Как обеспечить высокие стандарты безопасности: защищенный контур, аттестация СЗИ и другие требования законодательства

Общие требования при оказании услуг в Беларуси В соответствии с Указом Президента Республики Беларусь № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет», сайты и другие ресурсы, при помощи которых оказываются услуги или осуществляется деятельность по реализации товаров на территории Беларуси, должны размещаться на белорусских серверах. А еще такие сайты нужно регистрировать в БелГИЭ. Подробное описание продукции или сервисов, возможность оформления заказа или консультации, прайс-листы — верные для этого признаки. Регистрация БелГИЭ — это обязательная процедура, без которой деятельность сайта может считаться нелегальной и привести к штрафам до 25 базовых величин. Государственные органы и организации обязаны размещать официальные сайты и электронную почту только у уполномоченных поставщиков интернет-услуг. Мы обеспечиваем высокий уровень защиты проектов в соответствии с требованиями Приказа Оперативно-аналитического центра при Президенте Республики Беларусь № 60. И относимся к перечню поставщиков интернет-услуг, уполномоченных оказывать услуги хостинга официальных интернет-сайтов и электронной почты согласно Приказу ОАЦ № 92. Требования по защите информации Работу с персональными данными (ПД) регламентируют следующие законодательные акты: Закон Республики Беларусь № 99-З «О защите персональных данных» — главным образом определяет организационные и правовые требования к обработке ПД. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь № 66 — определяет технические и криптографические требования к работе с чувствительными данными. Указ Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» — определяет правовые и организационные основы технической и криптографической защиты информации. Закон № 99-З описывает, какие данные относятся к персональным и что включает их обработка. И при этом регламентирует порядок действий организаций для правомерной работы с персданными. Напомним: к ПД относится любая информация, при помощи которой можно идентифицировать человека. Например, ФИО, номер телефона, e-mail, адрес проживания, сведения о семье и другие. Подробнее о требованиях Закона № 99-З и порядке их выполнения мы рассказали здесь. Указ Президента Республики Беларусь № 196 и Приказ ОАЦ № 66 определяют требования по технической и криптографической защите информации, в том числе регламентируют проведение мероприятий по проектированию и созданию систем защиты информации (СЗИ) в информационных системах (ИС), а также организационно-технических мероприятий по их аттестации. Можно выделить два основных шага для соблюдения требований приказа ОАЦ № 66: Первый. Информационные системы государственных органов и организаций, а также частных компаний, которые взаимодействуют с чувствительными данными, должны размещаться в инфраструктуре с реализованными требованиями по защите информации, которую организация может построить самостоятельно или же использовать для этого IT-инфраструктуру хостинг-провайдера. Дополнительно необходимо разработать ряд локальных правовых актов (ЛПА), регламентирующих реализацию в СЗИ отдельных требований по защите информации. Второй. Прохождение аттестации СЗИ и подтверждение, что реализованные в СЗИ меры по защите информации соответствуют требованиям законодательства в области ТКЗИ. Теперь пройдемся подробнее по всем актуальным решениям. Защищенная инфраструктура Если на ресурсе обрабатываются персональные данные, то он должен размещаться в специальном защищенном контуре. При размещении у нас вы можете выбрать любой формат хостинга с повышенными стандартами безопасности исходя из технических требований вашего проекта: Виртуальный хостинг; Специализированный хостинг для сайтов на CMS 1С-Битрикс; Выделенные физические серверы; Облачный хостинг. При этом мы также можем построить частное облако по вашему запросу. А подробнее о преимуществах защищенного хостинга мы рассказали в этом материале. Требования к безопасности инфраструктуры затрагивают не только сайты. Поэтому важно обратить внимание и на другие услуги для работы с чувствительной информацией в соответствии с требованиями Приказа ОАЦ № 66. Например: Защищенное облако для 1С; Защищенные облачные базы данных; Защищенное объектное хранилище S3; Защищенная электронная почта; Корпоративные видеоконференции в защищенном облаке. Аттестация системы защиты информации После размещения сайта, приложений, баз данных и других ресурсов в инфраструктуре с повышенными стандартами безопасности необходимо провести работы по технической и криптографической защите информации, включающие проектирование, создание и аттестацию СЗИ. На этапе проектирования разрабатываются: политика информационной безопасности (ИБ); структурная