Как обеспечить технические требования по защите персональных данных?

Счет наших бизнес-завтраков о защите персональных данных идет на десятки. И мы заметили, что за время их проведения гости мероприятий еще больше вовлеклись в эту тему. Об этом говорит и статистика Национального центра защиты персональных данных: 44,7 % опрошенных представителей белорусских компаний знают о законе и требованиях по защите и уже начали реализацию организационных и правовых требований. 

Чего нельзя сказать о технических мерах. Согласно отчету Национального центра защиты персональных данных за 2022 год, 50 из 50 проверенных операторов персональных данных получили предписания. Одним из распространенных нарушений стало невыполнение технической и криптографической защиты информации.

В нашем материале объясним, что необходимо сделать, чтобы реализовать технические требования по защите персональных данных и как компаниям упростить процесс.

Как реализовать технические требования по защите персональных данных?

Порядок защиты персональных данных устанавливается Оперативно-аналитическим центром при Президенте Республики Беларусь. Эти требования регламентирует положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено. Этот документ утвержден Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20 февраля 2020 года № 66.

Комплекс мероприятий по технической и криптографической защите информации состоит из следующих этапов:

1. Проектирование системы защиты информации 

Необходимо провести структурный анализ информационной системы, внутренних и внешних информационных потоков. Так определяется количество аппаратных и программных элементов, место их размещения, а также физические и логические границы информационной системы.

Дальше формируется техническое задание на создание системы защиты информации (СЗИ). В нем прописываются требования к СЗИ. На основе этого документа выбирают средства технической и криптографической защиты информации.

Последним шагом на этом этапе будет создание общей схемы системы защиты информации. В документе указывается такая информация: название СЗИ, ее класс, места размещения инфраструктуры и программ вместе со средствами технической и криптографической защиты информации, логические и физические границы информационной системы.

2. Создание системы защиты информации

Этот этап можно условно разделить на два шага: внедрение средств защиты и разработка документации. Сначала следует установить программные и аппаратные средства защиты. Затем проверить, корректно ли они работают и совместимы ли с другими объектами информационной системы.

Следующим шагом будет подготовка инструкций и регламентов по работе с СЗИ. Если у вас уже есть такие документы, следует проверить, все ли процессы в них описаны и соответствуют ли они новой СЗИ.

3. Аттестация системы защиты информации

На заключительном этапе проходит проверка  работы системы в реальных условиях. Если все хорошо, выдается аттестат соответствия системы защиты информации требованиям законодательства в области защиты данных.

Во время аттестации:

• разрабатываются программы и методики аттестации;
• проверяется, соответствует ли информационная система общей схеме;
• анализируется, правильно ли выбрали класс информационной системы, корректно ли подобрали и применили средства защиты информации;
• сверяется соответствие документации требованиям законодательства;
• изучается, как распределяются функции сотрудников по защите информации;
• испытывается, выполняет ли СЗИ требования законодательства;
• проводится внешняя и внутренняя проверка на уязвимости всех структурных элементов информационной системы;
• пишется технический отчет и протокол испытаний;
• оформляется аттестат.

Чтобы пройти аттестацию СЗИ ваших информационных систем, необходимо использовать сертифицированные в Беларуси средства защиты информации. Межсетевой экран, антивирус для рабочих станций и инфраструктуры, специализированные сетевые коммутаторы, средства канального шифрования — это далеко не полный список необходимого оборудования и программного обеспечения.

Как реализовывать все технические меры по защите персональных данных, решать вам. Можно сделать это самостоятельно или разместить свою информационную систему  в аттестованном контуре хостинг-провайдера, который уже обеспечен необходимыми средствами защиты и прошел все необходимые проверки на соответствие требованиям законодательства.

Какие преимущества у размещения в аттестованном контуре hoster.by?

• Высокий уровень информационной безопасности и соответствие требованиям законодательства;
• переход от капитальных затрат к операционным;
• оптимизация времени штатных IT-специалистов на обслуживание и поддержку инфраструктуры и средств защиты информации;
• быстрое развертывание и масштабирование ресурсов под свои потребности;
• использование передовых технологий и решений.

В соответствии с последними изменениями в Положении о порядке аттестации hoster.by может проводить такие мероприятия в сокращенном формате. Весь процесс занимает от 35 дней, а значит, экономит время клиента.