Журнал "Директор по безопасности" Апрель 2020 | Page 20

ЕСТЬ РЕШЕНИЕ
Не СКУДная
защита
ПАВЕЛ ГУЖЕВ,
главный специалист отдела интеграции СЗИ
компании «SoftMall»
В
о все времена гарантом безопас-
ности любого здания, предпри-
ятия или территории является
надежная охрана. Сейчас практически
невозможно найти место, куда человек
смог бы бесконтрольно проникнуть –
начиная от студенческих общежитий и
заканчивая крупными промышленны-
ми предприятиями. И если на одних
объектах находиться посторонним ли-
цам, мягко говоря, нежелательно, то
на других это может быть уже опасно
для жизни. Большинство владельцев
компаний на смену бабушкам-вахте-
рам предпочитают, конечно же, тех-
нические системы безопасности. К
счастью, производители таких систем
предоставляют широкий спектр услуг:
здесь и различные типы сигнализаций,
и противопожарные системы, видеона-
блюдение, а для пропускного режима
организации внедряют целые системы
контроля и управления доступом. Вот
о последних мы и поговорим немного
подробнее.
Представьте, вы обладатель полно-
ценной системы контроля и управле-
ния доступом (СКУД), и она уже успеш-
но внедрена в вашей организации.
Проход на территорию теперь контро-
лируется автоматически, и кажется за-
дача по проникновению посторонних
лиц выполнена – территория защище-
на. Руководители привыкли выделять
деньги на обеспечение безопасности
компании, внедрять готовые решения и
считать, что эти готовые решения пол-
ностью закрыли те или иные риски. Но
задумывались ли вы, что после успеш-
ного внедрения таких систем под угро-
зу попадают уже те данные, которые
внесены в эту умную систему? А они
ведь также требуют надежной защиты.
Как правило, такие вопросы уже не ка-
саются производителя СКУД и не явля-
ются зоной его ответственности. Владе-
лец системы сам должен позаботиться
о безопасности персональных данных 1
своих сотрудников, которые хранятся
в базе – использовать программные и
программно-аппаратные средства за-
щиты своей сети и информации от не-
санкционированного доступа, а также
внедрить ряд организационных мер.
Система управления доступом,
как правило, состоит из сервера с ба-
зой данных и обычных компьютеров
с нужным программным обеспечени-
ем, с помощью которого управляются
подключенные контроллеры. Инфор-
мация, циркулирующая между состав-
ными элементами, дает право иденти-
фицировать пользователей, а значит
на основе федерального закона № 152-
ФЗ «О персональных данных» относит-
ся к персональным данным. Отсюда
следует, что СКУД с того момента, как
начала вести обработку персональных
данных является в большинстве случаев
информационной системой персональ-
ных данных (ИСПДн). Каждая ИСПДн
должна соответствовать требованиям
к защите персональных данных при их
обработке в информационных систе-
мах, и значит для их выполнения необ-
ходимо построение системы защиты,
нейтрализующей актуальные угрозы 2 .
Важно правильно провести
обследование имеющихся
информационных систем,
поставить им верный
«диагноз» и подобрать
достаточный набор средств
защиты информации
Введение в эксплуатацию системы
контроля и управления доступом, в
которой происходит обработка пер-
сональных данных без созданной си-
стемы защиты является нарушением
владельцем СКУД действующего за-
конодательства и влечет за собой, в
основном, административную ответ-
ственность 3 . Все организации без ис-
ключения обязаны осуществлять защи-
ту персональных данных.
Зачастую, оператор (владелец ин-
формационных систем) самостоя-
тельно находит в Интернете, что ему
необходимо купить и каким образом
защититься, но в реальности допуска-
ет огромное количество ошибок. Здесь
важно правильно провести обследо-
вание имеющихся информационных
систем, поставить им верный «диа-
гноз», подобрать достаточный набор
средств защиты информации, а ведь
их действительно немало. Для закры-
тия всех актуальных угроз безопасно-
сти информации необходимо в состав
системы защиты персональных данных
включить: средства защиты информа-
ции от несанкционированного доступа,
средства доверенной загрузки, крипто-
графической защиты, антивирусной
защиты, а также средства резервного
копирования. Если используется вирту-
ализация, то внедрить и средство защи-
ты для нее. На границе сети обязатель-
но установить межсетевой экран, не
стоит забывать и про средства анализа
защищенности. Для крупных ИСПДн по-
лезным будет использование систем
обнаружения вторжений, DLP (специ-
ализированное программное обеспе-
чение, которое защищает организа-
цию от утечек данных) и SIEM систем
(анализ информации, поступающей из
различных источников). К каждой ин-
формационной системе подход дол-
жен быть индивидуальным. Правильно
подобранный набор средств защиты и
их верная настройка не создадут кон-
фликтов при дальнейшей эксплуатации
системы и отрицательно не скажется на
работоспособности сотрудников.
Немаловажным является тот факт,
что деятельность по технической защи-
те конфиденциальной информации
подлежит обязательному лицензирова-
нию 4 , поэтому для проведения вышепе-
речисленных мероприятий обязатель-
но привлекаются специализированные
организации, имеющие лицензии
ФСТЭК и ФСБ России.
По результату построения системы
защиты ИСПДн рекомендуется провести
ее аттестацию. Получение аттестата со-
ответствия системы защиты персональ-
ных данных требованиям безопасности
информации даст уверенность в том,
что реализованные меры эффективны
и удовлетворяют всем требованиям, а
значит данные ваших сотрудников бу-
дут находиться под надежной защитой.
Компания «SoftMall» имеет весо-
мый практический опыт в обеспечении
информационной безопасности систем
контроля и управления доступом. Мы
предоставляем полный перечень услуг
в данной сфере, а также в сфере по-
ставок лицензионного программного
и аппаратного обеспечения для выпол-
нения самых разных проектов. Инди-
видуально подходим к решению задач
каждого заказчика, начиная с аудита
инфраструктуры, заканчивая приемоч-
ными испытаниями системы защиты.
Секрет нашего успеха – наша команда,
в составе которой специалисты с колос-
сальным опытом и компетенциями в
области защиты информации.
Ст. 19. Федеральный закон № 152-ФЗ «О персо-
нальных данных»
1
Постановление Правительства Российской Фе-
дерации от 01.11.2012 г. № 1119 «Об утвержде-
нии Требований к защите персональных данных
при их обработке в информационных системах
персональных данных»
2
Ст. 13.11 КоАП РФ. Нарушение законодатель-
ства Российской Федерации в области персо-
нальных данных
3
Постановление Правительства РФ
от 03.02.2012 г. № 79 «О лицензировании дея-
тельности по технической защите конфиденци-
альной информации»
4