «Об информации, информационных технологиях и о защите информации» от 27июля2006г. №149 (статья 16п.6).
 ФЗ «О лицензировании отдельных видов деятельности» от 8августа2001г. №128 (статья17п.1,пп.11);
 Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» от 16августа2006г. №504;
 Указ Президента «Об утверждении Перечня сведений конфиденциального характера» от 6марта1997мг. №188;
 СТР-К.
Согласно которым: персональные данные относятся к конфиденциальной информации, для защиты которой необходимо получить лицензию на деятельность по технической защите конфиденциальной информации.
Кроме того: п.3.14 «Основных мероприятий…»:
В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Поэтому, в данном случае, либо мед.учереждению необходимо нанимать в штат специалистов по ЗИ и выполнять все требования для получения лицензии на ТЗКИ, либо заключать договор с организацией, имеющей лицензию (лицензиата), на проведение работ по защите ПДн.
В конечном счете (после проведения всех мероприятий по защите и аттестации), Вашему предприятию нужно получить Аттестат соответствия на Вашу систему. Этот документ будет означать, что все требования по защите ПДн выполнены, и Ваша ИСПДн защищена по закону в соответствии с установленным классом. Аттестат Вы и будете показывать проверяющим органам. Как только Вы его получите, все вопросы о несоответствии системы защиты требованиям (если такие возникнут) будут адресованы лицензиату, выдавшему аттестат на Вашу ИСПДн (при условии, что Вы не меняли условия обработки ПДн и состав средств защиты и ИСПДн).
Вы сможете снизить затраты на защиту путем создания специальной модели угроз с обоснованием, почему не защищаемся от той или иной угрозы. Для примера: У нас класс К1, необходимо защищаться от ПЭМИН, но у нас своя охраняемая территория, до границ контролируемой зоны далеко, поэтому угрозу ПЭМИН можно считать не актуальной и не защищаться от нее. Но опять же, все это будет иметь смысл только при грамотном обосновании. По желанию можно согласовать такую модель во ФСТЭК (но это не обязательно).

Необходимо применять сертифицированные средства защиты информации (СрЗИ) ФСТЭК России, а также, при необходимости шифрования информации, использовать сертифицированные ФСБ средства криптографической защиты информации (СКЗИ). Как писал Выше, данные мероприятия имеют право проводить организации, имеющие лицензии ФСТЭК (ФСБ при наличие СКЗИ).