апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

12.04.2024

На RIGF 2024 обсудили ключевые вопросы цифрового развития России

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2011 / Выпуск №9 (12) / Защита персональных данных. Сертификат must have, а что еще?

Рубрика: Безопасность

 Юлия Смирнова, менеджер по развитию направления компании «Код Безопасности»

Защита персональных данных
Сертификат must have, а что еще?

Ситуация в сфере защиты персональных данных крайне неоднозначна. Хотя закон «О внесении изменений в Федеральный закон «О персональных данных» уже принят, изменения в подзаконные акты регуляторов пока не внесены

Поэтому многие операторы персональных данных (ПДн) не спешат приводить свои ИСПДн в соответствие законодательству, дожидаясь разъяснений регуляторов. Однако проверки Роскомнадзора уже начались. На какие особенности СЗИ при построении ИСПДн стоит ориентироваться компаниям?

Применение сертифицированных средств защиты информации (СЗИ) является неотъемлемым условием выполнения требований законодательства и регуляторов в области защиты ПДн. В Федеральном законе «О персональных данных» (в ред. от 25.07.2011 №261-ФЗ) сказано, что «обеспечение безопасности ПДн достигается, в частности, применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации». Следует пояснить, что под такой процедурой подразумевается сертификация в органах ФСТЭК и ФСБ России.

По-прежнему действующий приказ ФСТЭК России №58 также говорит о необходимости использования сертифицированных средств защиты информации, причем для информационных систем первого класса это условие является обязательным.

Помимо наличия сертификата, также стоит задуматься о надежности механизмов защиты технического решения. Во-первых, механизмы защиты СЗИ куда надежнее, когда в их основе лежат хорошо известные стандарты и протоколы, нежели мало опробованные собственные разработки. Например, не стоит сомневаться в надежности механизма двухсторонней аутентификации на базе протокола Kerberos или механизмов защиты сетевых соединений на базе широко известных протоколов семейства IPsec.

Важным аргументом в пользу того или иного решения может стать официальная рекомендация независимых авторитетных экспертов. В частности, для получения сертификата Approved by Аnti-Malware.ru решение подвергается всестороннему тестированию. Наличие такого сертификата подтверждает высокий уровень качества продукта и является рекомендацией независимых экспертов для потенциальных заказчиков.

Немаловажен и вопрос совместимости приобретаемых решений между собой и с тем ПО, которое уже используется в организации. В этом случае лучше использовать решения одного разработчика, обладающего наиболее полной линейкой средств защиты информации, и обращать внимание на наличие сертификатов, подтверждающих совместимость с той операционной системой, на которой планируется развертывать СЗИ (например, сертификаты Microsoft Works with Windows Server 2008 R2 или Works with Windows 7).

Простота и удобство администрирования – также существенный фактор, на который следует обратить внимание при выборе средства защиты ПДн. Применение СЗИ с централизованным управлением может значительно облегчить жизнь администратору ИБ. Согласитесь, что устанавливать и настраивать СЗИ (например, межсетевой экран) со своего рабочего места гораздо удобнее, чем делать это локально на каждом из объектов. Кроме того, для автоматизации работы администратора ИБ можно использовать готовые шаблоны ИБ-политик, которые поставляются вместе с некоторыми решениями. Такие шаблоны позволят не только оптимизировать работу администратора ИБ, но и серьезно упростить процесс приведения информационных систем в соответствие требованиям отраслевых стандартов.

Кроме того, применение сертифицированных средств межсетевого экранирования (межсетевых экранов) позволит компании легитимным способом снизить класс ИСПДн путем сегментирования ИСПДн, а значит, сэкономить часть бюджета компании при построении систем защиты. При этом использовать распределенный программный межсетевой экран, позволяющий снизить класс защищенности отдельных сегментов ИСПДн, более выгодно для компании, поскольку изменение конфигурации локальной сети или покупка дополнительного оборудования в этом случае не потребуется.

Таким образом, сочетание надежных механизмов защиты, наличие сертификата нужного уровня, удобства администрирования и приемлемой цены являются основными критериями выбора решения для защиты ПДн.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи