июнь    2023

Пн	Вт	Ср	Чт	Пт	Сб	Вс
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

показать все 

05.06.2023

На ЦИПР-2023 подвели итоги работы индустриальных центров компетенций за год и определили главные направления импортозамещения на следующие годы

Читать далее 

02.06.2023

Состоялось подписание Ценовой хартии социально ответственного ИТ-бизнеса

Читать далее 

02.06.2023

На ЦИПР-2023 Михаил Мишустин дал ряд поручений для достижения технологического суверенитета 

Читать далее 

01.06.2023

На ЦИПР-2023 подвели итоги премии CIPR DIGITAL 

Читать далее 

показать все 

29.04.2023

Перевернет ли ChatGPT нашу ИТ-отрасль?

Читать далее 

03.04.2023

Стратегия для неопределенности

Читать далее 

25.02.2023

Тренд года – платформенные решения

Читать далее 

31.12.2022

Возможности реализации 2ФА в ОС Linux

Читать далее 

31.12.2022

Есть только миг между прошлым и будущим

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

Главная / Архив номеров / 2011 / Выпуск №9 (12) / Защита персональных данных. Сертификат must have, а что еще?

Рубрика: Безопасность

 Юлия Смирнова, менеджер по развитию направления компании «Код Безопасности»

Защита персональных данных
Сертификат must have, а что еще?

Ситуация в сфере защиты персональных данных крайне неоднозначна. Хотя закон «О внесении изменений в Федеральный закон «О персональных данных» уже принят, изменения в подзаконные акты регуляторов пока не внесены

Поэтому многие операторы персональных данных (ПДн) не спешат приводить свои ИСПДн в соответствие законодательству, дожидаясь разъяснений регуляторов. Однако проверки Роскомнадзора уже начались. На какие особенности СЗИ при построении ИСПДн стоит ориентироваться компаниям?

Применение сертифицированных средств защиты информации (СЗИ) является неотъемлемым условием выполнения требований законодательства и регуляторов в области защиты ПДн. В Федеральном законе «О персональных данных» (в ред. от 25.07.2011 №261-ФЗ) сказано, что «обеспечение безопасности ПДн достигается, в частности, применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации». Следует пояснить, что под такой процедурой подразумевается сертификация в органах ФСТЭК и ФСБ России.

По-прежнему действующий приказ ФСТЭК России №58 также говорит о необходимости использования сертифицированных средств защиты информации, причем для информационных систем первого класса это условие является обязательным.

Помимо наличия сертификата, также стоит задуматься о надежности механизмов защиты технического решения. Во-первых, механизмы защиты СЗИ куда надежнее, когда в их основе лежат хорошо известные стандарты и протоколы, нежели мало опробованные собственные разработки. Например, не стоит сомневаться в надежности механизма двухсторонней аутентификации на базе протокола Kerberos или механизмов защиты сетевых соединений на базе широко известных протоколов семейства IPsec.

Важным аргументом в пользу того или иного решения может стать официальная рекомендация независимых авторитетных экспертов. В частности, для получения сертификата Approved by Аnti-Malware.ru решение подвергается всестороннему тестированию. Наличие такого сертификата подтверждает высокий уровень качества продукта и является рекомендацией независимых экспертов для потенциальных заказчиков.

Немаловажен и вопрос совместимости приобретаемых решений между собой и с тем ПО, которое уже используется в организации. В этом случае лучше использовать решения одного разработчика, обладающего наиболее полной линейкой средств защиты информации, и обращать внимание на наличие сертификатов, подтверждающих совместимость с той операционной системой, на которой планируется развертывать СЗИ (например, сертификаты Microsoft Works with Windows Server 2008 R2 или Works with Windows 7).

Простота и удобство администрирования – также существенный фактор, на который следует обратить внимание при выборе средства защиты ПДн. Применение СЗИ с централизованным управлением может значительно облегчить жизнь администратору ИБ. Согласитесь, что устанавливать и настраивать СЗИ (например, межсетевой экран) со своего рабочего места гораздо удобнее, чем делать это локально на каждом из объектов. Кроме того, для автоматизации работы администратора ИБ можно использовать готовые шаблоны ИБ-политик, которые поставляются вместе с некоторыми решениями. Такие шаблоны позволят не только оптимизировать работу администратора ИБ, но и серьезно упростить процесс приведения информационных систем в соответствие требованиям отраслевых стандартов.

Кроме того, применение сертифицированных средств межсетевого экранирования (межсетевых экранов) позволит компании легитимным способом снизить класс ИСПДн путем сегментирования ИСПДн, а значит, сэкономить часть бюджета компании при построении систем защиты. При этом использовать распределенный программный межсетевой экран, позволяющий снизить класс защищенности отдельных сегментов ИСПДн, более выгодно для компании, поскольку изменение конфигурации локальной сети или покупка дополнительного оборудования в этом случае не потребуется.

Таким образом, сочетание надежных механизмов защиты, наличие сертификата нужного уровня, удобства администрирования и приемлемой цены являются основными критериями выбора решения для защиты ПДн.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи