тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Антивирусная защита, защита ЦОД вопрос-ответ по ПДн

By 18.03.2025 Информационная безопасность 0 Comments

Антивирусная защита, защита ЦОД вопрос-ответ по ПДн

Друзья, мы видим и благодарим вас за интерес к рубрике вопрос-ответ в сфере персональных данных. Предыдущие части — в конце, а сегодня — 10 вопросов о техмерах защиты персональных данных и не только.

Вопрос 1

Вопрос по ведению журналов. Есть журнал по антивирусным проверкам — кто его должен заполнять и как часто?

В первую очередь, должен быть Регламент по обеспечению мер антивирусной защиты в организации. Он и определяет, в бумажной или электронной форме ведётся журнал, кто и когда его заполняет.

Удобнее, разумеется, электронный вариант. Его может сразу создавать антивирус, например Kaspersky, автоматизированным путём. Важно, чтобы это было прописано в регламенте. Не может быть такого, что в регламенте у вас указан бумажный журнал, а на деле его создаёт сам антивирус в электронном формате.

Правильно настроенный и интегрированный с СЗИ журнал будет гораздо надежнее и информативнее бумажного

— Вероника Нечаева, CISO CORTEL

Вопрос 2

Каковы требования регулятора к межсетевым экранам в организациях? Необходим ли технический паспорт АРМ (с указанием марки и модели мониторов, клавиатур, мышек)?

Требования здесь будут в зависимости от того, какая у вас информационная система, и что нужно для закрытия требований по её уровню защищённости — какие из этих мер будет закрывать межсетевой экран.

Технический паспорт АРМ нужен только в случае, если вы собираетесь проходить процедуру аттестации.

Вопрос 3

Что является подтверждение выполнения требований по защите оператором ЦОД?

По факту, подтверждением является только аттестат или результаты оценки соответствия. Если в ЦОДе заявляют, что выполняются какие-то международные требования по защите информации — ищите себе того, кто понимает, что с точки зрения российского законодательства, он должен выполнять требования 152-ФЗ и подзаконных нормативных актов.

Вопрос 4

Вопрос по проверке РКН по их чек-листу от 2021 года. Хотелось бы понять, как проверяются пункты, по которым не было фактического события?

Мы недавно публиковали большой материал в двух частях, где я подробно, простым языком прокомментировала каждый пункт этого чек-листа. Проверяется наличие шаблонов документов, инструкций по действиям при отзыве согласия и т.д.

Вопрос 5

Являются ли логи мониторингом за событиями безопасности? Логи Windows или 1C, например.

Смотря, какие логи. Вообще, да, могут быть инструментом мониторинга.

Вопрос 6

Чем отличается СЗИ, сертифицированное ФСТЭК, от ФСБ?

Разными требованиями к сертификации. Как минимум, проводятся разные испытания, так как у каждого регулятора свой комплект документации, чтобы выдать этот сертификат. Когда мы, например, говорит про ГИС, то в первую очередь обращаем внимание на наличие у СЗИ сертификата ФСТЭК. На СКЗИ в первую очередь должен быть сертификат ФСБ

— Вероника Нечаева, CISO CORTEL

Вопрос 7

Медицинская организация. Нужно ли оформлять согласие на обработку ПДн, если мы и без него должны оказывать медицинскую помощь и собирать ПДн? Смысл в этих документах?

Первичное согласие на обработку, в соответствии с исключениями, перечисленными в 152-ФЗ, можно на брать. Когда пациент поступил к вам снова, есть анамнез, нужны вмешательства, дополнительные исследования и т.д. — если иное не предусмотрено законом, согласие брать нужно

Вопрос 8

Если оператор сделал ЭДО для продажи третьим лицам, нужна ли сертификация, аттестация?

О, у нас прямо сейчас сервис по ЭДО в защищённом облаке находится. В зависимости от того, что это за документооборот и с кем вы планируете работать. Если, например, с медицинскими организациями — у них есть требования к аттестации систем.

— Вероника Нечаева, CISO CORTEL

Вопрос 9

Может ли ответственный за обработку ПДн получить штраф, как физлицо?

Да. В КОАПе подробно прописана вся ответственность по категориям: на физлицо, на юрлицо, на организацию

Вопрос 10

Как доказать, что в ОС Windows нет недекларированных возможностей?

Фактически, сейчас нет утверждённого конкретного способа подтверждения того, что нет НДВ в Windows. Для средств защиты это сертификация по уровню доверия. Не стоит использовать типы угроз помимо третьего. Это чревато для определения класса СКЗИ

Если у вас остались вопросы и вы бы хотели получить персональную консультацию по вашей ситуации с обработкой и защитой персональных данных или аудит сайта на соответствие выполнения требований 152-ФЗ — заполните эту форму. Мы свяжемся с вами.

Первая часть вопрос-ответ — здесь.

Вторая — здесь.