и логическая схема ИС; техническое задание на создание СЗИ; проекты локальных правовых актов и других организационно-распорядительных документов по вопросам применения СЗИ. При создании СЗИ реализуются следующие меры: при размещении на нашей инфраструктуре часть технических требований обеспечивается в рамках услуги по хостингу. Опционально можем провести весь перечень технических работ; при необходимости корректируются разработанные ранее структурная и логическая схема ИС, проекты актов и документов. Непосредственно в рамках самой аттестации проводится комплексная оценка СЗИ в условиях эксплуатации ИС и выполняются следующие шаги: разработка программы и методики аттестации; проверка корректного определения классов ИС; установление соответствия фактического состава активов информационной системы структурной и логической схемам ИС; проверка достаточной реализации в СЗИ мер по защите информации, включая анализ локальных правовых актов и других организационно-распорядительных документов по вопросам применения СЗИ на предмет их соответствия требованиям законодательства о защите информации; тестирование СЗИ на соответствие требованиям законодательства о защите информации; проверка возможности случайного и умышленного использования СЗИ в целях нарушения безопасности системы; оценка эффективности защищенности ИС классов «3-бг» и (или) «3-дсп» (тестирование на проникновение); оформление технического отчета и протокола испытаний; оформление аттестата соответствия сроком на 5 лет. У нас вы можете пройти аттестацию СЗИ на упрощенных условиях, если являетесь клиентом нашего защищенного хостинга любого формата с активной услугой администрирования. Преимущества аттестации СЗИ Полное соответствие требованиям Приказа ОАЦ № 66 и подтверждение того, что СЗИ соответствует требованиям законодательства о защите информации. Комплексное улучшение вашей СЗИ за счет устранения выявленных в ходе проверки недочетов. Минимизация юридических, финансовых и репутационных рисков, связанных с конфиденциальностью и безопасностью данных. По­вы­ше­ние до­ве­рия пользователей ваших систем за счет возможности продемонстрировать надежность и безопасность СЗИ. Аудит работы с персональными данными Итак, всё что можно разместили в защищенном контуре и аттестацию успешно прошли. Это всё? Не совсем. Хостинг с повышенными стандартами безопасности и аттестация СЗИ закрывают технические и криптографические требования к работе с чувствительными данными. Однако при этом остается открытым вопрос реализации организационных и правовых мер работы с персональными данными. Если проще, то сюда относится всё, что связано с законностью сбора и использования ПД: какие данные допустимо собирать, а какие являются избыточными в вашей конкретной ситуации; сколько вы можете хранить такие данные; кому и при каких условиях можно давать доступ к персональным данным; как получать согласия на обработку ПД; как оформить отношения с владельцами используемых сервисов; какие локальные акты необходимо разработать и что в них включить. Риски нарушения требований по защите персональных данных: штрафы согласно ст. 23.7. КоАП, приостановление работы ресурса, потеря доверия клиентов. Благодаря аудиту ПД можно минимизировать подобные риски — наши специалисты по работе с персональными данными проверят ваш ресурс и составят перечь нарушений с рекомендациями для их исправления. И в результате вы сможете привести бизнес-процессы своей организации в полное соответствие с требованиями Закона Республики Беларусь № 99-З «О защите персональных данных». При этом вы можете пройти комплексную аттестацию СЗИ с аудитом ПД в рамках этапа работ по технической и криптографической защите информации. Больше полезных материалов Защита персональных данных. Что нужно знать организациям? Защищенный хостинг: повышенные стандарты безопасности и соблюдение требований законодательства Высокие стандарты безопасности и гарантированная мощность — рассказываем о защищенных выделенных серверах Надежные сервисы для защиты ваших проектов SSL-сертификат. Обеспечивает безопасное соединение между пользователями и ресурсом и защищает их данные от перехвата. Все тарифы нашего виртуального хостинга включают бесплатный SSL. А еще вы можете приобрести коммерческий — от GlobalSign c дополнительными возможностями: например, проверкой организации и расширенной валидацией. hoster Guard. Сервис для многоуровневой защиты веб-проектов. Защищает от DDoS, XSS, SQL-инъекций и других кибератак. Поддерживает геоблокировки, черные и белые списки и возможность индивидуальной настройки блокировки запросов. Тестирование на проникновение. Проверка проекта при помощи широкого набора методов и инструментов для выявления уязвимостей. Предоставляем подробное руководство для улучшения уровня защиты инфраструктуры. ]]>