Защита ПД

Все организации, выполняющие обработку персональных данных (ПДн) в своих информационных системах (ИС), являются операторами ПДн и должны обеспечить соответствие своих ИС требованиям ФЗ-152 "О персональных данных" и нормативным документам регулирующих органов РФ. Оператор обязан выполнить в  своей ИС комплекс организационных и технических мероприятий, в том числе создать Систему защиты ПДн, включающую необходимые средства защиты информации. Оператор получает право на обработку ПДн в своей ИС по результатам проведения оценки соответствия ИС требованиям законодательства РФ.

При внедрении Системы защиты персональных данных (СЗПДн) необходимо решить задачу внедрения в организации СЗПДн, удовлетворяющей требованиям регулирующих органов РФ, не нарушив работу бизнес-процессов, и не снизив надежность, доступность и масштабируемость ИС.

Мы предлагаем использовать для построения СЗПДн сертифицированные средства защиты информации производства компании Check Point Security Gateway:

  1. Межсетевое экранирование. Межсетевое экранирование является обязательным требованием для ИСПДн, имеющих подключение к публичным сетям общего пользования или взаимодействующих с другими ИС. Только сертифицированные средства межсетевого экранирования могут использоваться для защиты ПДн. Межсетевой экран Check Point Security Gateway сертифицирован по 3-му классу защищенности и может использоваться в ИСПДн любого класса (включая 1-ый).
  2. Обнаружение/предупреждение вторжений. Система обнаружения вторжений (СОВ) является обязательной компонентой защиты ИСПДн, имеющих подключение к публичным сетям общего пользования. Шлюз безопасности Check Point Security Gateway имеет встроенный функционал предупреждения вторжений (IPS), комбинирующий как сигнатурные, так и поведенческие методы обнаружения атак.
  3. Организация защищенных каналов связи. Оператор ПДн должен предусмотреть меры по защите данных, передаваемых по каналам связи между объектами производственной структуры организации. Шлюз безопасности  Check Point Security Gateway обеспечивает возможность криптографической защиты данных, передаваемых между шлюзами безопасности объектов, с использованием российских алгоритмов шифрования. Программное обеспечение Среды криптографической защиты информации (СКЗИ) «Крипто-Про CSP» устанавливается непосредственно на шлюз безопасности Check Point Security Gateway и обеспечивает шифрование данных по алгоритмам ГОСТ 28147-89 / ГОСТ Р 34.10.2001 в соответствии с нормативными документами ФСБ РФ. Применение данного технического решения позволяет оператору ПДн сохранить существующую структуру IPSec VPN, но привести ее в соответствие с требованиями регулирующих органов.
  4. Организация защищенного удаленного доступа пользователей. Для организации удаленного доступа пользователей к ресурсам корпоративной ИСПДн используется техническое решение на базе сертифицированного продукта Check Point Connectra NGX. Шлюз безопасности Connectra позволяет оператору ПДн построить сервер удаленного доступа корпоративного класса, обеспечивающего защищенный доступ удаленных пользователей средствами SSL VPN. При этом выполняется:
    • Криптографическая защита передаваемых данных по алгоритмам ГОСТ 28147-89/ ГОСТ Р 34.10.2001 в соответствии с нормативными документами ФСБ РФ.
    • Строгая многофакторная аутентификация пользователей.
    • Дополнительная защита данных на удаленном компьютере превентивными мерами, предупреждающими несанкционированный доступ к данным.

Данное техническое решение не требует установки на удаленный компьютер дополнительного программного обеспечения.

Соответствие основным нормативным актам

  • «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)».
  • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Приказ ФСТЭК России от 18 февраля 2013 г. N 21».
  • РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, ФСБ РФ № 149/6/6-622 от 21.02.2008.

Примеры внедрения

На базе указанных технологических решений компании Check Point была проведена модернизация СЗПДн ОСАО «Ингосстрах». Цель проекта – обеспечение соответствия ИС компании нормативным и правовым актам РФ и руководящим документам ФСТЭК по защите ПДн. Система получила положительную оценку соответствия требованиям ФЗ-152 и регламентирующим документам органов надзора.

Проведенные работы позволили заказчику выполнить требования законодательства РФ без изменения дизайна своей ИС и избежать рисков нарушения бизнес-процессов. Использование сертифицированных средств защиты информации Check Point обеспечило удачное сочетание  высокой функциональности, масштабируемости и удобства управления, традиционно характерных для продуктов Check Point, с необходимостью соответствия ИС требованиям законодательства РФ.


Круглосуточная служба технической поддержки: +7 (495) 120-00-60.
Телефоны: +7 (499) 7500-499; +7 (499) 750-15-50; +7 (495) 749-15-09.
Адрес 107113, Россия, Москва, ул. Сокольнический вал, д. 2а, офис 522
©2016 ЭКОН Технологии
Напишите нам