Компания
На главную На главную русской версии На главную украинской версии написать письмо

Автоматизированные системы управления, ERP системы, EAM, MRP II, BI, СЭД, управление ресурсами предприятий

Безопасность данных

Безопасность данных

Стремительное развитие информационных технологий и их внедрение во всех сферах деятельности значительно совершенствует и ускоряет многие бизнес-процессы. Наличие или отсутствие необходимой информации, ее сохранность и защищенность от стороннего вмешательства существенно влияет на благополучие компании. Но с каждым годом все больше возрастает количество вирусов, сетевых атак, злоумышленников, возникают угрозы нарушения конфиденциальности информации внутри компании, что приводит к финансовым потерям. Решение вопросов защиты данных в современных информационных системах будет успешным только при условии использования комплексного подхода к построению системы обеспечения безопасности информации.

Защита персональных данных

1 июля 2012 года вступил в силу Закон Украины "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных" от 02.06.2011 № 3454-VI. Все лица, которые являются владельцами баз персональных данных, в случае нарушения соответствующих положений закона могут попасть под значительные санкции. Поэтому особенно актуальным на сегодня является выяснение некоторых вопросов практического применения норм законодательства в сфере защиты персональных данных. Одной из целей такого переноса была доработка нормативных актов в сфере защиты персональных данных, в частности, Закона "О защите персональных данных", который зачастую не дает четких определений и формулировок, что порождает разночтения его норм. Со вступлением Закона в силу, все компании, работающие с персональными данными, должны защитить свои информационные системы по обработке персональных данных и пройти аттестацию этих систем.

Деятельность в сфере защиты персональных данных на территории Украины регламентируется Законом Украины "О защите персональных данных", Конституцией Украины, другими законами и нормативно-правовыми актами, а также международными договорами.

В частности, согласно ст.2 Закона Украины «О защите персональных данных», персональными данными считается любая информация о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

При этом любая именованная совокупность упорядоченных персональных данных считается базой персональных данных и должна быть зарегистрирована в Государственном реестре баз персональных данных.

Согласно ст.24 Закона Украины «О защите персональных данных», владелец базы персональных данных обязан обеспечить защиту этих данных от незаконной обработки, а также от незаконного доступа к ним.

Контроль над соблюдением требований по защите персональных данных в Украине осуществляет Государственная служба Украины по вопросам защиты персональных данных.

Ответственность за нарушение требований по защите персональных данных предусмотрена Кодексом Украины об Административных Правонарушениях и Уголовным Кодексом Украины.

Lisence_TZI

Лицензия Госспецвязи на деятельность по ТЗИ

Lisence_KZI

Лицензия Госспецвязи на деятельность по КЗИ

Типовой комплект документов, которые регламентируют обработку персональных данных в организации, может включать:

1. Положение об обработке персональных данных в организации, которое устанавливает:

  • Цели обработки, порядок обработки и защиты персональных данных (ПД).
  • Порядок доступа сотрудников организации, субъектов ПД и третьих лиц к информации, которая хранится и обрабатывается в зарегистрированных базах персональных данных.
  • Ответственное лицо или структурное подразделение, которое отвечает за соблюдение установленных требований.

2. Образцы соглашений субъектов ПД на обработку их ПД в организации.
3. Образцы договоров на обработку ПД с распорядителями баз персональных данных (при необходимости).

Общие требования к обработке персональных данных определяются Типовым порядком обработки персональных данных, который разрабатывается Государственной службой Украины по вопросам защиты персональных данных.

В соответствии с Проектом типового порядка обработки персональных данных в базах персональных данных организация обработки персональных данных осуществляется с помощью системы управления персональными данными.

Система управления персональными данными (СУПД) являет собой совокупность элементов организационной структуры, механизмов ответственности, полномочий и процедур организации обработки персональных данных, а также процессов и ресурсов, которые обеспечивают соответствие требованиям законодательства Украины по защите персональных данных.

Организация обработки персональных данных включает следующие этапы:

  1. Первичная оценка состояния обработки персональных данных – оценка текущих процессов и процедур обработки персональных данных для приведения их в соответствие требованиям законодательства.
  2. Планирование и внедрение СУПД – определение целей обработки персональных данных, разработка и внедрение процедур их обработки, обеспечение защиты персональных данных от незаконной обработки и незаконного доступа.
  3. Обеспечение текущего функционирования СУПД.
  4. Периодическая и текущая оценка эффективности СУПД.
  5. Усовершенствование СУПД.

Мы предлагаем комплекс услуг по проектированию, внедрению и сопровождению систем управления персональными данными в соответствии с требованиями законодательства.

Построение и сертификация  комплексной системы защиты информации.

Необходимость защиты персональных данных определена законодательством Украины. В частности:

  • Согласно ст.24 Закона Украины «О защите персональных данных», обеспечение защиты персональных данных в базе персональных данных возлагается на владельца этой базы.
  • Согласно ст.5 Закона Украины «О защите персональных данных», персональные данные по режиму доступа являются информацией с ограниченным доступом.
  • Согласно ст.8 Закона Украины «О защите персональных данных», информация, которая является собственностью государства, а также информация с ограниченным доступом, требование относительно защиты которой установлено законом, должна обрабатываться в системе с применением комплексной системы защиты информации с подтвержденным соответствием.

Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:

- составление должностных инструкций для пользователей и обслуживающего персонала;

- создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;

- разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;

- обучение правилам информационной безопасности пользователей.

В случае необходимости, в рамках проведения организационных мероприятий может быть создана служба информационной безопасности, режимно-пропускной отдел, проведена реорганизация системы делопроизводства и хранения документов.

Инженерно-технические мероприятия — совокупность специальных технических средств и их использование для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.

Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.

В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.

Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации.

Построение комплексных систем защиты информации является направлением деятельности нашей компании. Мы предлагаем полный комплекс услуг по построению и сопровождению комплексных систем защиты информации, в том числе для защиты персональных данных.

Комплексный аудит состояния информационной безопасности

Необходимость эффективной и адекватной защиты информационных активов организации требует грамотного, последовательного и комплексного внедрения системы управления информационной безопасностью (СУИБ).

При внедрении СУИБ необходимым мероприятием является проведения аудита текущего состояния информационной безопасности (ИБ) как в информационно- телекоммуникационных системах (ИТС) организации, так и в остальных сферах бизнес- деятельности. Основным стандартом, описывающим применение СУИБ, является международный стандарт ISO/IEC 27001:2010.

В связи с тем, что процесс предварительного тестирования на соответствие СУИБ  требованиям стандарта ISO/IEC 27001 носит общий рекомендательный характер и подробно не описан, предлагается проведение комплексного аудита информационной безопасности с целью:

  • профессионального, объективного и непредубежденного оценивания состояния защищенности ИТС, а также информационных активов организации;
  • снижения правовых, финансовых, репутационных, операционных и других рисков;
  •  предоставления рекомендаций для соответствия всем актуальным для организации требованиям в области ИБ;
  • оптимизации технологической структуры и финансовых затрат на обеспечение ИБ.

Суть такого комплексного подхода состоит в том, что на этапе внедрения текущее состояние СУИБ можно рассматривать поэлементно. Например, при тестировании состояния компьютерной безопасности стоит уделить внимание такому стандарту информационной безопасности как PCI DSS. Он является более конкретным в рекомендациях относительно безопасности IT-составляющей компании, нежели более универсальный ISO/IEC 27001. А главное отличительное свойство от ранее описанных методик заключается в том, что PCI DSS подразумевает проведение тестирования в соответствии с моделью открытых систем OSI. Последнее означает проведение тестирования объектов компьютерной сети исходя не только из их иерархии в рабочем процессе организации, но и программно-аппаратной архитектуры ИТС:

  • сегментация сети (пользовательская, технологическая, DMZ, и т.д.);
    • межсетевое экранирование на границах подсетей (ACL/МСЭ);
    • используемые Web-приложения и СУБД (как тестовые, так и продуктивные);
    • используемые беспроводные сети;
    • отдельные детали обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, особенности инфраструктуры, системы SAP, SCADA.

Обладая всей необходимой информацией о состоянии защищенности ИТС, можно сопоставить выполнение требований стандарта PCI DSS и некоторых пунктов рекомендаций ISO/IEC 27001 (первый стандарт является «техническим» дополнением второго), на выходе комплексного аудита можно получить комплексный отчет, включающий:

  • рекомендации стандартов ИБ,
  • штатные инструкции персонала,
  • системные конфигурации сетевых сервисов и аппаратного обеспечения ИТС.

Кроме этого, как описано в ISO/IEC 27001, при построении СУИБ должны учитываться требования действующего законодательства Украины в области защиты информации, циркулирующей в ИТС. Так, согласно, в частности, Закону Украины «Про защиту информации в информационно-телекоммуникационных системах» для обработки информации с ограниченным доступом (к которой относятся и, например, персональные данные физических лиц) в ИТС должна функционировать как неотъемлемая часть СУИБ соответствующая комплексная система защиты информации с подтвержденным соответствием.

Соответствие "Галактика ERP" требованиям нормативных документов

Государственной службой специальной связи и защиты информации Украины по результатам экспертизы подтверждено, что комплекс средств защиты программного комплекса «Система «Галактика ERP» отвечает требованиям нормативных документов системы ТЗИ в Украине.

Центральный офис корпорации «Галактика» предлагает предоставление услуг в указанной области, от консультационно-методической помощи до полного цикла работ по обследованию, построению, экспертизе и введению в действие комплексных систем защиты информации ИТС различного функционального назначения.

Expert-resolution9.1

Экспертное заключение соответствия реализованных функциональных услуг безопасности и уровня гарантий корректности их реализации требованиям НД ТЗИ 2.5-004-99

 

Доступно на: Украинский

Задайте вопрос

 
Здравствуйте!

У Вас есть вопрос?

Наши специалисты
оперативно ответят Вам!

Задать вопрос

Return to Top ▲Return to Top ▲