Pages Navigation Menu
На главную На главную русской версии На главную украинской версии написать письмо

Автоматизированные системы управления, ERP системы, EAM, MRP II, BI, СЭД, управление ресурсами предприятий

Безпека даних

Безпека даних

Стрімкий розвиток інформаційних технологій та їх впровадження в усіх сферах діяльності значно удосконалює і прискорює багато бізнес-процесів. Наявність або відсутність необхідної інформації, її збереження і захищеність від стороннього втручання істотно впливає на добробут компанії. Але з кожним роком все більше зростає кількість вірусів, мережевих атак, зловмисників, виникають загрози порушення конфіденційності інформації всередині компанії, що призводить до фінансових втрат. Вирішення питань захисту даних у сучасних інформаційних системах буде успішним лише за умови використання комплексного підходу до побудови системи забезпечення безпеки інформації.

Захист персональних даних

1 липня 2012 року набрав чинності Закон України "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних" від 02.06.2011 № 3454-VI.  Закон України "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних" від 02.06.2011 № 3454-VI. Відтепер всі особи, які є власниками баз персональних даних, у разі порушення відповідних положень закону можуть потрапити під значні санкції. Тому особливо актуальним на сьогодні є з'ясування деяких питань практичного застосування норм законодавства у сфері захисту персональних даних. Однією з цілей такого перенесення була доробка нормативних актів у сфері захисту персональних даних, зокрема Закону "Про захист персональних даних", який найчастіше не дає чітких визначень і формулювань, що породжує різночитання його норм. Зі вступом Закону в силу, всі компанії, що працюють з персональними даними, повинні захистити свої інформаційні системи з обробки персональних даних і пройти атестацію цих систем.

Діяльність у сфері захисту персональних даних на території України регламентується Законом України "Про захист персональних даних".Законом України "Про захист персональних даних", Конституцією України, іншими законами та нормативно-правовими актами, а також міжнародними договорами.

Зокрема, відповідно до ст.2 Закону України «Про захист персональних даних», персональними даними вважається будь-яка інформація про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

При цьому будь-яка іменована сукупність упорядкованих персональних даних вважається базою персональних даних і повинна бути зареєстрована в Державному реєстрі баз персональних даних.

Згідно ст.24 Закону України «Про захист персональних даних», власник бази персональних даних зобов'язаний забезпечити захист цих даних від незаконної обробки, а також від незаконного доступу до них.

Контроль за дотриманням вимог щодо захисту персональних даних в Україні здійснює Державна служба України з питань захисту персональних даних.

Відповідальність за порушення вимог щодо захисту персональних даних передбачена Кодексом України про Адміністративні Правопорушення та Кримінальним Кодексом України.

Типовий комплект документів, які регламентують обробку персональних даних в організації, може включати:

1. Положення про обробку персональних даних в організації, яка встановлює:

• Цілі обробки, порядок обробки та захисту персональних даних (ПД).

• Порядок доступу співробітників організації, суб'єктів ПД і третіх осіб до інформації, яка зберігається та обробляється в зареєстрованих базах персональних даних.

• Відповідальна особа або структурний підрозділ, який відповідає за дотримання встановлених вимог.

2. Зразки угод суб'єктів ПД на обробку їх ПД в організації.

3. Зразки договорів на обробку ПД з розпорядниками баз персональних даних (при необхідності).

Загальні вимоги до обробки персональних даних визначаються Типовим порядком обробки персональних даних, який розробляється Державною службою України з питань захисту персональних даних.

Відповідно до Проекту типового порядку обробки персональних даних у базах персональних даних організація обробки персональних даних здійснюється за допомогою системи управління персональними даними.

Система управління персональними даними (СУПД) являє собою сукупність елементів організаційної структури, механізмів відповідальності, повноважень та процедур організації обробки персональних даних, а також процесів і ресурсів, які забезпечують відповідність вимогам законодавства України щодо захисту персональних даних.

Організація обробки персональних даних включає наступні етапи:

1. Первинна оцінка стану обробки персональних даних - оцінка поточних процесів і процедур обробки персональних даних для приведення їх у відповідність вимогам законодавства.

2. Планування та впровадження СУПД - визначення цілей обробки персональних даних, розробка та впровадження процедур їх обробки, забезпечення захисту персональних даних від незаконної обробки та незаконного доступу.

3. Забезпечення поточного функціонування СУПД.

4. Періодична і поточна оцінка ефективності СУПД.

5. Удосконалення СУПД.

Ми пропонуємо комплекс послуг з проектування, впровадження та супроводу систем управління персональними даними відповідно до вимог законодавства.

Побудова і сертифікація комплексної системи захисту інформації.

Необхідність захисту персональних даних визначена законодавством України. Зокрема:

• Згідно ст.24 Закону України «Про захист персональних даних», забезпечення захисту персональних даних у базі персональних даних покладається на власника цієї бази.

• Згідно ст.5 Закону України «Про захист персональних даних», персональні дані за режимом доступу є інформацією з обмеженим доступом.

• Згідно ст.8 Закону України «Про захист персональних даних», інформація, яка є власністю держави, а також інформація з обмеженим доступом, вимога щодо захисту якої встановлена ​​законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю.

Організаційні заходи включають в себе створення концепції інформаційної безпеки, а також:

- Складання посадових інструкцій для користувачів та обслуговуючого персоналу;

- Створення правил адміністрування компонентів інформаційної системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікації користувачів;

- Розробка планів дій у разі виявлення спроб несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;

- Навчання правилам інформаційної безпеки користувачів.

