ПДн. Использование мер защиты транспортной безопасности для защиты ПДн


Периодически случается встречать организации, в которых персональные данные (ПДн) обрабатываются на объектах, подпадающих по требования обеспечения транспортной безопасности (ТБ), причем требования к ТБ полностью выполнены, а к требованиям ПДн только подступаются. Что кстати не удивительно, учитывая более серьезную ответственность в области ТБ и более серьезный государственный контроль.  


Вполне резонный вопрос таких организаций – как мы можем использовать уже полностью реализованные меры ТБ для защиты ПДн и выполнения требований ПДн?  

Был проведен анализ требований ТБ на предмет соответствия требованиям ПДн. К слову сказать, система НПА в области транспортной безопасности достаточно разветвленная и зависит от видов транспорта.  Не буду её всю здесь приводить, отмечу только что хотя и детальные требования для разных видов транспорта определяются отдельными ПП РФ и приказами регуляторов, но во многом они совпадают.  Приведу результаты сравнения требований на примере морского и речного транспорта:



Как вы можете заметить в конкретных мерах защиты пересечения фактически отсутствуют. Это связанно с тем что меры ТБ направлены в первую очередь на создание контролируемой зоны на объекте ТБ, регламентацию и контроль доступа в эту зону, контроль перемещения в этой зоне, обнаружение и реагирование на “акты незаконного вмешательства” в этой зоне и информирование регуляторов. (вокруг) Меры ПДн же связаны в основном с самими информационными системами. (внутри)

Но хотя и меры ПДн напрямую не пересекаются с мерами ТБ, последние могут оказать значительное влияние на СЗПДн:
·         На этапе моделирования нарушителя – хорошо реализованные меры ТБ позволяют фактически исключить внутреннего нарушителя
·         На этапе моделирования угроз – исключить большую часть угроз, связанных с локальным воздействием на ИС, а также угроз, связанных с внутренним нарушителем
·         На этапе выбора мер защиты – исключить из базового набора мер защиты ПДн, меры необходимые для нейтрализации исключенных ранее угроз



Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...