Системы защиты информации информационной системы персональных данных scar169 / 08.06.2012 Вчера вновь перечитывал ряд работ, представленных на конкурс проектов "Школа будущего вместе с Intel-2012", а позавчера присутствовал на совещании ответственных за защиту информационных систем по поводу приведения документов в соответствие с требованиями Федерального закона РФ от 27.07.2006 г. №152-ФЗ "О персональных данных" и исполнения законодательных требований при обработке персональных данных в информационной системе персональных данных в организациях. В общем то, что раньше мы пытались исполнять "как поняли и как можем" теперь упорядочивается и принимает единый вид. Думаю, понимание того, с чем столкнутся практически все системные администраторы (многие уже прошли эту эпопею, многие еще только начинают понимать масштабы) обязательно для всех, кто будет планировать развитие свой инфраструктуры, построение сереров и т.д. Боюсь, что сам не являюсь экспертом в данном вопросе, поэтому просто постараюсь рассказать все с позиции завуча школы, которому по совместительству придется отвечать и за СЗИ. Много информации оказалось разбросано по разным инфоисточникам, попробовал собрать все в один пост. Итак. 1. Собственно с ФЗ №152-ФЗ "О персональных данных" с комментариями юристов можно познакомиться в системе Гарант. 2. "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" от 21 февраля 2008 года.3. Сайт Защита информации ограниченного доступа. Много интересного, в частности, перечни (и ссылки) законов и актов по защите персональных данных.Далее пристегиваю архив с разработанным комплектом документации, который необходимо иметь в школе. Комплект разработан в вышестоящих инстанциях и разослан по всем школам города. Возможно, кому-то он окажется полезен для разработки своего регионального комплекта. - komplekt.zip ( 531.48 килобайт ) Кол-во скачиваний: 286Теперь по тому, как должна быть организована СЗИ (в данном случае я имею в виду именно компьютерную составляющую, мне ближе, хотя законом охватывается и бумажное хранение).1. Сервер (тот компьютер, где хранится основной объем информации с пользовательскими данными), на котором хранится база, должен иметь контролируемый доступ (желательно отдельное помещение с ограниченным количеством людей, имеющих доступ.2. На сервере должен стоять комплект обеспечения защиты, причем ПО - сертифицировано, например:− межсетевой экран WatchGuard XTM 2 series;− межсетевой экран и VPN шлюз «ЗАСТАВА-Офис»;− средство антивирусной защиты Kaspersky 6.0;− встроенные механизмы защиты сертифицированной ОС Windows 7.Под Линукс тоже существуют сертифицированные средства, придется ставить. Поставку скорее всего должны осуществлять вышестоящие организации.3. Там, где производятся выгрузки информации (в почтовое отправление, например), должны стоять сертифицированные средства криптографической защиты. 4. Все пользователи-клиенты должны иметь уникальные логины, пароли (не менее 6 букв-символов, регулярная смена) и прописанные в журнале учета права доступа.Примерно так. Остальное смотрите в документах. В общем работы - море. Оформление приказов, инструкций, журналов, подписи, настройка машин, установка спецПО (надеюсь, силами каких-нибудь, выигравших тендер, организаций), сопровождение ПО. Надеюсь, кому-то немного сэкономил время.Очень надеюсь, что колеги, занимающиеся данными вопросами в других школах, регионах, поделятся своими наработками, решениями, ссылками на документы или юридические решения. СЗИ ФЗ защита информации персональные данные