информационной системы требования по защите персональных данных. и второго классов аттестация ИСПДн (получение сертификата ФСТЭК).

Содержание

Сертификация системы защиты персональных данных

Специально для юридических и физических лиц, компаний, занимающихся сбором, хранением и обработкой персональных данных, ФГУП «ЗащитаИнфоТранс» предлагает воспользоваться своими услугами в области в области обследования уже созданных систем защиты на предмет их соответствия действующим правовым нормативным актам, построения комплексной системы защиты персональных данных, оказания консультативной помощи по организации данной защиты, повышения квалификации в области защиты информации по программам, согласованным с ФСТЭК России.

С 27 июля 2007 года – момента принятия Федерального Закона «О персональных данных» №152-ФЗ – государственные и муниципальные органы, юридические и физические лица, организующие или осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки, обязаны обеспечить соответствующую защиту таким данным.

В первую очередь проблема защиты персональных данных актуальна для телекоммуникационных операторов, финансовых и страховых компаний, предприятий транспортного комплекса, медицинских учреждений и пр., деятельность которых невозможна без обработки информации, составляющей персональные данные большого количества различных субъектов.

Однако любая организация, предприятие, учреждение обрабатывает персональные данные сотрудников, содержащиеся в системах кадрового делопроизводства и бухгалтерских информационных системах, и, следовательно, она является оператором персональных данных и должна обеспечивать их защиту.

Для решения задачи защиты персональных данных, обрабатываемых в информационных системах, предлагается разработка и внедрение системы защиты персональных данных (СЗПДн), соответствующей действующим законодательным актам РФ.

Услуга предназначена для всех организаций, учреждений и предприятий, а также юридических и физических лиц, которые обрабатывают или являются операторами систем персональных данных.

Порядок выполнения работ:

На предпроектной стадии:

  • выполнение предпроектного обследования объекта защиты, анализ условий обработки персональных данных и предварительная классификация информационных систем обработки персональных данных ИСПДн;

На стадии проектирования:

  • разработка модели угроз персональным данным при их обработке в ИСПДн (на основе методических материалов ФСТЭК России и ФСБ России);
  • окончательная классификация ИСПДн;
  • разработка технического проекта системы защиты персональных данных;
  • разработка пакета нормативно-распорядительной документации по защите персональных данных;
  • разработка проекта технического задания на проведение опытно-констукторских работ по реализации проектных решений и внедрению системы защиты персональных данных.

На стадии внедрения:

  • Реализация проектных решений по СЗПДн, включая: работы по монтажу оборудования, установке программного обеспечения, настройке оборудования и программного обеспечения и выполнение пуско-наладки системы защиты персональных данных.
  • Проведение сертификации несертифицированных ОП, МЭ, СУБД, средств VPN, офисных средств.
  • Опытная эксплуатация СЗПДн. В ходе опытной эксплуатации проверяются отдельные сервисы и механизмы обеспечения безопасности, проверяется их совместная работа и стабильность функционирования СЗПДн; при необходимости производится доработка системы или корректировка нормативно-распорядительной документации.

Став нашим Заказчиком, Ваша организация получит работоспособную и эффективную комплексную систему защиты персональных данных, снабженную необходимым пакетом документации. Тем самым обеспечивая защиту персональных данных, обрабатываемых в ИСПДн, и выполняя соответствующие требования действующего законодательства Российской Федерации.

ВИДЕО ПО ТЕМЕ: Защита персональных данных

Эти вопросы, с точки зрения испытательной лаборатории, и будут рассмотрены в статье. Системы и объекты сертификации персональных данных.

Обеспечение соответствия требованиям 152-ФЗ «О персональных данных»

Алексей Марков, Михаил Никулин, Валентин Цирлов

ЗАО «НПО «Эшелон», www.npo-echelon.ru

Актуальность

Вступление в силу ФЗ-152 «О Персональных данных» взволновало ИТ-сообщество тем, что миллионы российских информационных систем, касающихся сбора персональных данных (ПДн), должны быть приведены в строгое соответствие с совершенно новыми требованиями и приведены уже к концу следующего года!

