Комментарии к 152 ФЗ

Анализ производился исходя из того, что программа АГБИС не содержит информации о паспортных данных, данных о доходах клиентов химчистки, и количество активных договоров (т.е. еще не выданных клиенту заказов) будет меньше 100 000. Эти и некоторые другие факторы анализа позволяют отнести программу к третьему классу. Для данного класса, чтобы соблюсти закон о защите персональных данных, достаточно выполнить простые методические рекомендации, такие как: антивирус, фаервол, отсутствие доступа к серверу третьих лиц, идентификация пользователей в программе - это все достаточно легко.

Более детальная выдержка из анализа:

С учетом того, что был установлен третий класс информационной системы персональных данных «Агбис.Химчистка», было принято решение, что угрозы утечки речевой информации, а также информации, представленной в виде информативных электрических сигналов и физических полей, являются неактуальными, а сама информация от утечки по техническим каналам защите не подлежит.

Поэтому применяемыми у клиентов ООО «Компания АГБИС»  в системе «Агбис.Химчистка»  методами и способами защиты информации от несанкционированного доступа являются следующие:

•    реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
Вход пользователей в программу Агбис выполняется с помощью персонального логина/пароля - действия пользователя фиксируются в истории; вход в операционную систему Windows также должен быть настроен с обязательным вводом логина/пароля.

•    ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также где хранятся носители информации;
Либо сервер должен находиться в закрытом помещении/шкафу - это идеальный вариант, либо необходимо фиксировать кто и когда находился в помещении.

•    разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
Программа имеет мощные средства настройки прав доступа для каждой роли пользователей; вход в операционную; учетная запись Windows для пользователей должна иметь ограниченные права.

•    регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
В ОС Windows необходимо включить журналы для регистрации действий пользователей операционной системы, удачных и неудачных входов в ОС; системный блок с базой данных должен быть опечатан.

•    учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
Жесткий диск или диски с базами данных должны иметь инвентарные номера и быть учтены.

•    резервирование технических средств, дублирование массивов и носителей информации;
Исходя из масштабов предприятия, приветствуются любые технические меры для обеспечения надежной сохранности данных, такие как: резервное копирование, RAID...

•    использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
Антивирусы, программные и аппаратные межсетевые экраны.

•    использование защищенных каналов связи;
В случае работы удаленных пунктов по технологии Онлайн, необходимо организовать VPN канал между пунктами и центральным сервером; в случае работы Оффлайн репликационные данные шифруются внутренними средствами программы и передаются на защищенный ftp канал);

•    размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

•    организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

•    предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
Для борьбы с вирусами должен использоваться антивирус.

Поскольку зачастую информационная система клиентов ООО «Компания АГБИС» имеет подключение к сетям связи общего пользования и сетям международного информационного обмена (в случае наличия сети приемных пунктов, используется Интернет для обмена данными между подразделениями), было решено наряду с методами и способами, указанными выше, конкретно рекомендовать ряд мер по защите информации от несанкционированного доступа:

•    межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
•    обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
•    анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
•    защита информации при ее передаче по каналам связи;
•    использование средств антивирусной защиты;
•    централизованное управление системой защиты персональных данных информационной системы.

Данные пункты реализуются достаточно легко, к тому же, они желательны к применению и без закона о защите персональных данных, т.к. повышают стабильность и надежность работы и обеспечивают сохранность ценных коммерческих данных.