Спецпроекты

Персональные данные в страховании: между законом и здравым смыслом

Безопасность Госрегулирование Стратегия безопасности Новости поставщиков
Страховой бизнес – один из самых сложных с точки зрения выполнения норм, определяющих порядок обработки персональных данных (ПД) и обеспечение их безопасности. Проблемы вызывает практически все – и отнесение участников системы страхования к операторам ПД, и правомерность обработки, в первую очередь – передачи персональных данных различных категорий, а также формы получения согласия субъектов, выбор мер технической защиты, и многое другое. При этом значительная часть сложностей может быть нивелирована за счет применения современных программных продуктов, в числе которых – разработки компании "Код Безопасности".

Между тем, в соответствии с требованиями "Положения о методах и способах защиты информации в информационных системах персональных данных", утвержденного приказом ФСТЭК России от 05.02.2010 № 58, программное обеспечение средств защиты информации, применяемых в информационных системах 1-го класса, должно проходить контроль отсутствия недекларированных возможностей.

Одну из наиболее полных линеек продуктов для реализации установленных требований к защите персональных данных имеет российская компания "Код Безопасности".

Краткая характеристика продуктов и их применимость для ИСПДн различных классов

"Код Безопасности", 2012

Рассмотрим несколько примеров решения обозначенных выше проблем обеспечения соответствия требованиям по технической защите с использованием продуктов, предлагаемых компанией "Код Безопасности".

Уже упоминавшееся наличие сертификатов ФСТЭК и/или ФСБ России решает проблему обязательности для СЗИ оценки соответствия.

Наличие единого производителя длинной линейки продуктов, нейтрализующих угрозы безопасности различных видов, упрощает решение проблемы совместимости продуктов, применяемых в одной системе, и управления ими.

"Положение о методах и способах защиты информации в информационных системах персональных данных" (приказ ФСТЭК России от 05.02.2010 № 58) предусматривает, что при разделении ИСПДн при помощи межсетевых экранов на отдельные части для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом. Такой подход хорошо зарекомендовал себя для снижения класса большой ИСПДн путем разделения ее на несколько, но с меньшим классом или с меньшим числом защищаемых элементов в системе высокого класса.

Средства защиты

Задача сегментирования информационной сети достаточно просто решается с применением распределенного межсетевого экрана TrustAccess, внедрение которого не требует модификации сетевой топологии. TrustAccess обеспечивает фильтрацию сетевых соединений в соответствии с заданными правилами; аутентификацию пользователей при установлении сетевых соединений; контроль целостности и защиту от НСД компонентов СЗИ; регистрацию событий безопасности; централизованное управление и мониторинг.

Решает TrustAccess и проблемы защиты терминальных соединений и виртуальной инфраструктуры, повышения уровня безопасности взаимодействия ее элементов.

Задача закрытия от несанкционированного доступа персональных данных, передаваемых по открытым каналам связи между отделениями (филиалами) страховой компании, ее агентами, брокерами и т.д., и обеспечения безопасного межсетевого взаимодействия решается за счет применения на точках доступа в интернете или к открытым каналам программно-аппаратных криптографических шлюзов (АПКШ) "Континент", сочетающих функции средств шифрования и межсетевого экранирования.

В зависимости от требуемых технических характеристик (пропускная способность, количество компьютеров в сети, которые обращаются к шифрующему устройству, скорость шифрования) может быть выбран конкретный продукт из довольно длинной линейки различной производительности, и соответственно, стоимости. Анонсированный недавно "Кодом Безопасности" первый отечественный защищенный планшет "Континент Т-10" и абонентский пункт на платформе Android, реализующие российские криптографические алгоритмы, дополняют существующее решение для отдельного компьютера в виде абонентского пункта с возможностью безопасного удаленного доступа к защищаемым ресурсам страховой компании с использованием современных коммуникаторов и планшетов.

Возможность утечек информации через специфические каналы среды виртуализации может быть значительно снижена при применении продукта vGate R2 – эффективного средства защиты виртуальных инфраструктур, построенных на платформах VMware Infrastructure 3 или VMware vSphere 4.x.

vGate обеспечивает контроль устройств, контроль целостности и доверенную загрузку виртуальных машин, контроль доступа к элементам виртуальной инфраструктуры, таким, например, как виртуальные сетевые устройства или системы хранения данных, а также контроль доступа администратора инфраструктуры к файлам виртуальных машин.

Достигается это за счет разделения ролей администратора виртуальной инфраструктуры и администратора безопасности, делегирования полномочий, усиленной аутентификации и контроля доступа администраторов, а также применения механизмов мандатного управления доступом с использованием бизнес-категорий данных и иерархических меток конфиденциальности.

Решение для рабочих мест пользователей Security Studio Endpoint Protection обеспечивает комплексную защиту персональных данных, сочетая функции антивируса, антишпиона и антиспама, персонального межсетевого экрана, средства обнаружения вторжений, в том числе нераспознанных, уровня хоста и интегрируемый с популярным в течение многих лет средством защиты от несанкционированного доступа – Secret Net.

Для предотвращения новых, неизвестных атак, особенно на такие чувствительные элементы информационной системы, как базы данных, рекомендуется использовать программный продукт Honeypot Manager, создающий ловушки для нарушителя, пытающегося получить доступ к защищаемым ресурсам.

Обо всех особенностях и преимуществах использования страховыми компаниями продуктов компании "Код Безопасности" в одной статье рассказать невозможно, отметим лишь, что их применение позволяет решить проблему достижения соответствия требованиям законодательства в части технической защиты персональных данных с разумными затратами и без дополнительных проблем, возникающих при применении "зоопарка" средств защиты различных производителей.

Михаил Емельянников

Взгляд месяца

Самая непростая ситуация — с импортозамещением СУБД

Денис Терещенко

заместитель руководителя ФТС

Точки роста

По определенным ИТ-направлениям Россия является примером для всего мира

Юрий Гаврилов

CDTO Металлоинвеста