Вопрос: Всегда ли имеется необходимость использовать сертифицированного программного обеспечения?
Ответ: Сертифицированное программное обеспечение необходимо для средств защиты информации, которое выступает:
– операционная система, если задействованы защитные штатные функции операционной системы;
– СУБД, если в ней используется штатный модуль разграничения прав доступа, а не используется как общее хранилище данных;
– непосредственные средства защиты информации (средства защиты информации от несанкционированного доступа, межсетевые экраны, антивирусные средства защиты, средства обнаружения вторжений и т.д.).
Вопрос: Каким образом 152-ФЗ регулирует защиту персональных данных при их неавтоматизированной обработке (например, "бумажный" кадровый учет или "бумажное" делопроизводство)?
Ответ: В соответствии с п.п.1 статьи 1 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. Москва "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" в сферу действия закона N 152-ФЗ попадает обработка персональных данных ТОЛЬКО в информационных системах.
Вопрос: Какие средства защиты надо внедрять для защиты ИСПДн класса К2?
Ответ: Требования к системе защиты персональных данных определяются не только классом ИСПДн, но также и следующими факторами:
— наличие подключения к сетям общего пользования
— кольчество пользователей ИСПДн (один или много);
— права доступа пользователей в ИСПДн (равные для всех пользователей, не равные);
— наличие передачи персональных данных за пределы контролируемой зоны.
Вопрос: В моей компании нет персональных данных, а есть только информация о моих сотрудниках - должен ли я что-то делать в соответствии со 152ФЗ?
Ответ: В соответствии с положениями Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" данные сотрудников компании также относятся к персональным данным и подлежат защите.
Вопрос: Достаточно ли для защиты ИСПДн класса К1 межсетевого экрана, сертифицированного по рекомендованному в руководящих документах ФСТЭК 3-м классу?
Ответ: В соответствии с РД ФСТЭК России "ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ" для защиты ИСПДн класса К1 имеющих подключение к сетям общего пользования должны применятся межсетевые экраны, удовлетворяющие требованиям относящимся ко 2-му классу межсетевых экранов (в соответствии с РД "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации"). Таким образом, межсетевые экраны, сертифицированные по 3-му классу можно использовать для защиты ИСПДн класса К1 не имеющих подключение к сетям общего пользования.
Вопрос: Если я использую Active Directiry, антивирус Panda, сегментирование сети на Cisco Catalyst и шифрование средствами маршрутизаторов Cisco, то какие еще дополнительные средства защиты я должен установить?
Ответ: В соответствиис требованиями руководящих документов ФСТЭК России по защите персональных данных все средства защиты должны быть сертифицированны ФСТЭК России. Так как, скорее всего, у Вас стоят НЕсертифицированные средства защиты (Windows XP или Vista, Panda Antivirus, коммутаторы Cisco), то Вам необходимо либо сертифицировать все используемые средства защиты, либо установить дополнительные (наложенные) сертифицированные средства защиты.
В случае использования криптографических средств защиты ("шифрование"), то необходимо использовать средства сертифицированные ФСБ России, а Ваша компания должна иметь лицензию ФСБ России на "техническое обслуживание шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну".
