Требования к технической защите информации
Документация государственного регулирования устанавливает минимальные требования защиты от несанкционированного доступа к данным.
Выполнение требований регулятора по технической защите информации — Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России) обязательно:
- при оказании услуг информационной безопасности (ТЗКИ, КрЗИ);
- выполнении обязанностей оператора персональных данных (ПНд);
- передаче информации посредством сети Интернет.
Требования ФСТЭК России по технической защите информации распространяются:
- на программное обеспечения и оборудование;
- внешние носители;
- средства связи и шифровки/дешифровки данных;
- операционные системы;
- прочие технические средства хранения, обработки, передачи сведений;
- персональные данные;
- специалистов по обеспечению информационной безопасности.
Так, в состав мер по защите персональных данных согласно требованиям ФСТЭК России входят:
- использование системы идентификации и аутентификации (авторизации) субъектов, имеющих доступ к ПНд, и объектов ПНд;
- возможность ограничения и управления правами доступа к персональной информации;
- физическая и программная защита носителей информации;
- регистрация событий безопасности и ведение их журнала;
- применение средств антивирусной защиты;
- регулярный контроль защищенности ПНд;
- обнаружение и предотвращение вторжений, несанкционированного доступа;
- обеспечение доступности хранимых сведений, их и информационной системы, базы данных доступности;
- соблюдение требований по защите среды виртуализации, технических средств, информационной системы (ИС), ее средств, каналов и линий связи и передачи данных.
Также требованиями ФСТЭК России по защите персональных данных предусмотрено наличие возможности управления конфигурацией ИС, своевременного выявления инцидентов, способных привести к сбоям в работе ИС, возникновению угроз безопасности ПНд.
Требования ФСТЭК России к специалистам по защите информации включают в себя понимание:
- основных законодательных и нормативных актов в области информационной безопасности и защиты персональных данных;
- в области сертификации средств защиты информации;
- о государственной системе противодействия иностранным техническим разведкам.
К профессиональным знаниям специалистов относятся:
- подготовка в части работы с каналами и линиями связи (предотвращение утечки информации);
- ориентация в сфере комплексных средств защиты информации (СЗИ);
- понимание основ методологии построения СЗИ;
- умение работать со средствами контроля защищенности баз данных (БД) и т. д.
Требования ФСТЭК по защите конфиденциальной информации направлены на исключение неправомерного доступа, копирования, передачи или распространения сведений. Для обеспечения требований по безопасности конфиденциальной информации проводится оценка возможных уязвимостей ИС для внешних и внутренних нарушителей, возможных средств реализации этих уязвимостей.
- Нормативно-правовое обеспечение мероприятий технической защиты информации
- Государственный контроль и надзор за соблюдением правил аттестации
- Аттестация объектов информатизации
- Система обеспечения информационной безопасности РФ
- Эволюция места и роли информационной безопасности в системе обеспечения национальной безопасности
- Вопросы информационной безопасности в перечне национальных интересов РФ
- Принципы технической защиты информации
- Цели и задачи технической защиты конфиденциальной информации
- Информация как объект защиты
