вторник, 26 июля 2011 г.

ФЗ 152 - Как выполнить требования закона

Данная статья в основном касается государственных учреждений образования, но будет полезна всем операторам. 

                                                          Материал pcweek.ru/

Вырезка из статьи :  Рособразование справедливо предлагает следующие способы понижения классов ИСПДн:

обезличивание персональных данных;
полное исключение из ИСПДн сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;


сегментирование ИСПДн и классификацию сегментов как самостоятельных систем более низкого класса (такое часто возможно, но для этого потребуются сертифицированные, а лучше распределенные межсетевые экраны);


полное отключение от сетей связи общего пользования и сети Интернет (если не всей сети учреждения, то хотя бы того выделенного сегмента, где обрабатываются персональные данные);
обеспечение обмена между ИСПДн с помощью сменных носителей (использовать так называемый “флоппинет”);


создание автономных ИСПДн на выделенных автоматизированных рабочих местах, куда полностью переносится обработка этой категории сведений из локальной сети.

Акцент делается на обезличивании как наиболее эффективном и дешевом способе снижения класса системы. Обрабатывающая обезличенные данные ИСПДн относится к классу К4 и не требует принятия дорогостоящих мер по обеспечению конфиденциальности сведений. С этой целью агентство рекомендовало присвоить каждому субъекту внутренний идентификационный номер (условный код) на весь период обучения или работы и использовать его в информационных системах вместо ФИО.

Когда с условиями функционирования ИСПДн наступит полная ясность, можно смело переходить к актуализации угроз по отношению к персональным данным и окончательной, документируемой актом классификации ИСПДн.

Результатом выполнения работ на втором этапе должны стать:

реализованные меры по понижению классов ИСПДн и снижению требований к обеспечению их безопасности (с акцентом на обезличивание данных и реализацию организационных мер);
актуализированные модели угроз для ИСПДн различных классов (на основе максимальной типизации документов и требований);
акты классификации всех ИСПДн образовательного учреждения.

Второй этап представляется самым важным и определяющим как содержание последующих работ, так и ту цену, которую за них придется заплатить. От того, к какому классу принадлежит ИСПДн и каковы актуальные угрозы для нее, напрямую зависит стоимость реализации методов и средств защиты.

                                                          Материал pcweek.ru/

Комментариев нет:

Отправить комментарий