Защита информационных систем персональных данных
Защита персональных данных – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан.
Согласно требованиям Федерального Закона РФ от 27.07.2006 г. № 152-ФЗ «О защите персональных данных», оператор персональных данных обязан выполнить ряд организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Безопасность персональных данных при их обработке в ИСПДн может быть обеспечена путем создания системы защиты персональных данных (СЗПДн), включающей:
- организационные меры и средства защиты информации, в том числе:
- шифровальные (криптографические) средства,
- средства предотвращения несанкционированного доступа,
- средства предотвращения утечки информации по техническим каналам,
- средства предотвращения программно-технических воздействий на технические средства обработки персональных данных,
- а также используемые в информационной системе информационные технологии.
После чего систему защиты персональных данных объекта информатизации подвергают оценке соответствия в зависимости от характеристик объекта: аттестации или декларированию соответствия.
Сертификация информационной системы как единого комплекса в данном случае не рассматривается из-за неоправданной дороговизны, длительности и проблем в дальнейшей эксплуатации и модернизации. Поэтому на практике для защиты объекта информатизации используют сертифицированные средства защиты. А информационная система проходит процедуру аттестации, обязательную для операторов государственных информационных систем, или декларирования.
Аттестация по требованиям безопасности информации проводится лицензиатами ФСТЭК и представляет собой заключение лицензиата о возможности эксплуатации объекта информатизации при условии соблюдения требований, соответствующих заявленному классу информационной системы. Заключение делается на основе проверочных мероприятий – аттестационных испытаний, в ходе которых выясняются особенности обработки и защиты информации.
Информационная безопасность в Липецкой области
"Информационно-технический центр" как оператор информационных систем обеспечил со своей стороны на центральном сегменте необходимый уровень защищенности персональных данных. Но конечные сегменты государственных информационных систем, подключаемые через защищенные каналы связи, согласно проведенному опросу не обеспечивают должный уровень защищенности персональных данных. Что может привести к нарушению целостности, конфиденциальности, доступности ПДн, содержащихся в этих системах и, как следствие, повлечь административную и уголовную ответственность.
ФСТЭК в приказе № 17 от 11 февраля 2013 года «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» приводит перечень мероприятий, обязательных к исполнению всеми операторами информационных систем персональных данных на этапе ввода в эксплуатацию. Это разработка и внедрение системы защиты информации, проведение аттестационных мероприятий системы защиты, а также обеспечение ее защищенности в ходе эксплуатации.
В Липецкой области все региональные органы исполнительной власти и другие государственные учреждения имеют доступ к государственным информационным системам и, как следствие, обязаны обеспечить должный уровень защищенности своих ИСПДн.
Информационно-технический центр, являясь оператором ряда государственных информационных систем области, имея полное представление об их структуре, крайне заинтересован в приведении этих информационных систем в соответствие требованиям законодательства РФ.
В связи с вышесказанным, "Информационно-технический центр" предлагает региональным органам исполнительной власти и другим государственным учреждениям:
- Предусмотреть финансовые средства на закупку средств защиты информации и на проведение аттестационных мероприятий при формировании бюджета на 2020 - 2022 гг.
- Привести рабочие места, имеющие доступ к государственным информационным системам, в соответствие требованиям законодательства РФ в сфере информационной безопасности.
- Принять к сведению информацию о готовности Информационно-технического центра к проведению работ по оказанию услуг в сфере информационной безопасности.
Защита государственных информационных систем
Защита информации в государственных информационных системах (далее – ГИС) – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи информации в государственных информационных системах.
Согласно требованиям Федерального Закона РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», оператор информационной системы обязан выполнить ряд организационных и технических мер для защиты информации в ГИС от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования или распространения, а также от иных неправомерных действий.
Безопасность информации при её обработке в ГИС может быть обеспечена путем создания системы защиты информации (далее – СЗИ), включающей:
- организационные меры и средства защиты информации, в том числе:
- шифровальные (криптографические) средства,
- средства предотвращения несанкционированного доступа,
- средства предотвращения утечки информации по техническим каналам,
- средства предотвращения программно-технических воздействий на технические средства обработки персональных данных,
- а также используемые в информационной системе информационные технологии.
После чего систему защиты персональных данных объекта информатизации подвергают обязательной аттестации соответствия по требованиям защиты информации.
Аттестация по требованиям безопасности информации проводится лицензиатами ФСТЭК и представляет собой заключение лицензиата о возможности эксплуатации объекта информатизации при условии соблюдения требований, соответствующих заявленному классу информационной системы. Заключение делается на основе проверочных мероприятий – аттестационных испытаний, в ходе которых выясняются особенности обработки и защиты информации.