ПДн – персональные данные
ИСПДн – информационная система персональных данных
СКЗИ – средство криптографической защиты информации
УЗ – уровень защищенности
СПО – специальное программное обеспечение
ППО – прикладное программное обеспечение
После множества переносов 1 января 2011 года вступил в силу Федеральный закон от 27.07.2006 года №152 «О персональных данных» и начали действовать санкции за неисполнение требований (административная и уголовная ответственность). Основная цель закона – защитить права и свободы граждан при обработке личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну.
Федеральный закон обязал операторов персональных данных «принимать необходимые организационные и технические меры для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Для обеспечения реализации положений Федерального закона выпущены следующие документы:
Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИС, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия.
Определено 4 уровня защищённости (УЗ) персональных данных (представлены в таблице 1 ), различающихся перечнем необходимых к выполнению требований и устанавливаемых в зависимости от категории обрабатываемых персональных данных, типа актуальных угроз и числа субъектов персональных данных.
Таблица 1. Уровни защищенности (УЗ) персональных данных
Тип ИС | Сотрудники оператора | Кол-во субъектов | Тип актуальных угроз | ||
---|---|---|---|---|---|
1 | 2 | 3 | |||
ИСПДн-С Специальные |
нет | >100 000 | УЗ-1 | УЗ-1 | УЗ-2 |
нет | <100 000 | УЗ-1 | УЗ-2 | УЗ-3 | |
да | Любое | ||||
ИСПДн-Б Биометрические |
да/нет | Любое | УЗ-1 | УЗ-2 | УЗ-3 |
ИСПДн-И Иные |
нет | >100 000 | УЗ-1 | УЗ-2 | УЗ-3 |
нет | <100 000 | УЗ-2 | УЗ-3 | УЗ-4 | |
да | Любое | ||||
ИСПДн-О Общедоступные |
нет | >100 000 | УЗ-2 | УЗ-2 | УЗ-4 |
нет | <100 000 | УЗ-2 | УЗ-3 | УЗ-4 | |
да | Любое | УЗ-2 | УЗ-3 | УЗ-4 |
Продукты компании С-Терра, сертифицированные регуляторами – ФСБ России и ФСТЭК России, могут использоваться для обеспечения любого уровня защищенности персональных данных.
Таблица 2. Применение продуктов С-Терра для защиты ПДн разных УЗ
Область применения | Продукт | УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
---|---|---|---|---|---|
Криптографическая защита удаленного доступа к ресурсам ИС | C-Терра Шлюз, С-Терра Виртуальный Шлюз, Модуль С-Терра CSCO-STVM, C-Терра «Пост», С-Терра Клиент, С-Терра Клиент-М | – | + | + | + |
Межсетевое экранирование | C-Терра Шлюз, С-Терра Виртуальный Шлюз, Модуль С-Терра CSCO-STVM, C-Терра «Пост», С-Терра Клиент | + | + | + | + |
Защита от вторжений | С-Терра СОВ | + | + | + | + |
ПРЕИМУЩЕСТВА РЕШЕНИЯ С-ТЕРРА:
Рассмотрим несколько типовых вариантов использования продуктов С-Терра для защиты ИСПДн.
В центральной точке устанавливается шлюз безопасности – С-Терра Шлюз, который обеспечивает межсетевое экранирование и терминирует защищенные туннели с удаленными объектами. Конкретная модель выбирается из линейки шлюзов, исходя из требований по производительности, параметров аппаратной платформы и необходимого класса защиты. Для повышения отказоустойчивости центрального объекта может быть установлено два шлюза в кластере «горячего» резервирования. Рекомендуем использовать систему централизованного управления С-Терра КП. В удаленных объектах также устанавливается С-Терра Шлюз, но, как правило, более младшей модели. Если количество рабочих мест в удаленном объекте менее 5, то целесообразно рассмотреть С-Терра Клиент или С-Терра «Пост» для каждого рабочего места.
ПРИМЕР
Условия: Организация состоит из головного офиса и 20 филиалов. Связь филиалов с головным офисом осуществляется через недоверенную сеть – интернет. В головном офисе развернута база данных, содержащая ПДн, к которой необходим доступ из филиалов. Канал в головном офисе 100 Мбит/c, в филиалах – по 10 Мбит/c. В каждом филиале более 10 сотрудников со стационарными рабочими местами на ОС Windows.
Требуется: защитить ПДн при их передаче через недоверенную сеть в соответствии с законодательством. В головном офисе требуется резервирование оборудования. Класс защищенности СКЗИ – КС2.
Аннотация: Цель лекции: определить содержание этапов организации обеспечения безопасности ПД, а также необходимые организационные и технические мероприятия в рамках построения СЗПД.
Система защиты ПД может быть как отдельной системой, так и подсистемой в составе системы защиты информации организации в целом. Как правило, выполнение работ по построению СЗПД происходит поэтапно и включает в себя следующие стадии:
Предпроектная стадия или оценка обстановки. В самом начале построения СЗПД производится оценка обстановки. На данном этапе производятся следующие работы:
Важным пунктом данного этапа является построение частной модели угроз и предварительная классификация ИСПД данной организации. Классификация ИСПД производится в соответствии с приказом " Об утверждении Порядка проведения классификации информационных систем персональных данных" от 13 февраля 2008 года. Результатом данного этапа является формирование частного технического задания (ТЗ) к СЗПД.
Техническое задание должно содержать:
Важным подэтапом является разработка эксплуатационной документации на ИСПД и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов).
Этап проектирования является наиболее важным и трудоемким, так как при реализации СЗПД необходимо учесть множество факторов, таких как масштабирование, совместимость средств защиты со штатным программным обеспечением, возможность периодического тестирования системы защиты и замены отдельных компонентов системы в случае необходимости.
В случае если в процессе опытной эксплуатации выявляются недостатки разработанной СЗПД, проводится ее доработка.
Для ИСПД, находящихся в эксплуатации до введения ФЗ №152 "О персональных данных" от 27 июля 2006 года, должны быть проведены работы по их модернизации в соответствии с требованиями Федерального закона и "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" №781.
Для обеспечения безопасности персональных данных организации требуется провести комплекс технических и организационных мероприятий в рамках построения СЗПД и ее эксплуатации.
Организационные меры носят административный и процедурный характер и регламентируют процессы функционирования ИСПД, обработку ПД и действия персонала. Организационные меры включают в себя:
Организационные меры индивидуальны для каждой организации и в первую очередь определяются классом ИСПД, которые обрабатывают персональные данные . Чем выше класс ИСПД, тем больше мероприятий организационного характера требуется для ее защиты. Организационные меры необходимы для регламентации функционирования системы в целом, но явно не достаточны. Для обеспечения безопасности они должны быть подкреплены использованием технических средств защиты.
Техническое мероприятие – это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений. Техническая защита по своей структуре и содержанию является более сложным и трудоемким процессом в отличие от организационных мероприятий и предусматривает выполнение следующих условий:
Согласно Указу Президента РФ "Об утверждении перечня сведений конфиденциального характера" персональные данные относятся к категории сведений конфиденциального характера. На основании Федерального закона от 8 августа 2001 г. №128-ФЗ "О лицензировании отдельных видов деятельности" техническая защита конфиденциальной информации (в нашем случае персональных данных) относится к лицензированному виду деятельности. Таким образом, для проведения мероприятий по защите персональных данных необходимо привлекать организации, имеющие соответствующие лицензии ФСТЭК. Деятельность по защите информации без наличия соответствующих лицензий влечет за собой как административную, так и уголовную ответственность.
Помимо вышеперечисленного, средства технической защиты согласно п.6 Положения №781 " "Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" должны проходить процедуру соответствия. Другими словами, можно применять только те средства защиты, которые имеют сертификат соответствия ФСТЭК или ФСБ в зависимости от назначения средства.
До начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении в соответствии с ФЗ "О персональных данных".Уведомление должно быть в письменной форме с подписью уполномоченного лица или в электронной форме с ЭЦП . Уведомление должно содержать:
В поле цель обработки персональных данных указываются цели обработки персональных данных, указанные в учредительных документах оператора, либо фактические цели обработки.
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.
К специальным ИСПДн автоматически относятся:
Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 февраля 2008 года:
На основе базовой модели угроз и в соответствии с нормативным документом ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным 14 февраля 2008 г., разрабатываются частные модели угроз в отношении конкретных ИСПДн. В ходе такой разработки составляется перечень актуальных угроз в отношении конкретных информационных систем.
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности ПДн при их обработке в ИСПДн» и «Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденных ФСТЭК, формулируются конкретные организационно- технические требования по защите информационных систем от утечки данных по техническим каналам, от несанкционированного доступа. Также осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.
Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) ПДн. Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Носители ПДн могут содержать информацию, представленную в следующих видах:
В соответствии с Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также документом ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденным 15 февраля 2008 г., мероприятия по обеспечению безопасности ПДн при обработке в ИСПДн формулируются в зависимости от класса информационных систем с учетом возможного возникновения угроз безопасности в отношении персональных данных. Такие мероприятия включают в себя:
Мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн включают:
Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных.
Что включает СЗПДн?
Структура, состав и основные функции систем защиты персональных данных определяются исходя из класса ИСПДн. СЗПДн включает в себя организационные меры, средства защиты информации, а также используемые в информационной системе информационные технологии.
Организационные меры
Обеспечение безопасности персональных данных при их обработке в ИСПДн должно предусматривать:
Средства защиты ПДн
В соответствии с классификацией ИСПДн, а также с учетом актуальных угроз, приведенных в адаптивных моделях для «специальных» ИСПДн, и в соответствии с требованиями нормативно-методических документов регуляторов ФСТЭК РФ и ФСБ РФ, СЗПДн должна включать ряд подсистем, описание которых представлено в следующих разделах.
Средства защиты ПДн от утечки по техническим каналам
С целью предотвращения утечек акустической (речевой), видовой информации, а также утечек информации за счет побочных электромагнитных излучений и наводок применяются специальные технические средства. При этом выделяются пассивные и активные средства защиты.
Пассивные средства защиты , как правило, реализуются на этапе разработки проектных решений при строительстве или реконструкции зданий. Преимущества применения пассивных средств заключаются в том, что они позволяют заранее учесть типы строительных конструкций, способы прокладки коммуникаций, оптимальные места размещения защищаемых помещений.
Защита ПДн при осуществлении пользователями информационных систем голосового ввода данных в ИСПДн или их воспроизведении акустическими средствами ИСПДн обеспечивается путем звукоизоляции помещений, в которых устанавливаются аппаратные средства ИСПДн, систем инженерного обеспечения (вентиляции, отопления и кондиционирования), а также ограждающих конструкций помещений (стены, пол, потолок, окна, двери).
Что использовать: встроенные или наложенные средства защиты?
Опираясь на накопленный опыт в области защиты информации, специалисты компании «Инфосистемы Джет» в проектировании решений по защите ПДн при их обработке в ИСПДн стараются комбинировать как наложенные средства защиты информации, так и встроенные механизмы защиты в общесистемное и прикладное программное обеспечение (ПО), используемое в ИСПДн. Каждый вариант имеет свои достоинства и недостатки. Наложенные средства далеко не всегда могут в полной мере реализовать требования регуляторов, а также могут оказаться несовместимыми с уже используемыми в ИСПДн программными решениями. Применение встроенных механизмов приводит к возникновению проблем, связанных с обязательным наличием у такого ПО сертификатов соответствия российских регуляторов.
Специалисты компании «Инфосистемы Джет» отдают предпочтение встроенным механизмам реализации управления доступом к ПДн.
Данный подход обусловлен тем, что позволяет минимизировать изменения в структуре как самих ИСПДн, так и механизмов безопасности.
Большое внимание при проектировании СЗПДн специалисты нашей компании также уделяют обеспечению целостности настроек самих средств защиты информации. При выборе данных средств компанией «Инфосистемы Джет» тщательно анализируются собственные механизмы контроля целостности. Только неизменность настроек средств защиты информации может гарантировать оператору ПДн надежную защиту обрабатываемой в ИСПДн информации.
Звукоизоляция обеспечивается с помощью архитектурных и инженерных решений, применением специальных звукопоглощающих строительных и отделочных материалов, виброизолирующих опор, которыми разделяют друг от друга различные ограждающие конструкции. Для обеспечения требований по защите ПДн достаточным является повышение звукоизоляции на 10-15 дБ. Для снижения вероятности перехвата информации такого рода необходимо исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций помещений и выходящих из них инженерных коммуникаций.
В случае технической невозможности использования пассивных средств защиты помещений, применяют активные меры защиты
, заключающиеся в создании маскирующих акустических и вибрационных помех.
Средства акустической маскировки используется для защиты речевой информации от утечки по прямому акустическому каналу путем создания акустических шумов в местах возможного размещения средств подслушивания или нахождения посторонних лиц.
Средства виброакустической маскировки применяются для защиты информации от перехвата с помощью электронных стетоскопов, радиостетоскопов, а также лазерных акустических систем подслушивания.
Для получения оптимального уровня антивирусной защиты ИСПДн компания «Инфосистемы Джет» реализует двух-эшелонную систему защиты информации. Первый эшелон организуется на периметре информационной системы оператора ПДн, второй эшелон защищает внутренние ресурсы системы от возможного попадания вирусов путем использования непроверенных носителей информации сотрудниками оператора. Не секрет, что не все антивирусы «одинаково полезны». Опыт нашей компании показывает, что не существует универсального средства безопасности от вирусов, поэтому для наиболее эффективной защиты в проектируемых решениях наши специалисты применяют одновременно антивирусные средства разных производителей.
С целью предотвращения утечки информации по телефонным каналам связи необходимо оконечные устройства телефонной связи, которые имеют прямой выход на городскую автоматическую телефонную станцию, оборудовать специальными средствами защиты информации, которые используют электроакустическое преобразование.
Для осуществления мероприятий по защите ПДн при их обработке в информационных системах от несанкционированного доступа (НСД) и неправомерных действий пользователей и нарушителей СЗПДн могут включать в себя следующие подсистемы:
Подсистема управления доступом, регистрации и учета , как правило, реализуется с помощью программных средств блокирования НСД, сигнализации и регистрации. Это специальные, не входящие в ядро операционной системы программные и программно-аппаратные средства защиты самих операционных систем, СУБД и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения несанкционированных действий пользователей или нарушителей. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики (тестирование файловой системы), регистрации (журналирование действий и операций), сигнализации (предупреждение об обнаружении фактов несанкционированных действий или нарушения штатного режима функционирования ИСПДн).
Подсистема обеспечения целостности
также реализуется преимущественно средствами самих операционных систем и СУБД. Работа данных средств основана на расчете контрольных сумм, уведомлении о сбое в передаче пакетов сообщений, повторе передачи непринятых пакетов.
Частота применения в российских компаниях в качестве операционной системы продуктов компании Microsoft вызвала необходимость использовать в качестве базовой платформы для построения решения подсистемы разграничения и контроля доступа к ресурсам информационной системы функционал Microsoft Windows Server 2003.
Эта сетевая операционная система наряду с необходимым для обеспечения безопасности ПДн набором технологических параметров обладает всеми необходимыми сертификатами на соответствие требованиям регулирующих органов. ФСТЭК России в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертифицировал:
Компанией Microsoft также производится сертификация ежемесячно выходящих новых патчей к данным продуктам.
ФСБ России сертифицировала русскую версию серверной операционной системы Windows Server 2003 Enterprise Edition. Сертификат ФСБ удостоверяет, что продукт соответствует требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2. Таким образом, данная система может быть использована в качестве средства для защиты ПДн в ИСПДн.
Последней версией Windows Server является версия Windows Server 2008. Ожидается, что к дате выхода данной статьи сертификация данной ОС будет получена и в технических решениях для подсистемы управления доступом, регистрации и учета будет возможно применение Microsoft Windows Server 2008.
Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты (подсистема антивирусной защиты). Такие средства способны обеспечивать:
Подсистема антивирусной защиты должна строиться с учетом следующих факторов:
Для реализации подсистемы антивирусной защиты ПДн при их обработке в ИСПДн возможно использование антивирусных средств компании «Лаборатория Касперского».
Продукты компании «Лаборатория Касперского» сертифицированы Федеральной службой безопасности России. Данные сертификаты удостоверяют, что Антивирус Касперского 6.0 для Windows Servers соответствует требованиям к антивирусным средствам класса А1с, Антивирус Касперского 5.5 для Linux и FreeBSD Workstations и File Server соответствует требованиям к антивирусным средствам класса А2с и Kaspersky Administration Kit 6.0 соответствует требованиям к антивирусным средствам класса А3с. Указанные продукты могут использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.
Кроме того, продукты Антивирус Касперского 6.0 для Windows Servers, Антивирус Касперского 6.0 для Windows Workstation и Kaspersky Administration Kit 6.0 соответствуют требованиям руководящего документа ФСТЭК - по 3 уровню контроля и требованиям технических условий.
Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии (подсистема обеспечения безопасности межсетевого взаимодействия ИСПДн)
применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами (МЭ). Межсетевой экран устанавливается между защищаемой внутренней и внешней сетями. МЭ входит в состав защищаемой сети. За счет соответствующих настроек задаются правила, которые позволяют ограничивать доступ пользователей из внутренней сети во внешнюю и наоборот.
Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 3 и 4 классов рекомендуется использовать МЭ не ниже пятого уровня защищенности, в ИСПДн 2 класса - МЭ не ниже четвертого уровня защищенности, в ИСПДн 1 класса - МЭ не ниже третьего уровня защищенности.
Подсистема анализа защищенности
предназначена для осуществления контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяет оценить возможность проведения нарушителями атак на сетевое оборудование, контролирует безопасность программного обеспечения. С помощью таких средств (средства обнаружения уязвимостей) производится сканирование сети с целью исследования ее топологии, осуществления поиска незащищенных или несанкционированных сетевых подключений, проверки настроек межсетевых экранов и т.п. Данный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средств анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях.
Средства обнаружения уязвимостей могут функционировать на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Применяя сканирующее ПО, можно составить карту доступных узлов ИСПДн, выявить используемые на каждом из них сервисы и протоколы, определить их основные настройки и сделать предположения относительно вероятности реализации НСД. По результатам сканирования системы вырабатываются рекомендации и меры, позволяющие устранить выявленные недостатки.
В качестве средства, применяемого в подсистеме анализа защищенности, специалисты компании «Инфосистемы Джет» часто используют Xspider компании Positive Technologies. Сетевой сканер Xspider сертифицирован ФСТЭК России (сертификат соответствия № 1323от 23 января 2007 г., действителен до 23 января 2010 г.) и Министерством Обороны (сертификат соответствия № 354). Xspider - сетевой сканер безопасности, построенный на базе интеллектуального сканирующего ядра, которое обеспечивает максимально полное и надежное определение уязвимостей на системном и прикладном уровне. XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов, работает с уязвимостями на разном уровне - от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений. Xspider поддерживает различные способы сканирования, в том числе и удаленное, при гарантии доступности сетевого сегмента.
В настоящее время компания Positive
Technologies
проводит работы по сертификации
на отсутствие НДВ и соответствие ТУ системы оценки защищенности и контроля соответствия техническим политикам MaxPatrol.
В отличие от сканера безопасности, который оценивает только внешние уязвимости, MaxPatrol проводит внутренний аудит информационных ресурсов.
Применение системы MaxPatrol позволяет:
В данный момент ведется сертификация системы MaxPatrol.
Выявление угроз НСД при межсетевом взаимодействии производится с помощью систем обнаружения вторжений (подсистема обнаружения вторжений) . Такие системы строятся с учетом особенностей реализации атак и этапов их развития. Они основаны на следующих методах обнаружения атак: сигнатурные методы, методы выявления аномалий, комбинированные методы с использованием обоих названных методов.
Для обнаружения вторжений в ИСПДн 3 и 4 классов рекомендуется использовать системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2 класса - системы, применяющие сигнатурный метод и метод выявления аномалий.
В качестве средства для реализации подсистемы обнаружения и предотвращения вторжений специалисты компании «Инфосистемы Джет» часто используют продукты компании Cisco. Данные средства сертифицированы ФСТЭК и соответствуют требованиям технических условий и стандарту ГОСТ Р ИСО/МЭК 15408-2002.
К таким продуктам, в частности, относится Cisco Intrusion Detection System/Intrusion Preventing System (IPS/IDS), который является основным компонентом решений Cisco Systems по обнаружению и отражению атак. Наряду с традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки. Встроенные технологии корреляции событий безопасности Cisco Threat Response, Threat Risk Rating и Meta Event Generator не только помогают существенно уменьшить число ложных срабатываний, но и позволяют администраторам реагировать лишь на действительно критичные атаки, которые могут нанести серьезный ущерб ресурсам корпоративной сети.
Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий).
Cisco ASA 5500 предназначен для решения сразу нескольких задач - разграничения доступа к сетевым ресурсам, защиты от атак, защиты взаимодействия с удаленными территориями, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа «фишинг». Это достигается за счет объединения в одном устройстве лучших защитных средств - межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator.
Помимо описанных выше программно-технических средств защиты компания «Инфосистемы Джет» широко использует продукты других ведущих производителей на рынке информационной безопасности. К ним, в частности, относятся Oracle, Aladdin, Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят активную позицию по соответствию требований регуляторов и сертификации своих продуктов с целью их применения в решениях по защите персональных данных.
Для реализации перечисленных подсистем, общая структура СЗПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации.
В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации10.
Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ.
К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации (происходящие, например, в ходе модернизации ИСПДн), предусмотренных указанными правилами, согласовывается с ФСТЭК и ФСБ.
Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.
Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
Все сертифицированные ФСТЭК средства защиты представлены на сайте ФСТЭК (http://www.fstec.ru/) в разделе «Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации» (http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр сертифицированных средств защиты информации».
По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности данных, включаемые в техническое (частное техническое) задание на разработку системы защиты.
Техническое (частное техническое) задание на разработку СЗПДн должно содержать:
На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:
Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании «Инфосистемы Джет» проводят работы с учетом следующих факторов:
- совместимости средств защиты со штатным программным обеспечением ИСПДн;
- степени снижения производительности функционирования ИСПДн по основному назначению;
- наличия подробной документации по эксплуатации средств защиты;
- возможность осуществления периодического тестирования или самотестирования средств защиты ПДн;
- возможность наращивания состава средств защиты новыми дополнительными средствами без осуществления ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты;
- гармонизации средств защиты информации с уже существующими в информационной системе;
- масштабирование (распространение) применяемых решений по защите ПДн на остальные информационные системы.
Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации
Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:
Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.
Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом - «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.
Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:
Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.
Аттестационные испытания ИСПДн предполагают проведение следующих проверок:
Результатом работ на данном подэтапе является:
В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных системах 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий в целях ее уничтожения, искажения или блокирования доступа к ней.
Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю. Срок действия лицензии составляет 5 лет и по его окончании может быть продлен по заявлению лицензиата.
Условия получения лицензии
Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
Для получения лицензии на деятельность по технической защите ПДн необходимо выполнить следующие работы:
Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
Лица, осуществляющие обработку персональных данных, как сотрудники организации-оператора, так и уполномоченного лица (осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки.
При разработке и использовании типовых форм документов, в которые предполагается включение ПДн, должны соблюдаться определенные условия по их содержанию. Например, они должны содержать сведения о цели обработки, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения ПДн, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн, поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку персональных данных и т.п.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться условия:
Должна обеспечиваться раздельная фиксация на материальный носитель ПДн, имеющих различную цель обработки. Если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению их раздельной обработки.
В отношении каждой категории ПДн должны быть определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
С точки зрения формирования требований к защите персональных данных существует два типа биометрических данных. Первый тип - биометрические данные, которые обрабатываются в ИСПДн. Требования к их защите определены в постановлении Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и ничем не отличаются от требований к защите обычных ПДн, которые обрабатываются в информационных системах.
Второй тип - это биометрические данные, обрабатываемые вне информационных систем персональных данных. Требования по защите таких ПДн сформулированы в Постановлении от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
При этом под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека, и на основе которых можно установить его личность.
Материальный носитель таких ПДн должен обеспечивать:
Оператор биометрических данных, используемых вне ИСПДн, обязан:
Технологии хранения биометрических персональных данных вне ИСПДн должны обеспечивать доступ к информации, содержащейся на материальном носителе, применение средств электронной цифровой подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических ПДн, записанных на материальный носитель, а также проверку наличия письменного согласия субъекта ПДн на обработку его биометрических персональных данных.
При хранении биометрических персональных данных вне ИСПДн должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации. Такая передача называется трансграничной.
До начала осуществления трансграничной передачи персональных данных оператор ПДн обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн. Министерство связи и массовых коммуникаций РФ (Минкомсвязи) в своем письме № ДС-П11-2502 от 13.05.2009 определило «адекватную защиту» как защиту, при которой «обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации».
Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г., ETS № 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. К сожалению, многие поставщики решений по защите персональных данных применяют типовой подход как с точки зрения этапности и состава работ, так и подбора средств защиты. Наши специалисты стараются избежать такой «уравниловки». К примеру, при разработке решений по защите персональных данных в телекоммуникационных организациях специалисты компании «Инфосистемы Джет» учитывают специфику работы с абонентскими базами и биллинговыми системами операторов связи. В случае с кредитно-финансовыми организациями многие компании большое внимание уделяют стандарту СТО БР, поэтому важно при проведении работ по защите персональных данных подбирать такие решения, которые могли бы одновременно закрывать требования и законодательства, и стандарта.
В каких случаях не надо обеспечивать «адекватную защиту» ПДн при трансграничной передаче?..
Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных. То есть субъект ПДн как минимум должен письменно заверить оператора, что «он разрешает организации, которая обрабатывает его персональные данные, не защищать их при передаче за границу». Автор данной статьи скептически относится к такой возможности;
- предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
В своей деятельности компания «Инфосистемы Джет» также ориентируется на российское законодательство. В представлены нормативные акты, которые устанавливают требования в данной области для организации различных отраслей.
Компания «Инфосистемы Джет» имеет большой опыт проведения проектов в кредитно-финансовых организациях. В частности, в следующем разделе статьи приводится пример одного из решений, которое было реализовано в одном из крупных российских банков.
Таб. 2. Нормативно-правовые акты, устанавливающие требования по защите ПДн для различных вертикальных рынков
К персональным данным для сегмента автоматизированной банковской системы, связанного с ведением кредитной истории клиента, перечень обрабатываемых ПДн можно определить на основании Федерального закона от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях». В соответствии с данным Законом необходимо иметь следующие сведения о заемщике:
Если учесть, что количество клиентов, кредитование которых осуществляет среднестатистический Банк, составляет не менее 80 000 человек, то такая совокупность параметров позволяет сделать вывод о том, что АБС относится к ИСПДн 2-го класса. А так как эти данные требуют обеспечения не только конфиденциальности, но и доступности и целостности, то мы относим АБС к специальной ИСПДн 2-го класса. По режиму обработки персональных данных рассматриваемая ИСПДн относится к многопользовательской, а по разграничению прав доступа - к системе с разными правами доступа к ПДн. Это требует проведения определенных мероприятий по обеспечению безопасности.
В подсистеме управления доступом должны осуществляться следующие мероприятия:
В подсистеме регистрации и учета должны осуществляться следующие мероприятия:
В подсистеме обеспечения целостности должны проводиться следующие мероприятия:
В подсистеме антивирусной защиты должны проводиться следующие мероприятия:
В подсистеме защиты от утечки данных в ИСПДн по техническим каналам для ИСПДн 2-го класса использовались СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).
В соответствии со статьей 23 Федерального Закона «О персональных данных» для обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона назначается Уполномоченный орган по защите прав субъектов персональных данных (далее, регулятор). Такие функции возложены на три организации:
В рамках своих полномочий регуляторы имеют право проводить плановые и внеплановые проверки.
Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных в уведомлении уполномоченного органа по защите ПДн, а также внеплановые - на основании заявления физических лиц с целью проверки информации, указанной в данном заявлении.
ФСБ России имеет право проводить плановые проверки:
ФСТЭК РФ уполномочен осуществлять плановые проверки:
В рамках межведомственного сотрудничества между Роскомнадзором, ФСТЭК России и ФСБ РФ достигнута договоренность о проведении совместных мероприятий по контролю и надзору в области персональных данных.
Роскомнадзор рассматривает обращения субъекта ПДн о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Он имеет право:
Итоги Роскомнадзора за 2008 год
В рамках выполнения функций по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий.
По результатам проверок выписано 19 предписаний об устранении выявленных нарушений Федерального закона «О персональных данных», 5 материалов направлено в органы прокуратуры, 11 - в судебные органы.
Выявленные нарушения классифицированы по следующим статьям Кодекса Российской Федерации об административных правонарушениях:
- ст. 13.11. - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
- ст. 19.7. - непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде.
С начала возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных поступило 146 обращений: из них даны ответы заявителям - 60, направлены в правоохранительные органы - 5, органы прокуратуры - 24, в судебные органы - 22, на момент выхода данной статьи находилось на рассмотрении - 35.
В результате взаимодействия с правоохранительными органами приостановлена деятельность интернет-ресурсов www.nomer.org.ru и www.vslomaj.com, предоставляющих услуги доступа к персональным данным граждан Российской Федерации.
В 2008 году прошли первые судебные процессы по искам в области защиты прав субъектов персональных данных. Судебными инстанциями из 22 административных дел семь рассмотрены в пользу субъектов персональных данных, в шести случаях вынесены решения об отказе в исковых требованиях, девять административных дел на конец года находились в судебном производстве.
Чаще всего субъекты персональных данных обращаются по фактам нарушений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:
- главы 2 статьи 5 «Принципы обработки персональных данных»;
- статьи 6 «Условия обработки персональных данных»;
- статьи 9 «Согласие субъекта персональных данных на обработку своих персональных данных».
Изложенные в обращениях факты нарушения федерального законодательства в ходе рассмотрения подтвердились в большинстве случаев.
Анализ категорий операторов, осуществляющих обработку персональных данных, на действия которых чаще всего поступают обращения от субъектов персональных данных, позволяет утверждать, что «лидерами» являются:
- кредитные учреждения - 34;
- жилищнокоммунальные организации - 21;
- операторы связи - 10;
- страховые компании - 9.
Для решения поставленных задач Уполномоченным органом по защите прав субъектов персональных данных 28 декабря 2007 года был создан координационный центр на федеральном уровне - Управление по защите прав субъектов персональных данных и территориальные органы в субъектах Российской Федерации - соответствующие структурные подразделения в 78 территориальных органах.
Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах.
Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах.
Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, компании-интеграторы способны реализовать требования законодательства в конкретных решениях.
Защита персональных данных является сегодня приоритетным направлением деятельности Центра информационной безопасности компании «Инфосистемы Джет». Специалисты нашей компании рассматривают эту задачу не только как выполнение требований российского и международного законодательства, но и как возможность создать полноценную систему обеспечения безопасности.
Накопив значительный опыт в проведении проектов по обеспечению информационной безопасности, специалисты компании «Инфосистемы Джет» разработали свой подход к реализации задачи защиты персональных данных. Он базируется на государственных стандартах (ГОСТ 34.201-89, ГОСТ 34.601-90), нормативных актах и документах регулирующих органов, а также на экспертном опыте наших специалистов.
При этом главными принципами при проведении проектов по реализации требований российского законодательства в области защиты персональных данных наша компания считает:
Необходимость учета отраслевой специфики при проведении проектов. Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. При этом наши специалисты стараются избежать типового подхода как к этапности проведения работ, так и к подбору средств защиты. Это позволяет находить такие решения, которые могли бы одновременно закрывать требования и Закона, и отраслевых стандартов, учитывать при разработке решений по защите персональных данных специфику деятельности организации и ведения ее бизнес-процессов.
Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.
Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.
Необходимость принятия мер по защите персональных данных (далее ПДн) вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.
С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.
Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации. Представьте себе работу кредитно-финансовой или телекоммуникационной компании, которая потеряла хотя бы часть информации о своих клиентах. Долго ли просуществует такая компания на рынке?..
Понимая важность и ценность информации о человеке, а также заботясь о
соблюдении прав своих граждан, государство требует от организаций и физических
лиц обеспечить надежную защиту персональных данных. Законодательство Российской
Федерации в области ПДн основывается на Конституции РФ и международных договорах
Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. N
152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи
и особенности обработки персональных данных, отраслевых нормативных актов,
инструкций и требований регуляторов.
В 1981 году Совет Европы принял Конвенцию «О защите личности в связи с автоматической обработкой персональных данных». 25 ноября 2005 г. Государственная Дума ратифицировала данную Конвенцию (ФЗ от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»), возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн. Первым шагом в реализации взятых обязательств стало принятие Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных». Закон вступил в силу в январе 2007 года.
Закон № 152-ФЗ определил высокоуровневые требования, которые затем были конкретизированы в подзаконных актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
Каждый из этих актов и документов посвящен отдельным областям и тематикам законодательства и будет раскрываться в дальнейшем по ходу изложения материала. Целью российского законодательства в области ЗПД является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой ПДн, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.
Состав и содержание персональных данных определяют операторы ПДн1 в зависимости от целей их обработки. Например, перечень персональных данных для популярных в последнее время систем лояльности клиентов компании, как правило, включают контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. Состав этих сведений не должен быть избыточен при этом оставаясь достаточным, чтобы «понимать» предпочтения клиента, его финансовые возможности, «отслеживать» его покупательскую историю и т.п.
Отличие российского и международного законодательства США, Великобритания и Канада, так же как и Россия, разработали технические регламенты, которые транслируют положения законодательства верхнего уровня в конкретные советы и рекомендации по защите персональных данных. В Великобритании в 1998 году был принят «Закон о защите персональных данных» – «Data Protection Act 1998». Его техническая реализация – проект стандарта «Specification for the management of personal information in compliance with the Data Protection Act 1998» (BS 10012) должен получить статус официального документа в июне 2009. Параллельно с англичанами свою версию стандарта по безопасности ПДн выпустили в США. Проект документа по защите персональных данных для американских государственных структур – «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» (SP 800122) регламентирует выполнение Законов «The Privacy Act of 1974» и «Privacy Protection Act of 1980». Канада выпустила «Privacy Code» – набор документов для реализации законодательства по защите сведений о частных лицах (The Privacy Act и PIPEDA).
Канадский, английский и американский стандарты, в отличие от документов российских регуляторов, дают более общие екомендации по обеспечению безопасности ПДн и не предписывают, как конкретно должны защищаться персональные данные. Более того, тот же американский стандарт рекомендует по возможности обезличивать персональные данные, чтобы уйти от различных защитных мер, снижающих удобство пользования информацией.
Существуют случаи, когда цели, состав и содержание ПДн четко определяются законодательными и нормативно-правовыми актами. Это касается областей, где взаимоотношения между субъектами ПДн и операторами нуждаются в строгой регламентации. При этом в некоторых случаях2 субъект персональных данных обязан предоставлять оператору сведения о себе.
Например, функционирование определенных отраслей экономики связано с необходимостью обеспечения безопасности. Так, ФЗ-16 «О транспортной безопасности» определяет необходимость создания единой государственной информационной системы обеспечения транспортной безопасности. Такая система должна состоять из централизованных баз персональных данных о пассажирах, включающих следующие данные:
Регламентация состава и содержания ПДн касается отношений, связанных с трудовой деятельностью человека. Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением № 1 Госкомстата России от 05.01.2004. К таким сведениям относятся:
К другим нормативным актам, регулирующим отношения в сфере деятельности человека и определяющим цели обработки, состав и содержание ПДн, относятся ФЗ-179 «Трудовой кодекс РФ», ФЗ-27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», ФЗ-129 «О государственной регистрации юридических лиц и индивидуальных предпринимателей» и т.п.
Какие сведения о сотрудниках государственных организаций собирать и как их
обрабатывать, определяет Указ Президента РФ от 30 мая 2005 г. N 609 «Об
утверждении Положения о персональных данных государственного гражданского
служащего Российской Федерации и ведении его личного дела».
Своя специфика
существует и в различных отраслях экономики. Определенные рамки обработки
персональных данных для кредитно-финансовых учреждений устанавливает ФЗ-218 «О
кредитных историях», для авиационного транспорта – Воздушный кодекс, для
торговых организаций (Интернет-магазинов и т.п.) – Постановление Правительства
Российской Федерации от 27 сентября 2007 г. N 612 «Об утверждении Правил продажи
товаров дистанционным способом», для туристического бизнеса – Постановление
Правительства Российской Федерации от 18 июля 2007 г. N 452 «Об утверждении
Правил оказания услуг по реализации туристского продукта» и т.п.
Невозможно не упомянуть и ФЗ-143 «Об актах гражданского состояния», в котором государство четко определяет, какие сведения о личности должны собираться, храниться и обрабатываться на протяжении всей его жизни.