У разі необхідності, в рамках проведення організаційних заходів може бути створена служба інформаційної безпеки, режимно-пропускний відділ, проведено реорганізацію системи діловодства та зберігання документів.

Інженерно-технічні заходи - сукупність спеціальних технічних засобів та їх використання для захисту інформації. Вибір інженерно-технічних заходів залежить від рівня захищеності інформації, який необхідно забезпечити.

Інженерно-технічні заходи, що проводяться для захисту інформаційної інфраструктури організації, можуть включати використання захищених підключень, міжмережевих екранів, розмежування потоків інформації між сегментами мережі, використання засобів шифрування і захисту від несанкціонованого доступу.

У разі необхідності, в рамках проведення інженерно-технічних заходів, може здійснюватися установка в приміщеннях систем охоронно-пожежної сигналізації, систем контролю і управління доступом.

Окремі приміщення можуть бути обладнані засобами захисту від витоку акустичної (мовної) інформації.

Побудова комплексних систем захисту інформації є напрямом діяльності нашої компанії. Ми пропонуємо повний комплекс послуг з побудови і супроводу комплексних систем захисту інформації, у тому числі для захисту персональних даних.

Комплексний аудит стану інформаційної безпеки

Необхідність ефективного та адекватного захисту інформаційних активів організації вимагає грамотного, послідовного і комплексного впровадження системи управління інформаційною безпекою (СУІБ).

При впровадженні СУІБ необхідним заходом є проведення аудиту поточного стану інформаційної безпеки (ІБ) як в інформаційно-телекомунікаційних системах (ІТС) організації, так і в інших сферах бізнес-діяльності. Основним стандартом, що описує застосування СУІБ, є міжнародний стандарт ISO / IEC 27001:2010.

У зв'язку з тим, що процес попереднього тестування на відповідність СУІБ вимогам стандарту ISO / IEC 27001 носить загальний рекомендаційний характер і докладно не описаний, пропонується проведення комплексного аудиту інформаційної безпеки з метою:

• професійного, об'єктивного і неупередженого оцінювання стану захищеності ІТС, а також інформаційних активів організації;

• зниження правових, фінансових, репутаційних, операційних та інших ризиків;

• надання рекомендацій для відповідності всім актуальним для організації вимогам у сфері ІБ;

• оптимізації технологічної структури і фінансових витрат на забезпечення ІБ.

Суть такого комплексного підходу полягає в тому, що на етапі впровадження поточний стан СУІБ можна розглядати поелементно. Наприклад, при тестуванні стану комп'ютерної безпеки варто приділити увагу такому стандарту інформаційної безпеки як PCI DSS. Він є більш конкретним у рекомендаціях щодо безпеки IT-складової компанії, ніж більш універсальний ISO / IEC 27001. А головна відрізняюча властивість від раніше описаних методик полягає в тому, що PCI DSS передбачає проведення тестування відповідно до моделі відкритих систем OSI. Останнє означає проведення тестування об'єктів комп'ютерної мережі виходячи не тільки з їх ієрархії в робочому процесі організації, а й програмно-апаратної архітектури ІТС:

  • сегментація мережі (призначена для користувача, технологічна, DMZ, і т.д.);
  • міжмережне екранування на межах підмереж (ACL / МСЕ);
  • використовувані Web-додатки і СУБД (як тестові, так і продуктивні);
  • використовувані бездротові мережі;
  • окремі деталі запоруки безпеки, які необхідно врахувати в ході проведення обстеження, особливості інфраструктури, системи SAP, SCADA.

Володіючи всією необхідною інформацією про стан захищеності ІТС, можна зіставити виконання вимог стандарту PCI DSS і деяких пунктів рекомендацій ISO / IEC 27001 (перший стандарт є «технічним» доповненням другого), на виході комплексного аудиту можна отримати комплексний звіт, що включає:

• рекомендації стандартів ІБ,

• штатні інструкції персоналу,

• системні конфігурації мережевих сервісів і апаратного забезпечення ІТС.

Крім цього, як описано в ISO / IEC 27001, при побудові СУІБ повинні враховуватися вимоги чинного законодавства України в галузі захисту інформації, що циркулює в ІТС. Так, згідно, зокрема, Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» для обробки інформації з обмеженим доступом (до якої належать і, наприклад, персональні дані фізичних осіб) в ІТС повинна функціонувати як невід'ємна частина СУІБ відповідна комплексна система захисту інформації з підтвердженою відповідністю.

Відповідність "Галактика ERP" вимогам нормативних документів

Державною службою спеціального зв'язку та захисту інформації України за результатами експертизи підтверджено, що комплекс засобів захисту програмного комплексу «Система« Галактика ERP »відповідає вимогам нормативних документів системи ТЗІ в Україні.

Центральний офіс корпорації «Галактика» пропонує надання послуг у зазначеній галузі, від консультаційно-методичної допомоги до повного циклу робіт з обстеження, побудови, експертизи та введення в дію комплексних систем захисту інформації ІТС різного функціонального призначення.

Доступно на: Російська

Поставте питання

 
Здравствуйте!

У Вас есть вопрос?

Наши специалисты
оперативно ответят Вам!

Задать вопрос

Return to Top ▲Return to Top ▲