Сборник полезных ссылок для системного администратора: 💫 💫 💫 💫 💫 💫 💫 💫 читайте на сайте

2.6. Конфиденциальность персональных данных

Мы уделяем большое внимание защите конфиденциальных данных наших клиентов. При обработке персональных данных Компания обеспечивает их защиту в соответствии с международным и российским законодательством. Персональные данные, ставшие известными МТС, являются информацией ограниченного доступа и подлежат защите в соответствии с российскими законами.

Документы, на основании которых осуществляется обработка персональных данных, и изменения вступившие в силу в 2015 году:

  • Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных», изменения в части локализации обработки персональных данных граждан РФ на территории России;
  • Приказ Минкомсвязи России № 315 от 28.08.2015 «О внесении изменений в Административный регламент Роскомнадзора России», в части содержания Уведомления об обработке персональных данных (зарегистрирован в Минюсте России 01.12.15);
  • Федеральный закон № 162-ФЗ от 29.06.2015 «О стандартизации в РФ». Регламентирует вопросы стандартизации в области информационной безопасности, в том числе защиты персональных данных. Требования обязательны к выполнению в случае наличия в нормативно-правовом акте (НПА) ссылки на национальный ГОСТ по ИБ.
  • Методический документ ФСБ России № 149/7/2/6-432 от 31.03.2015 «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности». Отраслевой регулятор (Минкомсвязь России) должен определить актуальные угрозы безопасности персональных данных для отрасли связи с использованием данного документа.
  • Политика Компании «Обработка персональных данных в ПАО «МТС».

Обеспечение безопасности персональных данных достигается применением правовых, организационных и технических мер защиты в бумажном документообороте и в информационных системах. Для защиты прав субъектов персональных данных в Компании действует система защиты персональных данных, создана группа по организации обработки данной информации, назначены ответственные за организацию обработки и обеспечение безопасности персональных данных. Мы регулярно проводим аудит выполнения требований законодательства о персональных данных.

Наши абоненты при заключении договора с МТС об оказании услуг связи информируются о порядке использования персональных данных. Порядок обработки персональных данных абонентов, с которыми заключаются договоры на оказание услуг связи, предусмотрен утвержденными Компанией Правилами оказания услуг связи, являющимися неотъемлемой частью договора об оказании услуг. Правила оказания услуг и Политика «Обработка персональных данных в ПАО «МТС» размещены на официальном сайте Компании в Интернете и общедоступны. В случае если для обработки персональных данных привлекаются партнеры МТС, мы заключаем специальное соглашение о конфиденциальности, в котором указываются требования к порядку обработки и обеспечению безопасности персональных данных, а также средства защиты информации для обеспечения безопасности при их передаче.

МТС регулярно принимает участие в оценке регулирующего воздействия и разработке издаваемых нормативных документов. Однако в 2015 году разработка отраслевых стандартов по информационной безопасности не проводилась, поскольку операторы связи участвуют в их разработке только если регулятор посчитает необходимым привлечение экспертов отрасли. В 2016 году ожидается, что регулятором будет продолжена работа по определению актуальных угроз безопасности персональных данных для отрасли связи и разработке соответствующего НПА в соответствии с частью 5 ст. 19 Федерального закона «О персональных данных».

В части оценки регулирующего воздействия, мы активно участвуем в процессе его определения, представитель Компании входит в Консультативный совет при уполномоченном органе по защите прав субъектов персональных данных, в рабочих группах которого проводится обсуждение новых инициатив. Представители МТС участвуют в работе Временной комиссии Совета Федерации по развитию информационного общества, которая готовит изменения в законодательство о персональных данных и проводит анализ подзаконных нормативных правовых актов.

В 2015 году мы продолжили работу по развитию системы защиты персональных данных. В Компании прошла модернизация системы криптографической защиты информации. Внедрена защита среды виртуализации при переводе на технологию виртуализации информационных систем персональных данных. Проводится сертификация межсетевых экранов в соответствии с приказом ФСТЭК России № 9 от 09.02.2016.

В 2015 году обоснованных жалоб, касающихся нарушения неприкосновенности частной жизни потребителя и утери данных о потребителях, подано не было. Случаев кражи или утери данных о потребителях не выявлено.

Средства защиты конфиденциальной информации, передаваемой по открытым каналам передачи данных

Как Можно Передавать Пдн Требующие Обеспечения Конфиденциальности в Сети Интернет МТС Тест Ответы

Этой статьей мы открываем новую рубрику нашего сайта, в которой будут публиковаться научные материалы по направлениям повышения квалификации и профессиональной переподготовки, осуществляемым в Приволжском институте повышения квалификации ФНС России.

Одной из программ повышения квалификации и программой профессиональной переподготовки является «Информационная безопасность». По этим программам предусмотрено изучение криптографических средств защиты информации (СКЗИ), их установка, настройка и практическое использование. Чтобы читатель имел представление о современных наиболее популярных СКЗИ, рассмотрим назначение и принципы функционирования виртуальных частных сетей (VPN). Тем более, что на практических занятиях по программе профессиональной переподготовки «Информационная безопасность» слушатели имеют возможность настроить и научится использовать средство для организации виртуальных частных сетей VipNet Custom (Coordinator + Client).

Пожалуй, самым эффективным средством защиты передаваемой информации от несанкционированного доступа (НСД) в настоящее время считается виртуальная частная сеть. Термин VPN обозначает взаимосвязанную совокупность технологий, которые обеспечивают сетевое соединение, или так называемую логическую сеть, функционирующую поверх какой-либо другой сети, как правило, Интернет. То есть, передача данных в VPN производится по незащищенным (открытым) сетям, но, весь траффик между абонентами и их идентификационная информация шифруется. Таким образом, благодаря использованию криптографии, защита передаваемых данных по технологии VPN может быть очень надежна. Кроме непосредственно шифрования данных, среди используемых в VPN средств криптографии применяются средства для защиты от изменений передаваемых сообщений, инфраструктура открытых ключей и надежная аутентификация.

Проведем краткий анализ защитных функций VPN. По технологиям VPN, в зависимости от назначения защищаемых соединений, в настоящее время используются три вида соединения: сеть-сеть, узел-сеть и узел-узел.
Защищенное соединение вида сеть-сеть применяется для организации туннеля между несколькими защищенными сетями или защищенными сегментами сети. При этом для передачи данных между сетями (сегментами) используются открытые каналы передачи данных, которые необходимо защитить с помощью туннеля.

Защищенные соединения вида узел-сеть и узел-узел применяются для организации защищенного доступа внешних абонентов к защищенной сети или защищенного соединения между абонентами. Все эти виды защищенных соединений необходимы для организации безопасных соединений между сегментами корпоративных сетей и для предоставления защищенного доступа удаленных абонентов к информационным ресурсам государственных органов и иных организаций.
Применение средств криптографии позволяет использовать базовые сетевые протоколы (UDP, TCP и др.) в неизменном виде, и чаще всего для создания VPN применяется инкапсуляция протокола РРР в другой протокол, например, IP или Ethernet. При таком подходе происходит виртуализация всего трафика и адресов оконечных устройств абонентов. В результате применение VPN обеспечивает высокий уровень защиты передаваемых данных даже в открытых общедоступных телекоммуникациях.

Если представить VPN структурно, то она логически состоит из двух функциональных частей: «внутренней» сети (их может быть несколько) и «внешней» сети (обычно это открытые каналы передачи данных). Кроме того, что весь трафик шифруется, в VPN защита реализуется на уровне идентификации и аутентификации зарегистрированных пользователей. То есть, удаленный пользователь подключается к VPN через сервер доступа, включенный как во «внутреннюю», так и во «внешнюю» сеть. При этом сервер требует от пользователя пройти идентификацию, а затем аутентификацию, после чего проверенный таким образом пользователь наделяется предусмотренными полномочиями в сети.
В настоящее время рынок программно-аппаратных и программных средств, основанных на VPN, достаточно разнообразно представлен. Далеко не все VPN имеют достаточный уровень защиты информации, требуемый нормативными документами ФСБ и ФСТЭК России для защиты информации с ограниченным доступом. Поэтому для применения в государственных информационных системах особый интерес представляют сертифицированные ФСБ и ФСТЭК средства.

К таковым относятся следующие средства:
Программно-аппаратный комплекс (ПАК) DioNis-NX (Дионис), который кроме функции криптомаршрутизатора VPN, реализует функции маршрутизатора и межсетевого экрана с системой обнаружения/предотвращения сетевых атак, имеет средства криптографической защиты информации (СКЗИ), позволяет осуществлять мониторинг трафика и обеспечивать качество сервисов, может работать в режиме отказоустойчивого кластера.

ПАК Дионис является российской разработкой (научное производственное предприятие «ФАКТОР-ТС») и имеет сертификаты соответствия ФСБ и ФСТЭК.

Средство комплексной защиты ViPNet CUSTOM (разработчик: ОАО «Инфотекс»).
По информации, предоставленной разработчиком, ViPNet CUSTOM предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей и нацелен на решение двух важных задач информационной безопасности :

  • создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, телефонные и телеграфные линии связи и т. п.), путем организации виртуальной частной сети (VPN);
  • развертывание инфраструктуры открытых ключей (PKI) и организации Удостоверяющего Центра с целью интеграции механизмов электронно-цифровой подписи в прикладное программное обеспечение заказчика (системы документооборота и делопроизводства, электронную почту, банковское программное обеспечение, электронные торговые площадки и витрины).

Также в ViPNet CUSTOM поддерживается возможность взаимодействия с программным обеспечением PKI других отечественных производителей, например, ЗАО «Сигнал-КОМ» и ООО «Крипто-Про».
Все компоненты VipNet CUSTOM 3.2 имеют сертификаты ФСБ и ФСТЭК .
Если сравнивать эти два наиболее популярных в нашей стране сертифицированных средства защиты передаваемых по сетям данных по техническим, экономическим и другим характеристикам, то, предпочтительнее выглядит VipNet CUSTOM. Так как, это более современное средство защиты, чисто программная реализация, несложное в настройке, экономически более выгодное.

Именно поэтому по программе профессиональной переподготовки «Информационная безопасность» основное внимание при изучении уделяется этому средству защиты.

Автор:
Кандидат технических наук доцент Лабутин Н. Г.

Чтобы прокомментировать или ответить, прокрутите страницу вниз ⤓
Оцените, пожалуйста, публикацию:
Загрузка...
Поделитесь с друзьями в социальных сетях: