Позвоните нам Напишите нам
ENG
Заказать обратный звонок
Все поля обязательны для заполнения!
Чтобы продолжить, необходимо Ваше согласие.

Исполнение законодательных актов обеспечения информационной безопасности

Информация приобретает все большую ценность как ресурс, оказывающий существенное влияние на состояние и развитие человека и общества. Одновременно с этим наблюдается рост киберпреступности, направленной на овладение информацией не только с целью извлечения прямой финансовой выгоды, но и с целью дезорганизации экономической жизни общества.

Федеральные законы «О персональных данных» (152-ФЗ) и «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ) направлены на обеспечение информационной безопасности как отдельной личности, так и сообществ людей, занятых в экономике.

Защита персональных данных — исполнение 152-ФЗ

Развитие и совершенствование нормативно-правовой базы, руководящих и нормативных документов регуляторов в сфере ПДн (Роскомнадзор, ФСЭК, ФСБ) требует внесения корректив и изменений не только в организационно-нормативные документы, регулирующие безопасное обращение персональных данных, но и в системы защиты информации (СЗИ) информационных систем персональных данных (ИСПДн).

Содержание работ

  • Аудит СЗИ ИСПДн на соответствие требованиям регуляторов как в части организационно-нормативных документов, так и применяемых средств СЗИ.

Внимание обращается на корректность отнесения ИСПДн к тому или иному уровню защищенности, на что влияют такие факторы, как: тип ПДн (специальные, биометрические, общедоступные, иные); принадлежность ПДн (сотрудники компании, внешние лица); количество субъектов ПДн (больше или меньше 100 тыс.); типы актуальных угроз для ИСПДн.

Также обращается внимание на то, попадает ли организация под GDPR (General Data Protection Regulation) — общий регламент о защите персональных данных (ПДн) всех физических лиц, которые находятся на территории Европейского союза, т. к. в этом случае потребуется устранить имеющиеся расхождения между 152-ФЗ и GDPR в таких аспектах обращения ПДн, как: состав ПДн, принципы и обязанности обработчика ПДн.

  • Разработка и модернизация полного пакета документов, регулирующего организационные и технические вопросы. Всего может потребоваться порядка 30 документов, среди которых укажем основные:
    • уведомление об обработке ПДн;
    • документ, определяющий ответственного за организацию обработки ПДн;
    • перечень сотрудников, допущенных к обработке ПДн;
    • документы, определяющие места хранения ПДн;
    • справка об обработке специальных и биометрических категорий ПДн;
    • справка об осуществлении трансграничной передачи ПДн;
    • типовые формы документов с ПДн;
    • порядок уничтожения ПДн;
    • типовая форма согласия на обработку ПДн;
    • порядок передачи ПДн третьим лицам;
    • порядок учета обращений субъектов ПДн;
    • перечень используемых ИСПДн;
    • акт классификации ИСПДн по уровню защищенности;
    • документы, регламентирующие резервирование данных в ИСПДн;
    • перечень используемых средств защиты информации;
    • матрица доступа к ИСПДн;
    • документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Разработка Технического Задания на создание системы защиты ПДн (СЗПДн) осуществляется на основе классификации ИСПДн по уровню защищенности, модели угроз безопасности ПДн, применимых требований нормативных документов регуляторов, которым должна удовлетворять СЗПДн в целом и ее подсистемы, включая требование применения сертифицированных в РФ средств защиты информации.
  • По согласованному заказчиком ТЗ на СЗПДн разрабатывается технический проект с оценкой стоимости его реализации. В рамках пояснительной записки к Техническому проекту СЗПДн формируется план внедрения технических средств и других мероприятий по защите персональных данных. 

Защита критической информационной инфраструктуры — исполнение 187-ФЗ

Эпидемия вируса WannaCry, атаки на ядерные объекты, объекты энергоснабжения и с использованием вредоносного ПО Stuxnet и BlackEnergy показали, что кибепреступность все чаще воздействует на социально значимые предприятия и организации, вызывая паралич ИС различного назначения. В результате таких воздействий на информационную инфраструктуру население может остаться без воды, газо- и электроснабжения, лишиться транспортных услуг, что приведет к коллапсу жизнедеятельности целых регионов, сопровождаемому реальной угрозой жизни и здоровью людей.

Принятый в 2017г. Федеральный закон 187-ФЗ обязывает производственные предприятия, организации государственного управления, действующие практически во всех областях экономики, обеспечить защиту критической информационной инфраструктуры (КИИ) от вредоносных воздействий, негативно влияющих на области значимости объектов КИИ: экономическая, политическая, социальная, государственная (правопорядок и обороноспособность).

Правовые нормы обязывают предприятия и организации, обладающие значимыми объектами КИИ, подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Цель ГосСОПКА – повышение уровня и качества защиты информационных ресурсов РФ от компьютерных атак и оказание помощи предприятиям и организациям, владеющим объектами КИИ в проактивной защите и ликвидации последствий компьютерных атак.

Содержание работ

  • Формирование рабочей группы по категорированию

В состав РГ, кроме специалистов по ИБ и ИТ, должны войти специалисты, знающие все типы информационных процессов, составляющих основную бизнес-деятельность предприятия, и способные на экспертном уровне оценивать последствия (ущерб) нарушения их штатного функционирования вследствие возможных угроз нарушения конфиденциальности, доступности и целостности.

  • Определение областей значимости объектов КИИ, в рамках которых проводится дальнейшая работа по категоризации, исходя из содержания и области деятельности предприятия или организации.
Такое решение позволит сократить объем последующих работ, сосредоточить усилия на выявлении действительно критических объектов КИИ и уточнить, если потребуется состав специалистов, включаемых в РГ. 

  • Сбор исходных данных для категорирования объектов КИИ

Исходные данные, сбор которых осуществляется посредством заочного обследования (опросные листы) и очного обследования субъекта КИИ – интервьюирование специалистов РГ, должны позволить сформировать отчет об обследовании, содержащий:

  • перечень всех типов процессов основных видов деятельности предприятия;
  • перечень и характеристику критических процессов (КП), нарушение или прекращение которых может привести к негативным последствиям в областях значимости КИИ;
  • определение объектов КИИ (ИС, ИТКС, АСУ, АСУТП), которые обрабатывают информацию (с привязкой информационных активов к объектам КИИ), необходимую для выполнения КП и осуществляют управление, контроль или мониторинг этих процессов;
  • формирование перечня объектов КИИ, подлежащих категорированию;
  • описание объектов КИИ:
    • назначение объекта и решаемые им функциональные задачи;
    • архитектура объекта КИИ;
    • состав и характеристики комплекса используемых технических средств: сервера, АРМ, сетевое оборудование;
    • состав и структура комплекса используемых программных средств объекта КИИ;
    • наличие и характеристики доступа к сетям связи;
    • организационно-нормативные документы процессов обеспечения ИБ и состояние документирования этих процессов;
    • применяемые средства защиты информации объекта КИИ;
    • инженерное обеспечение серверных помещений с оборудованием объекта КИИ.

По результатам анализа собранных данных формируется реестр объектов КИИ, подлежащих категорированию, представляемый субъектом КИИ во ФСТЭК РФ.

  • Формирование модели угроз и нарушителя безопасности объектов КИИ

Используя информацию предыдущих этапов работы, выявляются возможные уязвимости объектов КИИ с оценкой их критичности для возможных нарушений безопасности КП и последствий использования уязвимостей.

  • Выявление и анализ уязвимостей осуществляется:
    • на организационном уровне;
    • на уровне прикладных программных систем и комплексов;
    • на уровне сетевой инфраструктуры;
    • на уровне общесистемного и специального ПО.
  • Формируется перечень актуальных угроз безопасности объектов КИИ
  • Разрабатывается модель угроз и нарушителя безопасности объектов КИИ
  • Категорирование объектов КИИ

Объекту КИИ присваивается категория значимости от III (самая низкая) до I (самая высокая) на основании оценки последствий (ущерба), который может быть нанесен в результате нарушения безопасности объекта КИИ, по областям значимости и установленным постановление Правительства РФ показателям значимости («Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования»).

Формируется акт категорирования объектов КИИ, в котором представляются в систематизированном виде сведения об объектах КИИ, позволяющие уполномоченному федеральному органу (ФСТЭК) оценить обоснованность присвоения или не присвоения объекту КИИ категории значимости.

  • Формирование дорожной карты внедрения организационно-технических мер и средств безопасности объектов КИИ.

Разрабатываются и согласуются с заказчиком технические задания на системы защиты значимых объектов КИИ.

На основании ТЗ осуществляется проектирование СЗ значимых объектов КИИ с бюджетной оценкой стоимости подлежащих внедрению организационных и технических мер и средств обеспечения безопасности.

Определяются увязанные по времени сроки внедрения предлагаемых решений безопасности.

Работы по ТЗ и проектированию СЗ ведутся согласно рекомендациям и требованиям, содержащимся в руководящих документах ФСТЭК: приказ №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ», в приложениях к этому приказу «Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости»; приказ №209 «Требования к организационным и техническим мерам, принимаемым для обеспечения безопасности значимых объектов КИИ».

Проектирование центра оперативного управления информационной безопасности

Назначение ЦОИБ — своевременное обнаружение и предупреждение инцидентов ИБ и компьютерных атак.

Создание такого центра требуется для субъектов КИИ, владеющих значимыми объектами КИИ, и сопряжено с немалыми затратами на технические средства ИБ и содержание высококвалифицированных специалистов, имеющих знания и навыки по распознаванию и парированию компьютерных атак на информационную инфраструктуру. 

На первом этапе проектирования осуществляется выбор класса А/Б/В корпоративного ЦОИБ в зависимости от установленной значимости 1/2/3 объектов КИИ, соответственно. Класс А реализует полномасштабный функционал мер и средств ИБ: от установления постоянной связи 24×7 с НКЦКИ — уполномоченным органом ФСБ по ГосСОПКА, для обмена информацией о состоянии ИБ предприятия, до расследования причин возникновения компьютерных инцидентов.

Для класса А ЦОИБ, выбор которого согласуется с НКЦКИ, содержание проектирования представляется следующим образом:

  • Разработка набора документов (положение о ЦОИБ, регламент его деятельности, штатное расписание Центра) для представления и согласования различных вопросов по ЦОИБ во ФСТЭК и ФСБ
  • Проектирование архитектуры центра в составе подсистем:
    • обнаружение компьютерных атак;
    • предупреждение компьютерных атак;
    • ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;
    • поиск признаков компьютерных атак в сетях обеспечивающих взаимодействия объектов КИИ организации;
    • обмен информацией с НКЦКИ;
    • криптографическая защита каналов связи.
  • Проектирование средств автоматизации процессов центра (инвентаризация ИС, анализ угроз и рисков, выявление уязвимостей и т.д.).
  • Определение и выбор технических средств для реализации функционала центра и проектирование подключений к центру ИТ-инфраструктуры предприятия.
  • Формирование плана-программы работ по реализации центра в виде портфеля проектов, ранжированных по времени реализации на срочные и среднесрочные, перспективные, с учетом состояния кадрового состава центра.

Кроме рассмотренного возможны другие варианты реализации корпоративного ЦОИБ: гибридный ЦОИБ — передача части функций на аутсорсинг; коммерческий лицензированный НКЦКИ ЦОИБ — исполнение всего требуемого функционала; ведомственный ЦОИБ — исполнение всего требуемого функционала. Для всех вариантов требуется согласование с НКЦКИ.

Ознакомьтесь с другими решениями и услугами, предоставляемыми «ИНЛАЙН ГРУП» в рамках направления.

Все решения и услуги

Cогласие на обработку персональных данных

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» вы подтверждаете настоящим свое согласие на обработку своих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Акционерному обществу «ИНЛАЙН ГРУП» (АО «ИНЛАЙН ГРУП»), расположенному по адресу: г. Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35.

Настоящим пользователь/соискатель свободно, своей волей и в своем интересе в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» дает свое согласие Акционерному обществу «ИНЛАЙН ГРУП», расположенному по адресу: г. Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35, на обработку его персональных данных, указанных в Форме обратной связи/Резюме Соискателя и направляемых через сайт www.inlinegroup.ru.

Настоящим согласием вы подтверждаете, что проинформированы о том, что под обработкой персональных данных понимаются действия с персональными данными, определённые в Федеральном законе № 152-ФЗ от 27.07.2006 «О персональных данных», а именно: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление персональных данных, совершаемые использованием средств автоматизации «ИНЛАЙН ГРУП» либо без использования таковых средств.

Данным согласием вы подтверждаете, что проинформированы о том, что обработка предоставляемых вами персональных данных может осуществляется в следующих целях:

  • идентификация стороны в рамках взаимодействия;
  • эффективное исполнение заказов, договоров и иных обязательств, принятых «ИНЛАЙН ГРУП» в качестве обязательных к исполнению перед пользователем;
  • обработка вопросов пользователей Веб-сайта;
  • регистрация пользователей Веб-сайта на мероприятия;
  • регистрация клиентов/партнеров «ИНЛАЙН ГРУП» в системе service desk, для последующего осуществления технической поддержки;
  • принятие решения о приёме либо отказе в приёме на работу;
  • осуществление и/или исполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на «ИНЛАЙН ГРУП».

Настоящее согласие распространяется на следующие персональные данные: фамилия, имя, отчество, дата рождения, адрес доставки; контактный телефон, сведения об организации, должность, номер факса, номер сотового телефона, адрес электронной почты, сведения о стране, городе, области проживания, а также сведения, которые соискатель сочтет необходимым указать в своем резюме.

Срок действия Вашего согласия является неограниченным, однако, Вы вправе в любой момент отозвать настоящее согласие, путём направления письменного уведомления на электронный/почтовый адрес: info@inlinegroup.ru/125284, г.Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35, в АО «ИНЛАЙН ГРУП» с пометкой «отзыв согласия на обработку персональных данных».

Удаление ваших персональных данных будет произведено «ИНЛАЙН ГУРП» в течении 30 дней с момента получения данного уведомления.

«ИНЛАЙН ГРУП» гарантирует соблюдение следующих прав субъекта персональных данных: право на получение сведений о том, какие персональные данные субъекта персональных данных хранятся у «ИНЛАЙН ГРУП»; право на удаление, уточнение или исправление хранящихся у «ИНЛАЙН ГРУП» персональных данных; иные права, установленные действующим законодательством Российской Федерации.