Обоснование комплекса мероприятий по обеспечению безопасности ПДн в ИСПДн производится с учетом результатов оценки опасности угроз и определения класса ИСПДн на основе «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».[18]
При этом должны быть определены мероприятия по:
выявлению и закрытию технических каналов утечки ПДн в ИСПДн;
защите ПДн от несанкционированного доступа и неправомерных действий;
установке, настройке и применению средств защиты.
Мероприятия по выявлению и закрытию технических каналов утечки ПДн в ИСПДн формулируются на основе анализа и оценки угроз безопасности ПДн.
Мероприятия по защите ПДн при их обработке в ИСПДн от несанкционированного доступа и неправомерных действий включают:
управление доступом;
регистрацию и учет;
обеспечение целостности;
контроль отсутствия недекларированных возможностей;
антивирусную защиту;
обеспечение безопасного межсетевого взаимодействия ИСПДн;
анализ защищенности;
обнаружение вторжений.
Подсистему управления доступом, регистрации и учета рекомендуется реализовывать на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации. Это специальные, не входящие в ядро какой-либо операционной системы программные и программно-аппаратные средства защиты самих операционных систем, электронных баз ПДн и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для ИСПДн действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и имитации. [35]
Средства диагностики осуществляют тестирование файловой системы и баз ПДн, постоянный сбор информации о функционировании элементов подсистемы обеспечения безопасности информации.
Средства уничтожения предназначены для уничтожения остаточных данных и могут предусматривать аварийное уничтожение данных в случае угрозы НСД, которая не может быть блокирована системой.
Средства сигнализации предназначены для предупреждения операторов при их обращении к защищаемымПДн и для предупреждения администратора при обнаружении факта НСД к ПДн и других фактов нарушения штатного режима функционирования ИСПДн.
Средства имитации моделируют работу с нарушителями при обнаружении попытки НСД к защищаемым ПДн или программным средствам. Имитация позволяет увеличить время на определение места и характера НСД, что особенно важно в территориально распределенных сетях, и дезинформировать нарушителя о месте нахождения защищаемых ПДн.
Подсистема обеспечения целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм, уведомлении о сбое в передаче пакета сообщения, повторе передачи не принятого пакета. [6]
Подсистема контроля отсутствия недекларированных возможностей реализуется в большинстве случае на базе систем управления базами данных, средств защиты информации, антивирусных средств защиты информации.
Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, осуществляющей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты, выполняющие:
обнаружение и (или) блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, реализующее обработку ПДн, а также на ПДн;
Еще по теме:
Банковский риск и его виды
Что такое банковский риск и его виды описаны в письме Центрального банка РФ от 23 июня 2004 г. N 70-Т «О типичных банковских рисках». В соответствие с этим письмом «к типичным банковскими рисками относятся: Кредитный риск – риск возникновения у кредитной организации убытков вследствие неисполнения, ...
Анализ платежеспособности лизингополучателей: элементы и подходы
Национальный Банк Украины определяет кредитоспособность как наличие у заемщика предпосылок для получения кредита и его способность вернуть кредит и проценты по нему в полном объеме и в обусловленные договором сроки. Вместе с тем значительно распространена более узкая трактовка кредитоспособности ка ...
Анализ финансово-хозяйственной деятельности представительства Белорусского республиканского унитарного страхового предприятия "Белгосстрах"
Для анализа финансово-хозяйственной деятельности представительства Белорусского республиканского унитарного страхового предприятия "Белгосстрах" по г. Могилеву воспользуемся следующими документами финансовой отчетности данной организации: бухгалтерский баланс страховой организации по сост ...