Законодательство определяет различные категории персональных данных. К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.
Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:
Категория 1 – персональные данные, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных и философских убеждений,
состояния здоровья, интимной жизни.
Категория 2 – персональные данные,
позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную
информацию, за исключением персональных данных, относящихся к категории
1.
Категория 3 – персональные данные, позволяющие идентифицировать субъекта
ПДн.
Категория 4 – обезличенные и (или) общедоступные персональные
данные.
Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. Этот параметр может принимать следующие значения:
Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.
Исходя из определения биометрических ПДн, к ним относятся фотографии и видеизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения – в системах видеонаблюдения и т.п.
Согласно Закону №152-ФЗ операторами персональных данных являются
государственный орган, муниципальный орган, юридическое или физическое лицо,
организующие и (или) осуществляющие обработку персональных данных, а также
определяющие цели и содержание обработки персональных данных.
Под обработкой
ПДн понимаются действия (операции) с персональными данными, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
использование, распространение (в том числе передачу), обезличивание,
блокирование, уничтожение ПДн.
Исходя из определения, можно сделать вывод о том, что все без исключения организации или компании независимо от форм собственности являются операторами персональных данных, поскольку они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках в соответствии с российским законодательством (Трудовой Кодекс РФ). Помимо этого многие компании по роду своей деятельности обрабатывают сведения о своих клиентах, партнерах, поставщиках и субподрядчиках, которые им необходимы для выполнения функций в соответствии с их назначением.
В каких случаях оператор ПДн имеет право не уведомлять Роскомнадзор Оператор вправе осуществлять обработку следующих персональных данных без уведомления уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор):
- относящихся к субъектам ПДн, которых с оператором связывают трудовые отношения;
- полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора
и заключения договоров с субъектом ПДн;- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных
целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;- являющихся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем (далее ИС), а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов ПДн.
При этом бытует ошибочное мнение о том, что в случае, если нет необходимости регистрироваться как оператор ПДн в Роскомнадзоре (а законом такие случаи предусмотрены), то компания не является оператором ПДн и на нее не распространяются обязанности, предусмотренные законодательством. Более того, таким образом компании пытаются оправдать свое бездействие в области обеспечения безопасности ПДн. Если компания не предпринимает никаких усилий по защите персональных данных, это однозначно расценивается как «невыполнение требований российского законодательства».
Российское законодательство возлагает на операторов ПДн определенные обязанности, основными из которых являются:
Невыполнение требований законодательства?.. Какие последствия?..
Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот
же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).
При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.
В российском законодательстве определяются основные принципы обработки персональных данных4 . К ним, в частности, относятся:
Большое значение в Законе уделено условиям обработки персональных данных5 . Так, обработка персональных данных может осуществляться оператором только с письменного согласия субъектов ПДн.
В каких случаях не требуется согласие субъекта ПДн на обработку сведений о нем?
Согласие субъекта ПДн не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПДн своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
- оператор и субъект ПДн связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
- бработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
- обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный. Об этих видах обработки ПДн речь пойдет в следующих разделах статьи.
Обработка персональных данных требует создание специального режима, в котором четко определены технология их обработки, порядок и условия существования ПДн на каждом этапе их жизненного цикла. Это предусматривает разработку и внедрение процедур их сбора, приема, учета, регистрации, хранения, использования, уничтожения и т.п. Большое значение при этом имеет срок хранения ПДн, а также наличие системы контроля обработки ПДн на всех этапах их жизненного цикла.
Определение сроков обработки ПДн крайне важно потому, что Федеральный закон определяет, что «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки».
Анализ технологических процессов обработки ПДн
В своих проектах по защите ПДн специалисты компании «Инфосистемы Джет» большое внимание уделяют учету технологических процессов обработки персональных данных (жизненный цикл ПДн) и получению информации о существующих процедурах обработки ПДн. С этой целью ими проводятся следующие работы:
- анализ документов, определяющих технологические процессы обработки ПДн;
- проведение интервью с сотрудниками заказчика, реализующими процедуры обработки ПДн;
- определение владельца технологического процесса обработки ПДн (соотнесение технологического процесса со структурным подразделением заказчика и используемой ИСПДн);
- определение процедур сбора, приема, учета и регистрации ПДн в информационных системах персональных данных, хранения, обработки, выпуска, копирования и передачи ПДн, их уничтожения и контроля за этими процедурами.
Сроки обработки также определяются на основании других нормативно-правовых актов. Так, требованиями трудового, гражданского, пенсионного законодательства, отраслевых нормативных актов устанавливаются определенные сроки обработки персональных данных. Например, для карточек Т-2 – это 75 лет6 (Постановление Госкомстата № 1), а для сведений о предоставленных абоненту услугах связи – 3 года (Постановление Правительства № 538).
Неавтоматизированная обработка персональных данных осуществляется в
соответствии с Постановлением Правительства Российской Федерации от 15 сентября
2008 г. N 687 г. «Об утверждении Положения об особенностях обработки
персональных данных, осуществляемой без использования средств
автоматизации».
Согласно данному Постановлению, обработка персональных данных
считается осуществленной без использования средств автоматизации
(неавтоматизированной), если такие действия осуществляются при непосредственном
участии человека.
Что считать неавтоматизированной обработкой ПДн?
Вопрос разделения неавтоматизированной и автоматизированной обработки у многих организаций вызывает затруднения. Рассмотрим п.п. 1 и 2
Постановления РФ:
- Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее – персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
- Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Исходя из этого, некоторые организации полагают, что всю обработку ПДн можно отнести к неавтоматизированной, поскольку во всех случаях имеется факт «обработки ПДн при непосредственном участии человека». И это является ошибкой. В данном случае неправильно рассматривать эту обработку только как неавтоматизированная. К примеру, если пользователь внес данные в персональный компьютер только для того, чтобы их распечатать, и не сохранял данные на компьютере, то эту обработку можно считать неавтоматизированной. Если пользователь сохранил эти данные в виде файла и хранит их на компьютере, то нужно рассматривать эту обработку ПДн в том числе
и как автоматизированную.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн для каждой из них должен использоваться отдельный материальный носитель.
Постановление определяет, какая информация должна быть включена в типовые формы документов, включающих персональные данные, условия ведения журналов (реестров, книг), содержащих ПДн (например, необходимых для однократного пропуска субъекта ПДн на территорию оператора), описывает важнейшие этапы жизненного цикла персональных данных, зафиксированных на материальном носителе.
Для того, чтобы определить, что является «автоматизированной обработкой ПДн», необходимо ввести понятие «автоматизированного файла ПДн», которое означает любой комплекс данных о субъектах ПДн, подвергающийся автоматизированной обработке («Конвенция о защите физических лиц при автоматизированной обработке персональных данных», СЕД №108, от 28 января 1981 г.).
«Автоматизированная обработка ПДн» подразумевает действия с «автоматизированными файлами ПДн», которая включает следующие операции, осуществляемые полностью или частично с помощью средств автоматизации: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.
В соответствии со статьей 19 Федерального Закона «О персональных данных» оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
В данном разделе рассказывается о требованиях к обеспечению безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн), которые содержатся в Постановлении Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также конкретизируются в нормативно-методических документах ФСТЭК и ФСБ.
В каких случаях обеспечение безопасности ПДн не требуется?..
Обеспечение безопасности (в данном случае конфиденциальности) в соответствии с российским законодательством не требуется лишь для обезличенных и общедоступных персональных данных.
Персональные данные могут быть обезличенными, в случае, если над ними были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПДн.
Персональные данные могут быть общедоступными только с письменного согласия субъекта ПДн. Они могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом ПДн.
Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПДн при их обработке в ИСПДн полностью возлагается на оператора персональных данных. В связи с этим оператор обязан:
Кто должен обеспечивать безопасность ПДн?..
Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (уполномоченное лицо). При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПДн при их обработке в ИСПДн.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных.
Информационные системы персональных данных представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются:
Сроки и условия приведения ИСПДн в соответствие с законодательством
Российским законодательством определены сроки и условия приведения ИСПДн в соответствие требованиям по обеспечению безопасности ПДн.
Для информационных систем персональных данных, находившихся в эксплуатации до введения в действие Федерального закона от 27 июля 2006 г. № 152ФЗ «О персональных данных», должна быть обеспечена их доработка, обеспечивающая безопасность ПДн в соответствии с требованиями Законодательства, в срок до 1 января 2010 г.
Для функционирующих ИСПДн доработка (модернизация) систем защиты персональных данных (далее СЗПДн) должна проводиться в случае, если:
- изменился состав или структура самой информационной системы или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ИСПДн);
- изменился состав угроз безопасности ПДн в информационной системе;
- изменился класс ИСПДн.
Для вновь создаваемых или модернизируемых информационных систем деятельность по обеспечению безопасности ПДн является неотъемлемой частью работ по их созданию или модернизации. Производителей приложений, в которых предусмотрена обработка сведений о физических лицах, обязаны реализовывать в своих
разработках требования по безопасности ПДн, предусмотренные российским законодательством.Компания «Инфосистемы Джет», являясь системным интегратором, осуществляет в своих проектах разработку и внедрение различных вычислительных комплексов и бизнес-приложений. Подобные работы проводятся с учетом требований российского законодательства по обеспечению информационной безопасности, в том числе по защите персональных данных.
Персональные данные обрабатываются в массе приложений. Как показал опыт компании «Инфосистемы Джет» по выполнению проектов по ЗПД, их количество может варьироваться от 3 до 5 в малых и средних компаниях, от 30 до 50 – в крупных компаниях. К информационным системам персональных данных могут быть отнесены:
С точки зрения принадлежности информационные системы могут быть следующих видов: ИСПДн государственных и муниципальных органов, юридических и физических лиц, организующих или осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных (за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд).
Классификация ИСПДн проводится оператором в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №. 55/86/20, а также на основании нормативно-методических документов регуляторов ФСТЭК и ФСБ.
Классификация информационных систем проводится на этапе создания или в ходе
их эксплуатации (для ранее введенных в эксплуатацию и модернизируемых
информационных систем) с целью установления методов и способов защиты
информации, необходимых для обеспечения безопасности персональных
данных.
Проведение классификации информационных систем включает в себя
следующие этапы:
При проведении классификации информационной системы учитываются следующие исходные данные:
Таб. 1. Определение класса типовой
информационной системы
Классификация ИСПДн
Практика показала, что существуют определен ные сложности в проведении классификации ИСПДн силами операторов, поскольку для выполнения данной задачи не всегда хватает компетенции собственных специалистов.
Обладая опытом проведения проектов по защите персональных данных, компания «Инфосистемы Джет» сформировала свой подход к проведению данного вида работ. При этом отличительной особенностью является «правильная» классификация ИСПДн, при которой удается в значительной степени минимизировать расходы наших заказчиков на создание системы защиты персональных данных.
В частности, это становится возможным за счет минимизации мест хранения и обработки ПДн, разделения/сегментирования ИС, снижения требований к части сегментов, сокращения числа сотрудников, имеющих доступ к персональным данным, обезличивания части персональных данных, выведения части данных из ИСПДн.
В ходе анализа технологических процессов обработки ПДн специалистами компании «Инфосистемы Джет» вырабатываются рекомендации по снижению предполагаемых классов ИСПДн, которые могут содержать следующее:
- Абстрагирование ПДн – сделать их менее точными, например, путем группирования общих характеристик;
- Скрытие ПДн – удалить всю или часть записи ПДн;
- Замена ПДн – переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи;
- Замена данных средним значением – заменить выбранные данные средним значением для группы ПДн;
- Разделение ПДн на части – использование таблиц перекрестных ссылок;
- Маскирование ПДн – замена одних символов в ПДн другими.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, ИСПДн подразделяются на типовые и специальные:
По структуре информационные системы подразделяются:
По наличию подключений к сетям связи общего пользования и сетям международного информационного обмена информационные системы подразделяются на имеющие и не имеющие подключений к таким сетям.
По режиму обработки персональных данных в информационной системе ИСПДн подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и с разграничением прав доступа.
Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах РФ, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
Класс типовой информационной системы определяется в соответствии с .
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.
К специальным ИСПДн автоматически относятся:
Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 февраля 2008 года:
На основе базовой модели угроз и в соответствии с нормативным документом ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным 14 февраля 2008 г., разрабатываются частные модели угроз в отношении конкретных ИСПДн. В ходе такой разработки составляется перечень актуальных угроз в отношении конкретных информационных систем.
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности ПДн при их обработке в ИСПДн» и «Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденных ФСТЭК, формулируются конкретные организационно- технические требования по защите информационных систем от утечки данных по техническим каналам, от несанкционированного доступа. Также осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.
Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) ПДн. Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Носители ПДн могут содержать информацию, представленную в следующих видах:
В соответствии с Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также документом ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденным 15 февраля 2008 г., мероприятия по обеспечению безопасности ПДн при обработке в ИСПДн формулируются в зависимости от класса информационных систем с учетом возможного возникновения угроз безопасности в отношении персональных данных. Такие мероприятия включают в себя:
Мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн включают:
Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных.
Что включает СЗПДн?
Структура, состав и основные функции систем защиты персональных данных определяются исходя из класса ИСПДн. СЗПДн включает в себя организационные меры, средства защиты информации, а также используемые в информационной системе информационные технологии.
Организационные меры
Обеспечение безопасности персональных данных при их обработке в ИСПДн должно предусматривать:
Средства защиты ПДн
В соответствии с классификацией ИСПДн, а также с учетом актуальных угроз, приведенных в адаптивных моделях для «специальных» ИСПДн, и в соответствии с требованиями нормативно-методических документов регуляторов ФСТЭК РФ и ФСБ РФ, СЗПДн должна включать ряд подсистем, описание которых представлено в следующих разделах.
Средства защиты ПДн от утечки по техническим каналам
С целью предотвращения утечек акустической (речевой), видовой информации, а также утечек информации за счет побочных электромагнитных излучений и наводок применяются специальные технические средства. При этом выделяются пассивные и активные средства защиты.
Пассивные средства защиты , как правило, реализуются на этапе разработки проектных решений при строительстве или реконструкции зданий. Преимущества применения пассивных средств заключаются в том, что они позволяют заранее учесть типы строительных конструкций, способы прокладки коммуникаций, оптимальные места размещения защищаемых помещений.
Защита ПДн при осуществлении пользователями информационных систем голосового ввода данных в ИСПДн или их воспроизведении акустическими средствами ИСПДн обеспечивается путем звукоизоляции помещений, в которых устанавливаются аппаратные средства ИСПДн, систем инженерного обеспечения (вентиляции, отопления и кондиционирования), а также ограждающих конструкций помещений (стены, пол, потолок, окна, двери).
Что использовать: встроенные или наложенные средства защиты?
Опираясь на накопленный опыт в области защиты информации, специалисты компании «Инфосистемы Джет» в проектировании решений по защите ПДн при их обработке в ИСПДн стараются комбинировать как наложенные средства защиты информации, так и встроенные механизмы защиты в общесистемное и прикладное программное обеспечение (ПО), используемое в ИСПДн. Каждый вариант имеет свои достоинства и недостатки. Наложенные средства далеко не всегда могут в полной мере реализовать требования регуляторов, а также могут оказаться несовместимыми с уже используемыми в ИСПДн программными решениями. Применение встроенных механизмов приводит к возникновению проблем, связанных с обязательным наличием у такого ПО сертификатов соответствия российских регуляторов.
Специалисты компании «Инфосистемы Джет» отдают предпочтение встроенным механизмам реализации управления доступом к ПДн.
Данный подход обусловлен тем, что позволяет минимизировать изменения в структуре как самих ИСПДн, так и механизмов безопасности.
Большое внимание при проектировании СЗПДн специалисты нашей компании также уделяют обеспечению целостности настроек самих средств защиты информации. При выборе данных средств компанией «Инфосистемы Джет» тщательно анализируются собственные механизмы контроля целостности. Только неизменность настроек средств защиты информации может гарантировать оператору ПДн надежную защиту обрабатываемой в ИСПДн информации.
Звукоизоляция обеспечивается с помощью архитектурных и инженерных решений,
применением специальных звукопоглощающих строительных и отделочных материалов,
виброизолирующих опор, которыми разделяют друг от друга различные ограждающие
конструкции. Для обеспечения требований по защите ПДн достаточным является
повышение звукоизоляции на 10-15 дБ. Для снижения вероятности перехвата
информации такого рода необходимо исключить возможность установки посторонних
предметов на внешней стороне ограждающих конструкций помещений и выходящих из
них инженерных коммуникаций.
В случае технической невозможности использования
пассивных средств защиты помещений, применяют активные меры защиты
,
заключающиеся в создании маскирующих акустических и вибрационных помех.
Средства акустической маскировки используется для защиты речевой информации от утечки по прямому акустическому каналу путем создания акустических шумов в местах возможного размещения средств подслушивания или нахождения посторонних лиц.
Средства виброакустической маскировки применяются для защиты информации от перехвата с помощью электронных стетоскопов, радиостетоскопов, а также лазерных акустических систем подслушивания.
Для получения оптимального уровня антивирусной защиты ИСПДн компания «Инфосистемы Джет» реализует двух-эшелонную систему защиты информации. Первый эшелон организуется на периметре информационной системы оператора ПДн, второй эшелон защищает внутренние ресурсы системы от возможного попадания вирусов путем использования непроверенных носителей информации сотрудниками оператора. Не секрет, что не все антивирусы «одинаково полезны». Опыт нашей компании показывает, что не существует универсального средства безопасности от вирусов, поэтому для наиболее эффективной защиты в проектируемых решениях наши специалисты применяют одновременно антивирусные средства разных производителей.
С целью предотвращения утечки информации по телефонным каналам связи необходимо оконечные устройства телефонной связи, которые имеют прямой выход на городскую автоматическую телефонную станцию, оборудовать специальными средствами защиты информации, которые используют электроакустическое преобразование.
Для осуществления мероприятий по защите ПДн при их обработке в информационных системах от несанкционированного доступа (НСД) и неправомерных действий пользователей и нарушителей СЗПДн могут включать в себя следующие подсистемы:
Подсистема управления доступом, регистрации и учета , как правило, реализуется с помощью программных средств блокирования НСД, сигнализации и регистрации. Это специальные, не входящие в ядро операционной системы программные и программно-аппаратные средства защиты самих операционных систем, СУБД и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения несанкционированных действий пользователей или нарушителей. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики (тестирование файловой системы), регистрации (журналирование действий и операций), сигнализации (предупреждение об обнаружении фактов несанкционированных действий или нарушения штатного режима функционирования ИСПДн).
Подсистема обеспечения целостности
также реализуется преимущественно
средствами самих операционных систем и СУБД. Работа данных средств основана на
расчете контрольных сумм, уведомлении о сбое в передаче пакетов сообщений,
повторе передачи непринятых пакетов.
Частота применения в российских
компаниях в качестве операционной системы продуктов компании Microsoft вызвала
необходимость использовать в качестве базовой платформы для построения решения
подсистемы разграничения и контроля доступа к ресурсам информационной системы
функционал Microsoft Windows Server 2003.
Эта сетевая операционная система наряду с необходимым для обеспечения безопасности ПДн набором технологических параметров обладает всеми необходимыми сертификатами на соответствие требованиям регулирующих органов. ФСТЭК России в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертифицировал:
Компанией Microsoft также производится сертификация ежемесячно выходящих новых патчей к данным продуктам.
ФСБ России сертифицировала русскую версию серверной операционной системы Windows Server 2003 Enterprise Edition. Сертификат ФСБ удостоверяет, что продукт соответствует требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2. Таким образом, данная система может быть использована в качестве средства для защиты ПДн в ИСПДн.
Последней версией Windows Server является версия Windows Server 2008.
Ожидается, что к дате выхода данной статьи сертификация данной ОС будет получена
и в технических решениях для подсистемы управления доступом, регистрации и учета
будет возможно применение Microsoft Windows Server 2008.
Для обеспечения
безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку
этой информации, рекомендуется применять специальные средства антивирусной
защиты (подсистема антивирусной защиты). Такие средства способны
обеспечивать:
Подсистема антивирусной защиты должна строиться с учетом следующих факторов:
Для реализации подсистемы антивирусной защиты ПДн при их обработке в ИСПДн возможно использование антивирусных средств компании «Лаборатория Касперского».
Продукты компании «Лаборатория Касперского» сертифицированы Федеральной службой безопасности России. Данные сертификаты удостоверяют, что Антивирус Касперского 6.0 для Windows Servers соответствует требованиям к антивирусным средствам класса А1с, Антивирус Касперского 5.5 для Linux и FreeBSD Workstations и File Server соответствует требованиям к антивирусным средствам класса А2с и Kaspersky Administration Kit 6.0 соответствует требованиям к антивирусным средствам класса А3с. Указанные продукты могут использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.
Кроме того, продукты Антивирус Касперского 6.0 для Windows Servers, Антивирус
Касперского 6.0 для Windows Workstation и Kaspersky Administration Kit 6.0
соответствуют требованиям руководящего документа ФСТЭК – по 3 уровню контроля и
требованиям технических условий.
Для осуществления разграничения доступа к
ресурсам ИСПДн при межсетевом взаимодействии (подсистема обеспечения
безопасности межсетевого взаимодействия ИСПДн)
применяется межсетевое
экранирование, которое реализуется программными и программно-аппаратными
межсетевыми экранами (МЭ). Межсетевой экран устанавливается между защищаемой
внутренней и внешней сетями. МЭ входит в состав защищаемой сети. За счет
соответствующих настроек задаются правила, которые позволяют ограничивать доступ
пользователей из внутренней сети во внешнюю и наоборот.
Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 3 и 4 классов рекомендуется использовать МЭ не ниже пятого уровня защищенности, в ИСПДн 2 класса – МЭ не ниже четвертого уровня защищенности, в ИСПДн 1 класса – МЭ не ниже третьего уровня защищенности.
Подсистема анализа защищенности
предназначена для осуществления
контроля настроек защиты операционных систем на рабочих станциях и серверах и
позволяет оценить возможность проведения нарушителями атак на сетевое
оборудование, контролирует безопасность программного обеспечения. С помощью
таких средств (средства обнаружения уязвимостей) производится сканирование сети
с целью исследования ее топологии, осуществления поиска незащищенных или
несанкционированных сетевых подключений, проверки настроек межсетевых экранов и
т.п. Данный анализ производится на основании детальных описаний уязвимостей
настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых
экранов) или уязвимостей операционных систем или прикладного программного
обеспечения. Результатом работы средств анализа защищенности является отчет, в
котором обобщаются сведения об обнаруженных уязвимостях.
Средства обнаружения
уязвимостей могут функционировать на сетевом уровне (network-based), уровне
операционной системы (host-based) и уровне приложения (application-based).
Применяя сканирующее ПО, можно составить карту доступных узлов ИСПДн, выявить
используемые на каждом из них сервисы и протоколы, определить их основные
настройки и сделать предположения относительно вероятности реализации НСД. По
результатам сканирования системы вырабатываются рекомендации и меры, позволяющие
устранить выявленные недостатки.
В качестве средства, применяемого в подсистеме анализа защищенности, специалисты компании «Инфосистемы Джет» часто используют Xspider компании Positive Technologies. Сетевой сканер Xspider сертифицирован ФСТЭК России (сертификат соответствия № 1323от 23 января 2007 г., действителен до 23 января 2010 г.) и Министерством Обороны (сертификат соответствия № 354). Xspider – сетевой сканер безопасности, построенный на базе интеллектуального сканирующего ядра, которое обеспечивает максимально полное и надежное определение уязвимостей на системном и прикладном уровне. XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов, работает с уязвимостями на разном уровне – от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений. Xspider поддерживает различные способы сканирования, в том числе и удаленное, при гарантии доступности сетевого сегмента.
В настоящее время компания Positive
Technologies
проводит
работы по сертификации
на отсутствие НДВ и соответствие ТУ системы оценки
защищенности и контроля соответствия техническим политикам MaxPatrol.
В
отличие от сканера безопасности, который оценивает только внешние уязвимости,
MaxPatrol проводит внутренний аудит информационных ресурсов.
Применение системы MaxPatrol позволяет:
В данный момент ведется сертификация системы MaxPatrol.
Выявление угроз НСД при межсетевом взаимодействии производится с помощью систем обнаружения вторжений (подсистема обнаружения вторжений) . Такие системы строятся с учетом особенностей реализации атак и этапов их развития. Они основаны на следующих методах обнаружения атак: сигнатурные методы, методы выявления аномалий, комбинированные методы с использованием обоих названных методов.
Для обнаружения вторжений в ИСПДн 3 и 4 классов рекомендуется использовать
системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2
класса – системы, применяющие сигнатурный метод и метод выявления аномалий.
В
качестве средства для реализации подсистемы обнаружения и предотвращения
вторжений специалисты компании «Инфосистемы Джет» часто используют продукты
компании Cisco. Данные средства сертифицированы ФСТЭК и соответствуют
требованиям технических условий и стандарту ГОСТ Р ИСО/МЭК 15408-2002.
К
таким продуктам, в частности, относится Cisco Intrusion Detection
System/Intrusion Preventing System (IPS/IDS), который является основным
компонентом решений Cisco Systems по обнаружению и отражению атак. Наряду с
традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы,
отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения
сетевых приложений. Это позволяет обнаруживать как известные, так и многие
неизвестные атаки. Встроенные технологии корреляции событий безопасности Cisco
Threat Response, Threat Risk Rating и Meta Event Generator не только помогают
существенно уменьшить число ложных срабатываний, но и позволяют администраторам
реагировать лишь на действительно критичные атаки, которые могут нанести
серьезный ущерб ресурсам корпоративной сети.
Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий).
Cisco ASA 5500 предназначен для решения сразу нескольких задач – разграничения доступа к сетевым ресурсам, защиты от атак, защиты взаимодействия с удаленными территориями, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа «фишинг». Это достигается за счет объединения в одном устройстве лучших защитных средств – межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator.
Помимо описанных выше программно-технических средств защиты компания «Инфосистемы Джет» широко использует продукты других ведущих производителей на рынке информационной безопасности. К ним, в частности, относятся Oracle, Aladdin, Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят активную позицию по соответствию требований регуляторов и сертификации своих продуктов с целью их применения в решениях по защите персональных данных.
Для реализации перечисленных подсистем, общая структура СЗПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации.
В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации10.
Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ.
К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации (происходящие, например, в ходе модернизации ИСПДн), предусмотренных указанными правилами, согласовывается с ФСТЭК и ФСБ.
Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.
Особенности разработки, производства, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации и предоставления услуг по
шифрованию персональных данных при их обработке в информационных системах
устанавливаются Федеральной службой безопасности Российской Федерации.
Все
сертифицированные ФСТЭК средства защиты представлены на сайте ФСТЭК
(http://www.fstec.ru/) в разделе «Сведения о Системе сертификации средств защиты
информации по требованиям безопасности информации»
(http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр
сертифицированных средств защиты информации».
По результатам предпроектного обследования с учетом установленного класса
ИСПДн задаются конкретные требования по обеспечению безопасности данных,
включаемые в техническое (частное техническое) задание на разработку системы
защиты.
Техническое (частное техническое) задание на разработку СЗПДн должно
содержать:
На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:
Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании «Инфосистемы Джет» проводят работы с учетом следующих факторов:
- совместимости средств защиты со штатным программным обеспечением ИСПДн;
- степени снижения производительности функционирования ИСПДн по основному назначению;
- наличия подробной документации по эксплуатации средств защиты;
- возможность осуществления периодического тестирования или самотестирования средств защиты ПДн;
- возможность наращивания состава средств защиты новыми дополнительными средствами без осуществления ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты;
- гармонизации средств защиты информации с уже существующими в информационной системе;
- масштабирование (распространение) применяемых решений по защите ПДн на остальные информационные системы.
Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации
Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:
Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.
Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.
Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:
Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.
Аттестационные испытания ИСПДн предполагают проведение следующих проверок:
Результатом работ на данном подэтапе является:
В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных системах 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Под технической защитой конфиденциальной информации понимается комплекс
мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том
числе и по техническим каналам, а также от специальных воздействий в целях ее
уничтожения, искажения или блокирования доступа к ней.
Лицензирование
деятельности по технической защите конфиденциальной информации осуществляет
Федеральная служба по техническому и экспортному контролю. Срок действия
лицензии составляет 5 лет и по его окончании может быть продлен по заявлению
лицензиата.
Условия получения лицензии
Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
Для получения лицензии на деятельность по технической защите ПДн необходимо выполнить следующие работы:
Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687
г. «Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации».
Персональные данные
при их обработке, осуществляемой без использования средств автоматизации, должны
обособляться от иной информации, в частности, путем фиксации их на отдельных
материальных носителях персональных данных, в специальных разделах или на полях
форм (бланков).
При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
Лица, осуществляющие обработку персональных данных, как сотрудники организации-оператора, так и уполномоченного лица (осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки.
При разработке и использовании типовых форм документов, в которые предполагается включение ПДн, должны соблюдаться определенные условия по их содержанию. Например, они должны содержать сведения о цели обработки, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения ПДн, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн, поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку персональных данных и т.п.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться условия:
Должна обеспечиваться раздельная фиксация на материальный носитель ПДн, имеющих различную цель обработки. Если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению их раздельной обработки.
В отношении каждой категории ПДн должны быть определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
С точки зрения формирования требований к защите персональных данных существует два типа биометрических данных. Первый тип – биометрические данные, которые обрабатываются в ИСПДн. Требования к их защите определены в постановлении Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и ничем не отличаются от требований к защите обычных ПДн, которые обрабатываются в информационных системах.
Второй тип – это биометрические данные, обрабатываемые вне информационных систем персональных данных. Требования по защите таких ПДн сформулированы в Постановлении от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
При этом под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека, и на основе которых можно установить его личность.
Материальный носитель таких ПДн должен обеспечивать:
Оператор биометрических данных, используемых вне ИСПДн, обязан:
Технологии хранения биометрических персональных данных вне ИСПДн должны обеспечивать доступ к информации, содержащейся на материальном носителе, применение средств электронной цифровой подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических ПДн, записанных на материальный носитель, а также проверку наличия письменного согласия субъекта ПДн на обработку его биометрических персональных данных.
При хранении биометрических персональных данных вне ИСПДн должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации. Такая передача называется трансграничной.
До начала осуществления трансграничной передачи персональных данных оператор ПДн обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн. Министерство связи и массовых коммуникаций РФ (Минкомсвязи) в своем письме № ДС-П11-2502 от 13.05.2009 определило «адекватную защиту» как защиту, при которой «обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации».
Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г., ETS № 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. К сожалению, многие поставщики решений по защите персональных данных применяют типовой подход как с точки зрения этапности и состава работ, так и подбора средств защиты. Наши специалисты стараются избежать такой «уравниловки». К примеру, при разработке решений по защите персональных данных в телекоммуникационных организациях специалисты компании «Инфосистемы Джет» учитывают специфику работы с абонентскими базами и биллинговыми системами операторов связи. В случае с кредитно-финансовыми организациями многие компании большое внимание уделяют стандарту СТО БР, поэтому важно при проведении работ по защите персональных данных подбирать такие решения, которые могли бы одновременно закрывать требования и законодательства, и стандарта.
В каких случаях не надо обеспечивать «адекватную защиту» ПДн при трансграничной передаче?..
Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных. То есть субъект ПДн как минимум должен письменно заверить оператора, что «он разрешает организации, которая обрабатывает его персональные данные, не защищать их при передаче за границу». Автор данной статьи скептически относится к такой возможности;
- предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
В своей деятельности компания «Инфосистемы Джет» также ориентируется на российское законодательство. В представлены нормативные акты, которые устанавливают требования в данной области для организации различных отраслей.
Компания «Инфосистемы Джет» имеет большой опыт проведения проектов в кредитно-финансовых организациях. В частности, в следующем разделе статьи приводится пример одного из решений, которое было реализовано в одном из крупных российских банков.
Таб. 2. Нормативно-правовые акты,
устанавливающие требования по защите ПДн для различных вертикальных рынков
К персональным данным для сегмента автоматизированной банковской системы, связанного с ведением кредитной истории клиента, перечень обрабатываемых ПДн можно определить на основании Федерального закона от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях». В соответствии с данным Законом необходимо иметь следующие сведения о заемщике:
Если учесть, что количество клиентов, кредитование которых осуществляет среднестатистический Банк, составляет не менее 80 000 человек, то такая совокупность параметров позволяет сделать вывод о том, что АБС относится к ИСПДн 2-го класса. А так как эти данные требуют обеспечения не только конфиденциальности, но и доступности и целостности, то мы относим АБС к специальной ИСПДн 2-го класса. По режиму обработки персональных данных рассматриваемая ИСПДн относится к многопользовательской, а по разграничению прав доступа – к системе с разными правами доступа к ПДн. Это требует проведения определенных мероприятий по обеспечению безопасности.
В подсистеме управления доступом должны осуществляться следующие мероприятия:
В подсистеме регистрации и учета должны осуществляться следующие мероприятия:
В подсистеме обеспечения целостности должны проводиться следующие мероприятия:
В подсистеме антивирусной защиты должны проводиться следующие мероприятия:
В подсистеме защиты от утечки данных в ИСПДн по техническим каналам для ИСПДн 2-го класса использовались СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).
В соответствии со статьей 23 Федерального Закона «О персональных данных» для обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона назначается Уполномоченный орган по защите прав субъектов персональных данных (далее, регулятор). Такие функции возложены на три организации:
В рамках своих полномочий регуляторы имеют право проводить плановые и внеплановые проверки.
Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных
в уведомлении уполномоченного органа по защите ПДн, а также внеплановые – на
основании заявления физических лиц с целью проверки информации, указанной в
данном заявлении.
ФСБ России имеет право проводить плановые проверки:
ФСТЭК РФ уполномочен осуществлять плановые проверки:
В рамках межведомственного сотрудничества между Роскомнадзором, ФСТЭК России и ФСБ РФ достигнута договоренность о проведении совместных мероприятий по контролю и надзору в области персональных данных.
Роскомнадзор рассматривает обращения субъекта ПДн о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Он имеет право:
Итоги Роскомнадзора за 2008 год
В рамках выполнения функций по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий.
По результатам проверок выписано 19 предписаний об устранении выявленных нарушений Федерального закона «О персональных данных», 5 материалов направлено в органы прокуратуры, 11 – в судебные органы.
Выявленные нарушения классифицированы по следующим статьям Кодекса Российской Федерации об административных правонарушениях:
- ст. 13.11. – нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
- ст. 19.7. – непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде.
С начала возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных поступило 146 обращений: из них даны ответы заявителям – 60, направлены в правоохранительные органы – 5, органы прокуратуры – 24, в судебные органы – 22, на момент выхода данной статьи находилось на рассмотрении – 35.
В результате взаимодействия с правоохранительными органами приостановлена деятельность интернет-ресурсов www.nomer.org.ru и www.vslomaj.com, предоставляющих услуги доступа к персональным данным граждан Российской Федерации.
В 2008 году прошли первые судебные процессы по искам в области защиты прав субъектов персональных данных. Судебными инстанциями из 22 административных дел семь рассмотрены в пользу субъектов персональных данных, в шести случаях вынесены решения об отказе в исковых требованиях, девять административных дел на конец года находились в судебном производстве.
Чаще всего субъекты персональных данных обращаются по фактам нарушений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:
- главы 2 статьи 5 «Принципы обработки персональных данных»;
- статьи 6 «Условия обработки персональных данных»;
- статьи 9 «Согласие субъекта персональных данных на обработку своих персональных данных».
Изложенные в обращениях факты нарушения федерального законодательства в ходе рассмотрения подтвердились в большинстве случаев.
Анализ категорий операторов, осуществляющих обработку персональных данных, на действия которых чаще всего поступают обращения от субъектов персональных данных, позволяет утверждать, что «лидерами» являются:
- кредитные учреждения – 34;
- жилищнокоммунальные организации – 21;
- операторы связи – 10;
- страховые компании – 9.
Для решения поставленных задач Уполномоченным органом по защите прав субъектов персональных данных 28 декабря 2007 года был создан координационный центр на федеральном уровне – Управление по защите прав субъектов персональных данных и территориальные органы в субъектах Российской Федерации – соответствующие структурные подразделения в 78 территориальных органах.
Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах.
Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах.
Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, компании-интеграторы способны реализовать требования законодательства в конкретных решениях.
Защита персональных данных является сегодня приоритетным направлением деятельности Центра информационной безопасности компании «Инфосистемы Джет». Специалисты нашей компании рассматривают эту задачу не только как выполнение требований российского и международного законодательства, но и как возможность создать полноценную систему обеспечения безопасности.
Накопив значительный опыт в проведении проектов по обеспечению информационной безопасности, специалисты компании «Инфосистемы Джет» разработали свой подход к реализации задачи защиты персональных данных. Он базируется на государственных стандартах (ГОСТ 34.201-89, ГОСТ 34.601-90), нормативных актах и документах регулирующих органов, а также на экспертном опыте наших специалистов.
При этом главными принципами при проведении проектов по реализации требований российского законодательства в области защиты персональных данных наша компания считает:
Необходимость учета отраслевой специфики при проведении проектов. Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. При этом наши специалисты стараются избежать типового подхода как к этапности проведения работ, так и к подбору средств защиты. Это позволяет находить такие решения, которые могли бы одновременно закрывать требования и Закона, и отраслевых стандартов, учитывать при разработке решений по защите персональных данных специфику деятельности организации и ведения ее бизнес-процессов.
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.
К специальным ИСПДн автоматически относятся:
Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 февраля 2008 года:
На основе базовой модели угроз и в соответствии с нормативным документом ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным 14 февраля 2008 г., разрабатываются частные модели угроз в отношении конкретных ИСПДн. В ходе такой разработки составляется перечень актуальных угроз в отношении конкретных информационных систем.
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности ПДн при их обработке в ИСПДн» и «Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденных ФСТЭК, формулируются конкретные организационно- технические требования по защите информационных систем от утечки данных по техническим каналам, от несанкционированного доступа. Также осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.
Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) ПДн. Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Носители ПДн могут содержать информацию, представленную в следующих видах:
В соответствии с Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также документом ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденным 15 февраля 2008 г., мероприятия по обеспечению безопасности ПДн при обработке в ИСПДн формулируются в зависимости от класса информационных систем с учетом возможного возникновения угроз безопасности в отношении персональных данных. Такие мероприятия включают в себя:
Мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн включают:
Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных.
Что включает СЗПДн?
Структура, состав и основные функции систем защиты персональных данных определяются исходя из класса ИСПДн. СЗПДн включает в себя организационные меры, средства защиты информации, а также используемые в информационной системе информационные технологии.
Организационные меры
Обеспечение безопасности персональных данных при их обработке в ИСПДн должно предусматривать:
Средства защиты ПДн
В соответствии с классификацией ИСПДн, а также с учетом актуальных угроз, приведенных в адаптивных моделях для «специальных» ИСПДн, и в соответствии с требованиями нормативно-методических документов регуляторов ФСТЭК РФ и ФСБ РФ, СЗПДн должна включать ряд подсистем, описание которых представлено в следующих разделах.
Средства защиты ПДн от утечки по техническим каналам
С целью предотвращения утечек акустической (речевой), видовой информации, а также утечек информации за счет побочных электромагнитных излучений и наводок применяются специальные технические средства. При этом выделяются пассивные и активные средства защиты.
Пассивные средства защиты , как правило, реализуются на этапе разработки проектных решений при строительстве или реконструкции зданий. Преимущества применения пассивных средств заключаются в том, что они позволяют заранее учесть типы строительных конструкций, способы прокладки коммуникаций, оптимальные места размещения защищаемых помещений.
Защита ПДн при осуществлении пользователями информационных систем голосового ввода данных в ИСПДн или их воспроизведении акустическими средствами ИСПДн обеспечивается путем звукоизоляции помещений, в которых устанавливаются аппаратные средства ИСПДн, систем инженерного обеспечения (вентиляции, отопления и кондиционирования), а также ограждающих конструкций помещений (стены, пол, потолок, окна, двери).
Что использовать: встроенные или наложенные средства защиты?
Опираясь на накопленный опыт в области защиты информации, специалисты компании «Инфосистемы Джет» в проектировании решений по защите ПДн при их обработке в ИСПДн стараются комбинировать как наложенные средства защиты информации, так и встроенные механизмы защиты в общесистемное и прикладное программное обеспечение (ПО), используемое в ИСПДн. Каждый вариант имеет свои достоинства и недостатки. Наложенные средства далеко не всегда могут в полной мере реализовать требования регуляторов, а также могут оказаться несовместимыми с уже используемыми в ИСПДн программными решениями. Применение встроенных механизмов приводит к возникновению проблем, связанных с обязательным наличием у такого ПО сертификатов соответствия российских регуляторов.
Специалисты компании «Инфосистемы Джет» отдают предпочтение встроенным механизмам реализации управления доступом к ПДн.
Данный подход обусловлен тем, что позволяет минимизировать изменения в структуре как самих ИСПДн, так и механизмов безопасности.
Большое внимание при проектировании СЗПДн специалисты нашей компании также уделяют обеспечению целостности настроек самих средств защиты информации. При выборе данных средств компанией «Инфосистемы Джет» тщательно анализируются собственные механизмы контроля целостности. Только неизменность настроек средств защиты информации может гарантировать оператору ПДн надежную защиту обрабатываемой в ИСПДн информации.
Звукоизоляция обеспечивается с помощью архитектурных и инженерных решений, применением специальных звукопоглощающих строительных и отделочных материалов, виброизолирующих опор, которыми разделяют друг от друга различные ограждающие конструкции. Для обеспечения требований по защите ПДн достаточным является повышение звукоизоляции на 10-15 дБ. Для снижения вероятности перехвата информации такого рода необходимо исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций помещений и выходящих из них инженерных коммуникаций.
В случае технической невозможности использования пассивных средств защиты помещений, применяют активные меры защиты
, заключающиеся в создании маскирующих акустических и вибрационных помех.
Средства акустической маскировки используется для защиты речевой информации от утечки по прямому акустическому каналу путем создания акустических шумов в местах возможного размещения средств подслушивания или нахождения посторонних лиц.
Средства виброакустической маскировки применяются для защиты информации от перехвата с помощью электронных стетоскопов, радиостетоскопов, а также лазерных акустических систем подслушивания.
Для получения оптимального уровня антивирусной защиты ИСПДн компания «Инфосистемы Джет» реализует двух-эшелонную систему защиты информации. Первый эшелон организуется на периметре информационной системы оператора ПДн, второй эшелон защищает внутренние ресурсы системы от возможного попадания вирусов путем использования непроверенных носителей информации сотрудниками оператора. Не секрет, что не все антивирусы «одинаково полезны». Опыт нашей компании показывает, что не существует универсального средства безопасности от вирусов, поэтому для наиболее эффективной защиты в проектируемых решениях наши специалисты применяют одновременно антивирусные средства разных производителей.
С целью предотвращения утечки информации по телефонным каналам связи необходимо оконечные устройства телефонной связи, которые имеют прямой выход на городскую автоматическую телефонную станцию, оборудовать специальными средствами защиты информации, которые используют электроакустическое преобразование.
Для осуществления мероприятий по защите ПДн при их обработке в информационных системах от несанкционированного доступа (НСД) и неправомерных действий пользователей и нарушителей СЗПДн могут включать в себя следующие подсистемы:
Подсистема управления доступом, регистрации и учета , как правило, реализуется с помощью программных средств блокирования НСД, сигнализации и регистрации. Это специальные, не входящие в ядро операционной системы программные и программно-аппаратные средства защиты самих операционных систем, СУБД и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения несанкционированных действий пользователей или нарушителей. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики (тестирование файловой системы), регистрации (журналирование действий и операций), сигнализации (предупреждение об обнаружении фактов несанкционированных действий или нарушения штатного режима функционирования ИСПДн).
Подсистема обеспечения целостности
также реализуется преимущественно средствами самих операционных систем и СУБД. Работа данных средств основана на расчете контрольных сумм, уведомлении о сбое в передаче пакетов сообщений, повторе передачи непринятых пакетов.
Частота применения в российских компаниях в качестве операционной системы продуктов компании Microsoft вызвала необходимость использовать в качестве базовой платформы для построения решения подсистемы разграничения и контроля доступа к ресурсам информационной системы функционал Microsoft Windows Server 2003.
Эта сетевая операционная система наряду с необходимым для обеспечения безопасности ПДн набором технологических параметров обладает всеми необходимыми сертификатами на соответствие требованиям регулирующих органов. ФСТЭК России в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертифицировал:
Компанией Microsoft также производится сертификация ежемесячно выходящих новых патчей к данным продуктам.
ФСБ России сертифицировала русскую версию серверной операционной системы Windows Server 2003 Enterprise Edition. Сертификат ФСБ удостоверяет, что продукт соответствует требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2. Таким образом, данная система может быть использована в качестве средства для защиты ПДн в ИСПДн.
Последней версией Windows Server является версия Windows Server 2008. Ожидается, что к дате выхода данной статьи сертификация данной ОС будет получена и в технических решениях для подсистемы управления доступом, регистрации и учета будет возможно применение Microsoft Windows Server 2008.
Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты (подсистема антивирусной защиты). Такие средства способны обеспечивать:
Подсистема антивирусной защиты должна строиться с учетом следующих факторов:
Для реализации подсистемы антивирусной защиты ПДн при их обработке в ИСПДн возможно использование антивирусных средств компании «Лаборатория Касперского».
Продукты компании «Лаборатория Касперского» сертифицированы Федеральной службой безопасности России. Данные сертификаты удостоверяют, что Антивирус Касперского 6.0 для Windows Servers соответствует требованиям к антивирусным средствам класса А1с, Антивирус Касперского 5.5 для Linux и FreeBSD Workstations и File Server соответствует требованиям к антивирусным средствам класса А2с и Kaspersky Administration Kit 6.0 соответствует требованиям к антивирусным средствам класса А3с. Указанные продукты могут использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.
Кроме того, продукты Антивирус Касперского 6.0 для Windows Servers, Антивирус Касперского 6.0 для Windows Workstation и Kaspersky Administration Kit 6.0 соответствуют требованиям руководящего документа ФСТЭК - по 3 уровню контроля и требованиям технических условий.
Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии (подсистема обеспечения безопасности межсетевого взаимодействия ИСПДн)
применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами (МЭ). Межсетевой экран устанавливается между защищаемой внутренней и внешней сетями. МЭ входит в состав защищаемой сети. За счет соответствующих настроек задаются правила, которые позволяют ограничивать доступ пользователей из внутренней сети во внешнюю и наоборот.
Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 3 и 4 классов рекомендуется использовать МЭ не ниже пятого уровня защищенности, в ИСПДн 2 класса - МЭ не ниже четвертого уровня защищенности, в ИСПДн 1 класса - МЭ не ниже третьего уровня защищенности.
Подсистема анализа защищенности
предназначена для осуществления контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяет оценить возможность проведения нарушителями атак на сетевое оборудование, контролирует безопасность программного обеспечения. С помощью таких средств (средства обнаружения уязвимостей) производится сканирование сети с целью исследования ее топологии, осуществления поиска незащищенных или несанкционированных сетевых подключений, проверки настроек межсетевых экранов и т.п. Данный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средств анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях.
Средства обнаружения уязвимостей могут функционировать на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Применяя сканирующее ПО, можно составить карту доступных узлов ИСПДн, выявить используемые на каждом из них сервисы и протоколы, определить их основные настройки и сделать предположения относительно вероятности реализации НСД. По результатам сканирования системы вырабатываются рекомендации и меры, позволяющие устранить выявленные недостатки.
В качестве средства, применяемого в подсистеме анализа защищенности, специалисты компании «Инфосистемы Джет» часто используют Xspider компании Positive Technologies. Сетевой сканер Xspider сертифицирован ФСТЭК России (сертификат соответствия № 1323от 23 января 2007 г., действителен до 23 января 2010 г.) и Министерством Обороны (сертификат соответствия № 354). Xspider - сетевой сканер безопасности, построенный на базе интеллектуального сканирующего ядра, которое обеспечивает максимально полное и надежное определение уязвимостей на системном и прикладном уровне. XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов, работает с уязвимостями на разном уровне - от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений. Xspider поддерживает различные способы сканирования, в том числе и удаленное, при гарантии доступности сетевого сегмента.
В настоящее время компания Positive
Technologies
проводит работы по сертификации
на отсутствие НДВ и соответствие ТУ системы оценки защищенности и контроля соответствия техническим политикам MaxPatrol.
В отличие от сканера безопасности, который оценивает только внешние уязвимости, MaxPatrol проводит внутренний аудит информационных ресурсов.
Применение системы MaxPatrol позволяет:
В данный момент ведется сертификация системы MaxPatrol.
Выявление угроз НСД при межсетевом взаимодействии производится с помощью систем обнаружения вторжений (подсистема обнаружения вторжений) . Такие системы строятся с учетом особенностей реализации атак и этапов их развития. Они основаны на следующих методах обнаружения атак: сигнатурные методы, методы выявления аномалий, комбинированные методы с использованием обоих названных методов.
Для обнаружения вторжений в ИСПДн 3 и 4 классов рекомендуется использовать системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2 класса - системы, применяющие сигнатурный метод и метод выявления аномалий.
В качестве средства для реализации подсистемы обнаружения и предотвращения вторжений специалисты компании «Инфосистемы Джет» часто используют продукты компании Cisco. Данные средства сертифицированы ФСТЭК и соответствуют требованиям технических условий и стандарту ГОСТ Р ИСО/МЭК 15408-2002.
К таким продуктам, в частности, относится Cisco Intrusion Detection System/Intrusion Preventing System (IPS/IDS), который является основным компонентом решений Cisco Systems по обнаружению и отражению атак. Наряду с традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки. Встроенные технологии корреляции событий безопасности Cisco Threat Response, Threat Risk Rating и Meta Event Generator не только помогают существенно уменьшить число ложных срабатываний, но и позволяют администраторам реагировать лишь на действительно критичные атаки, которые могут нанести серьезный ущерб ресурсам корпоративной сети.
Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий).
Cisco ASA 5500 предназначен для решения сразу нескольких задач - разграничения доступа к сетевым ресурсам, защиты от атак, защиты взаимодействия с удаленными территориями, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа «фишинг». Это достигается за счет объединения в одном устройстве лучших защитных средств - межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator.
Помимо описанных выше программно-технических средств защиты компания «Инфосистемы Джет» широко использует продукты других ведущих производителей на рынке информационной безопасности. К ним, в частности, относятся Oracle, Aladdin, Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят активную позицию по соответствию требований регуляторов и сертификации своих продуктов с целью их применения в решениях по защите персональных данных.
Для реализации перечисленных подсистем, общая структура СЗПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации.
В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации10.
Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ.
К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации (происходящие, например, в ходе модернизации ИСПДн), предусмотренных указанными правилами, согласовывается с ФСТЭК и ФСБ.
Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.
Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
Все сертифицированные ФСТЭК средства защиты представлены на сайте ФСТЭК (http://www.fstec.ru/) в разделе «Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации» (http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр сертифицированных средств защиты информации».
По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности данных, включаемые в техническое (частное техническое) задание на разработку системы защиты.
Техническое (частное техническое) задание на разработку СЗПДн должно содержать:
На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:
Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании «Инфосистемы Джет» проводят работы с учетом следующих факторов:
- совместимости средств защиты со штатным программным обеспечением ИСПДн;
- степени снижения производительности функционирования ИСПДн по основному назначению;
- наличия подробной документации по эксплуатации средств защиты;
- возможность осуществления периодического тестирования или самотестирования средств защиты ПДн;
- возможность наращивания состава средств защиты новыми дополнительными средствами без осуществления ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты;
- гармонизации средств защиты информации с уже существующими в информационной системе;
- масштабирование (распространение) применяемых решений по защите ПДн на остальные информационные системы.
Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации
Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:
Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.
Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом - «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.
Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:
Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.
Аттестационные испытания ИСПДн предполагают проведение следующих проверок:
Результатом работ на данном подэтапе является:
В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных системах 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий в целях ее уничтожения, искажения или блокирования доступа к ней.
Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю. Срок действия лицензии составляет 5 лет и по его окончании может быть продлен по заявлению лицензиата.
Условия получения лицензии
Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
Для получения лицензии на деятельность по технической защите ПДн необходимо выполнить следующие работы:
Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
Лица, осуществляющие обработку персональных данных, как сотрудники организации-оператора, так и уполномоченного лица (осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки.
При разработке и использовании типовых форм документов, в которые предполагается включение ПДн, должны соблюдаться определенные условия по их содержанию. Например, они должны содержать сведения о цели обработки, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения ПДн, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн, поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку персональных данных и т.п.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться условия:
Должна обеспечиваться раздельная фиксация на материальный носитель ПДн, имеющих различную цель обработки. Если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению их раздельной обработки.
В отношении каждой категории ПДн должны быть определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
С точки зрения формирования требований к защите персональных данных существует два типа биометрических данных. Первый тип - биометрические данные, которые обрабатываются в ИСПДн. Требования к их защите определены в постановлении Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и ничем не отличаются от требований к защите обычных ПДн, которые обрабатываются в информационных системах.
Второй тип - это биометрические данные, обрабатываемые вне информационных систем персональных данных. Требования по защите таких ПДн сформулированы в Постановлении от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
При этом под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека, и на основе которых можно установить его личность.
Материальный носитель таких ПДн должен обеспечивать:
Оператор биометрических данных, используемых вне ИСПДн, обязан:
Технологии хранения биометрических персональных данных вне ИСПДн должны обеспечивать доступ к информации, содержащейся на материальном носителе, применение средств электронной цифровой подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических ПДн, записанных на материальный носитель, а также проверку наличия письменного согласия субъекта ПДн на обработку его биометрических персональных данных.
При хранении биометрических персональных данных вне ИСПДн должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации. Такая передача называется трансграничной.
До начала осуществления трансграничной передачи персональных данных оператор ПДн обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн. Министерство связи и массовых коммуникаций РФ (Минкомсвязи) в своем письме № ДС-П11-2502 от 13.05.2009 определило «адекватную защиту» как защиту, при которой «обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации».
Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г., ETS № 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. К сожалению, многие поставщики решений по защите персональных данных применяют типовой подход как с точки зрения этапности и состава работ, так и подбора средств защиты. Наши специалисты стараются избежать такой «уравниловки». К примеру, при разработке решений по защите персональных данных в телекоммуникационных организациях специалисты компании «Инфосистемы Джет» учитывают специфику работы с абонентскими базами и биллинговыми системами операторов связи. В случае с кредитно-финансовыми организациями многие компании большое внимание уделяют стандарту СТО БР, поэтому важно при проведении работ по защите персональных данных подбирать такие решения, которые могли бы одновременно закрывать требования и законодательства, и стандарта.
В каких случаях не надо обеспечивать «адекватную защиту» ПДн при трансграничной передаче?..
Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных. То есть субъект ПДн как минимум должен письменно заверить оператора, что «он разрешает организации, которая обрабатывает его персональные данные, не защищать их при передаче за границу». Автор данной статьи скептически относится к такой возможности;
- предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
В своей деятельности компания «Инфосистемы Джет» также ориентируется на российское законодательство. В представлены нормативные акты, которые устанавливают требования в данной области для организации различных отраслей.
Компания «Инфосистемы Джет» имеет большой опыт проведения проектов в кредитно-финансовых организациях. В частности, в следующем разделе статьи приводится пример одного из решений, которое было реализовано в одном из крупных российских банков.
Таб. 2. Нормативно-правовые акты, устанавливающие требования по защите ПДн для различных вертикальных рынков
К персональным данным для сегмента автоматизированной банковской системы, связанного с ведением кредитной истории клиента, перечень обрабатываемых ПДн можно определить на основании Федерального закона от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях». В соответствии с данным Законом необходимо иметь следующие сведения о заемщике:
Если учесть, что количество клиентов, кредитование которых осуществляет среднестатистический Банк, составляет не менее 80 000 человек, то такая совокупность параметров позволяет сделать вывод о том, что АБС относится к ИСПДн 2-го класса. А так как эти данные требуют обеспечения не только конфиденциальности, но и доступности и целостности, то мы относим АБС к специальной ИСПДн 2-го класса. По режиму обработки персональных данных рассматриваемая ИСПДн относится к многопользовательской, а по разграничению прав доступа - к системе с разными правами доступа к ПДн. Это требует проведения определенных мероприятий по обеспечению безопасности.
В подсистеме управления доступом должны осуществляться следующие мероприятия:
В подсистеме регистрации и учета должны осуществляться следующие мероприятия:
В подсистеме обеспечения целостности должны проводиться следующие мероприятия:
В подсистеме антивирусной защиты должны проводиться следующие мероприятия:
В подсистеме защиты от утечки данных в ИСПДн по техническим каналам для ИСПДн 2-го класса использовались СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).
В соответствии со статьей 23 Федерального Закона «О персональных данных» для обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона назначается Уполномоченный орган по защите прав субъектов персональных данных (далее, регулятор). Такие функции возложены на три организации:
В рамках своих полномочий регуляторы имеют право проводить плановые и внеплановые проверки.
Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных в уведомлении уполномоченного органа по защите ПДн, а также внеплановые - на основании заявления физических лиц с целью проверки информации, указанной в данном заявлении.
ФСБ России имеет право проводить плановые проверки:
ФСТЭК РФ уполномочен осуществлять плановые проверки:
В рамках межведомственного сотрудничества между Роскомнадзором, ФСТЭК России и ФСБ РФ достигнута договоренность о проведении совместных мероприятий по контролю и надзору в области персональных данных.
Роскомнадзор рассматривает обращения субъекта ПДн о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Он имеет право:
Итоги Роскомнадзора за 2008 год
В рамках выполнения функций по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий.
По результатам проверок выписано 19 предписаний об устранении выявленных нарушений Федерального закона «О персональных данных», 5 материалов направлено в органы прокуратуры, 11 - в судебные органы.
Выявленные нарушения классифицированы по следующим статьям Кодекса Российской Федерации об административных правонарушениях:
- ст. 13.11. - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
- ст. 19.7. - непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде.
С начала возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных поступило 146 обращений: из них даны ответы заявителям - 60, направлены в правоохранительные органы - 5, органы прокуратуры - 24, в судебные органы - 22, на момент выхода данной статьи находилось на рассмотрении - 35.
В результате взаимодействия с правоохранительными органами приостановлена деятельность интернет-ресурсов www.nomer.org.ru и www.vslomaj.com, предоставляющих услуги доступа к персональным данным граждан Российской Федерации.
В 2008 году прошли первые судебные процессы по искам в области защиты прав субъектов персональных данных. Судебными инстанциями из 22 административных дел семь рассмотрены в пользу субъектов персональных данных, в шести случаях вынесены решения об отказе в исковых требованиях, девять административных дел на конец года находились в судебном производстве.
Чаще всего субъекты персональных данных обращаются по фактам нарушений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:
- главы 2 статьи 5 «Принципы обработки персональных данных»;
- статьи 6 «Условия обработки персональных данных»;
- статьи 9 «Согласие субъекта персональных данных на обработку своих персональных данных».
Изложенные в обращениях факты нарушения федерального законодательства в ходе рассмотрения подтвердились в большинстве случаев.
Анализ категорий операторов, осуществляющих обработку персональных данных, на действия которых чаще всего поступают обращения от субъектов персональных данных, позволяет утверждать, что «лидерами» являются:
- кредитные учреждения - 34;
- жилищнокоммунальные организации - 21;
- операторы связи - 10;
- страховые компании - 9.
Для решения поставленных задач Уполномоченным органом по защите прав субъектов персональных данных 28 декабря 2007 года был создан координационный центр на федеральном уровне - Управление по защите прав субъектов персональных данных и территориальные органы в субъектах Российской Федерации - соответствующие структурные подразделения в 78 территориальных органах.
Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах.
Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах.
Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, компании-интеграторы способны реализовать требования законодательства в конкретных решениях.
Защита персональных данных является сегодня приоритетным направлением деятельности Центра информационной безопасности компании «Инфосистемы Джет». Специалисты нашей компании рассматривают эту задачу не только как выполнение требований российского и международного законодательства, но и как возможность создать полноценную систему обеспечения безопасности.
Накопив значительный опыт в проведении проектов по обеспечению информационной безопасности, специалисты компании «Инфосистемы Джет» разработали свой подход к реализации задачи защиты персональных данных. Он базируется на государственных стандартах (ГОСТ 34.201-89, ГОСТ 34.601-90), нормативных актах и документах регулирующих органов, а также на экспертном опыте наших специалистов.
При этом главными принципами при проведении проектов по реализации требований российского законодательства в области защиты персональных данных наша компания считает:
Необходимость учета отраслевой специфики при проведении проектов. Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. При этом наши специалисты стараются избежать типового подхода как к этапности проведения работ, так и к подбору средств защиты. Это позволяет находить такие решения, которые могли бы одновременно закрывать требования и Закона, и отраслевых стандартов, учитывать при разработке решений по защите персональных данных специфику деятельности организации и ведения ее бизнес-процессов.