Эти требования в текущем году сформулированы в совместном Приказе ФСТЭК России, ФСБ России и Мининформсвязи России, а также нормативных документах ФСТЭК России и ФСБ России. В чем особенность требований? Во-первых, требования к системам стали обязательными для любых организаций, независимо от формы собственности. Во-вторых, требования в ряде случаев более жесткие, чем ранее практикуемые при защите конфиденциальной информации. В-третьих, требования сформулированы для новых сервисов, средств и мер защиты. И последнее, нормативные документы только начали апробацию.

Важным моментом обеспечения безопасности ПДн является требование Постановления Правительства РФ 2008 г. № 781 по обязательности оценки соответствия средств защиты ПДн, которая в настоящее время выражается в такой ответственной и длительной процедуре как сертификация.

Обычно потребители сертифицированной продукции задаются рядом вопросов: так уж обязательна сертификация, что грозит за нарушения, как оптимизировать процесс, что ожидать в ближайшем будущем? Эти вопросы, с точки зрения испытательной лаборатории, и будут рассмотрены в статье.

Системы и объекты сертификации персональных данных

Сертификация по требованиям безопасности информации представляет собой деятельность по подтверждению характеристик продукта, услуги или системы требованиям стандартов или иных нормативных документов по защите информации.

В нашей стране действуют четыре Федеральных органа по сертификации. Однако в области защиты ПДн сферы ответственности поделены между ФСБ России и ФСТЭК России. Традиционно сфера компетенции ФСБ России лежит в области криптографической защиты, а сфера ФСТЭК России – некриптографической защиты информации от несанкционированного доступа, а также от утечек по техническим каналам связи. Однако чтение документов показывает, что возможно расширение деятельности по линии ФСБ России, в частности это очевидно для систем обнаружения вторжений (IDS).

Сертификации подлежат системы, продукты и услуги. В рамках систем обязательной сертификации мы имеем дело с первыми двумя. Например, в руководящих документах Гостехкомиссии России продуктом может выступать средство вычислительной техники (СВТ), средство защиты информации (СЗИ), межсетевой экран (МЭ), программное обеспечение (ПО) и др. Система – это объект информатизации, где обрабатывается реальная информация. По этой причине к системам предъявляются дополнительные требования, касающиеся в том числе организационных мер и физической защиты.

Информационные системы ПДн (ИСПДн) классифицируют на 4 класса по степени возможных последствий для субъектов ПДн вследствие инцидентов: К1 (значительные последствия), К2 (последствия), К3 (незначительные последствия), К4 (не приводят к последствиям). Класс типовой ИСПДн можно определить в соответствии с табл.1.

Табл.1. Классификация информационных систем персональных данных

Число субъектов ПДн
(объединение)

Категория ПДн

<1000 (организация)

1000-100000, (город)

> 100000 (субъект федерации)

Обезличенные ПДн

К4

К4

К4

ФИО, адрес, день рождения

КЗ

КЗ

К2

Образование, финансы

КЗ

К2

К1

Здоровье, любовь

К1

К1

К1

ИСПДн также разделяют:

  • по наличию подключения к сетям общего доступа (с подключением или нет);
  • по правам пользователей (однопользовательские, многопользовательские с равными правами пользователей, многопользовательские с разными правами пользователей).

СЗИ, используемые в ИСПДн, выбираются с учетом актуальных угроз системы и декларируются в схеме деления системы.

В нормативных документах по ПДн в качестве обязательных определены следующие СЗИ:

  • средства предотвращения несанкционированного доступа,
  • средства защиты информации при межсетевом взаимодействии,
  • антивирусные средства,
  • средства анализа защищенности,
  • средства обнаружения вторжений,
  • криптографические средства.

Кроме того, по тексту упомянуты обманные системы и средства «горячего» резервирования. По сравнению с документами Гостехкомиссии России по СВТ функционал средств защиты от несанкционированного доступа к информации также существенно расширен. В явном виде не определен ряд современных средств и сервисов, например, средства аутентификации II и III типов, генерации и управления паролями, багтрекинга и другие, однако они могут быть добавлены с учетом разработанной модели угроз.

Напомним, что по линии ФСТЭК России сегодня требования, сформулированные в отельных руководящих документах, существуют только для комплексных СЗИ от несанкционированного доступа (СВТ) и для МЭ.

