пятница, 3 марта 2017 г.

ПДн. Использование мер защиты транспортной безопасности для защиты ПДн


Периодически случается встречать организации, в которых персональные данные (ПДн) обрабатываются на объектах, подпадающих по требования обеспечения транспортной безопасности (ТБ), причем требования к ТБ полностью выполнены, а к требованиям ПДн только подступаются. Что кстати не удивительно, учитывая более серьезную ответственность в области ТБ и более серьезный государственный контроль.  


Вполне резонный вопрос таких организаций – как мы можем использовать уже полностью реализованные меры ТБ для защиты ПДн и выполнения требований ПДн?  

Был проведен анализ требований ТБ на предмет соответствия требованиям ПДн. К слову сказать, система НПА в области транспортной безопасности достаточно разветвленная и зависит от видов транспорта.  Не буду её всю здесь приводить, отмечу только что хотя и детальные требования для разных видов транспорта определяются отдельными ПП РФ и приказами регуляторов, но во многом они совпадают.  Приведу результаты сравнения требований на примере морского и речного транспорта:


Как вы можете заметить в конкретных мерах защиты пересечения фактически отсутствуют. Это связанно с тем что меры ТБ направлены в первую очередь на создание контролируемой зоны на объекте ТБ, регламентацию и контроль доступа в эту зону, контроль перемещения в этой зоне, обнаружение и реагирование на “акты незаконного вмешательства” в этой зоне и информирование регуляторов. (вокруг) Меры ПДн же связаны в основном с самими информационными системами. (внутри)

Но хотя и меры ПДн напрямую не пересекаются с мерами ТБ, последние могут оказать значительное влияние на СЗПДн:
·         На этапе моделирования нарушителя – хорошо реализованные меры ТБ позволяют фактически исключить внутреннего нарушителя
·         На этапе моделирования угроз – исключить большую часть угроз, связанных с локальным воздействием на ИС, а также угроз, связанных с внутренним нарушителем
·         На этапе выбора мер защиты – исключить из базового набора мер защиты ПДн, меры необходимые для нейтрализации исключенных ранее угроз



Комментариев нет: