Теоретическая база знаний
Поправки в 152-ФЗ 2023–2024 годов изменили параметры регуляторного риска: штрафы за утечку данных выросли до 15 млн рублей, Роскомнадзор перешёл к плановым проверкам, а перечень запрашиваемых документов вышел далеко за рамки политики обработки ПДн. Защита персональных данных требует единого проектного подхода, где организационные и технические меры разрабатываются синхронно.
Организационная защита персональных данных в системах ИСПДн
Безопасность ИСПДн определяется приказом ФСТЭК № 21. Уровень защищённости (УЗ1–УЗ4) присваивается исходя из категории данных и числа субъектов. Организационная защита информации начинается с формирования обязательного пакета ОРД: политика обработки ПДн, приказы о назначении ответственных, регламенты доступа, инструкции для пользователей и администраторов, журналы учёта носителей и инцидентов.
Защита данных в ГИС и аттестация информационных систем
Защита государственных информационных систем регулируется приказом ФСТЭК № 117. ГИС подлежат обязательной аттестации информационных систем до ввода в эксплуатацию – без аттестата эксплуатация является административным правонарушением. Аттестацию проводит организация с лицензией ФСТЭК; аттестат действует на срок эксплуатации системы при неизменности условий аттестации и прохождении периодического контроля (приказ ФСТЭК России № 77 от 29.04.2021).
Использование сертифицированных средств доверенной загрузки
Средства доверенной загрузки (СДЗ) обязательны в ИСПДн УЗ1–УЗ2 и ГИС класса К1–К2. Они исключают загрузку с недоверенных носителей и модификацию загрузчика ОС. В виртуализированных средах аппаратные СДЗ неприменимы – используются программные решения (vGate, Secret Net Studio), сертифицированные для работы в среде виртуализации.
Построение системы управления ИБ согласно законодательству РФ
СУИБ связывает технические меры с процессами управления рисками, доступом, уязвимостями и инцидентами. Выполнение требований регуляторов обеспечивается через регулярный аудит защиты данных, обучение персонала и актуализацию модели угроз при изменении архитектуры ИТ-систем.
Безопасность ИСПДн достигается при системном подходе: актуальная модель угроз, обоснованный выбор сертифицированных мер, аттестация и регулярный аудит. Статичная система защиты без пересмотра перестаёт соответствовать требованиям регуляторов и реальным угрозам в течение двух-трёх лет.
Выполнение 152-ФЗ: от модели угроз до внедрения СЗИ
Выполнение 152-ФЗ строится последовательно:
- Инвентаризация и классификация всех ИСПДн.
- Разработка модели угроз персональных данных по методике ФСТЭК 2021 года.
- Проектирование системы защиты с выбором СЗИ из реестра СЗИ ФСТЭК.
- Внедрение СЗИ: аутентификация, управление доступом, антивирусная защита, межсетевое экранирование.
- Аудит защиты данных и устранение несоответствий перед аттестацией.
Для ИСПДн уровня УЗ1–УЗ2 применяются средства защиты информации с сертификатом не ниже 5-го класса. Лицензионное ПО обязательно как для СЗИ, так и для общесистемного ПО в составе системы.
«Кредо-С» – системный интегратор в сфере информационной безопасности, выполняющий полный цикл работ: разработка модели угроз персональных данных, формирование ОРД, внедрение СЗИ, сопровождение аттестационных испытаний ГИС и ИСПДн. Компания располагает лицензиями ФСТЭК и ФСБ, реализует проекты в Москве и регионах РФ.
Снизьте риски штрафов и подготовьтесь к проверкам регулятора, посмотрев наш практический вебинар по безопасной работе с ПДн.