Требование по обязательности сертификации

Если нормативные документы ФСБ России выполнены в традиционном стиле криптографической защиты конфиденциальной информации, то нормативные документы ФСТЭК России имеют в некотором роде революционный характер. В первую очередь это связано с декларированием обязательности сертификации средств защиты как государственного, так и негосударственного информационного ресурса (табл.2), а также обязательными условиями сертификации, выразившимися в лицензировании эксплуатации ИСПДн.

Таблица 2. Условия применения только сертифицированных средств защиты

Категория информации

Государственная тайна

Конфиденциальная информация

Открытая общедоступная

Государственный информационный ресурс

всегда

всегда

при доступе из международных сетей общего пользования

Негосударственный информационный ресурс

в АСУ экологически опасных производств, ключевых систем, критически важных объектов, потенциально опасных объектов инфраструктуры РФ

в игровых автоматах (на отсутствие НДВ)

на аттестованных объектах информатизации

персональные данные

не проводится

Так, в пункте 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» указано, что СЗИ, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Установленный порядок назначается уполномоченными органами, в данном случае ФСТЭК России и ФСБ России. Согласно документам ФСТЭК России все СЗИ, используемые в ИСПДн, проходят сертификацию на соответствие требованиям по безопасности информации.

Принципиальным моментом является то, что программное обеспечение СЗИ от угроз конфиденциальности, целостности и доступности подлежит сертификации на отсутствие недекларированных функциональных возможностей. Такая позиция федеральных органов совершенно понятна, т.к. очевидно, что уязвимости ПО представляют самое слабое звено любого ИТ-проекта. Данный пункт имеет особое значение, так как соблюдение его влечет обязательное предоставление исходных текстов на программный код средств защиты.

Что касаемо автоматизированных систем, то текущая версия нормативных документов подразумевает обязательную сертификацию и/или аттестацию ИСПДн класса 1 и 2. Для ИСПДн 3 класса возможна декларация соответствия, т.е. протоколы сертификационных испытаний может подготовить сам разработчик, однако последнее слово все равно остается за федеральным органом. Следует указать, что если заявитель пожелает только аттестовать ИСПДн как объект информатизации, то пока действуют традиционные нормативные требования по аттестации объектов информатизации (СТР-К), в которых обрабатывается конфиденциальная информация.

Требования по обязательной сертификации систем и средств однозначно определены на всех этапах создания ИСПДн. При задании требований к системе в ТЗ и ЧТЗ должен быть уже представлен перечень предполагаемых сертифицированных СЗИ, на этапах реализации проекта производится внедрение сертифицированных средств или инициируется сертификация несертифицированных решений, а на этапе ввода в действие осуществляется оценка соответствия всей системы.

Новым дискутируемым условием эксплуатации ИСПДн 1 и 2 класса, а также распределенных ИСПДн 3 класса является наличие лицензии ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Следует отметить, что оператор или разработчик, пожелавший инициировать сертификацию систем и средств ПДн должен еще иметь лицензию на разработку СЗИ. Аналогичные подвиды деятельности по линии ФСБ России тоже подлежат лицензированию. Следует понимать, что с учетом 7 млн. операторов, процесс лицензирования может иметь мобилизационный характер для страны.

Кого накажут?

Безопасность — область социальная, и, с учетом человеческого фактора и стремительно развивающихся информационных технологий, конечно, не может быть абсолютной. Инциденты и нарушения будут вечно. В такой ситуации важно найти тех, кто понесет ответственность по всей строгости в случае утечки или утраты ПДн.

Еще в ФЗ-1 «Об электронной цифровой подписи» было указано, что возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами может быть возложено на создателей и распространителей этих средств.

В ФЗ-152 «О персональных данных» основным ответственным лицом определен оператор – госорган, юрлицо или физлицо, организующее обработку ПДн. Так в ст. 19 ФЗ-152 отмечается, что оператор обязан принимать необходимые организационные и технические меры для защиты ПДн от неправомерных действий. С учетом особенностей получения лицензии по защите информации ответственность ляжет на юридические лица и их руководство.

В «Положении об обеспечении безопасности персональных данных…» в п.п. 10 и 17 отмечается, что на основании договора можно переложить часть ответственности при обработке ПДн на так называемое уполномоченное лицо, а при разработке ИСПДн и СЗИ – собственно на разработчика.

Преступление и наказание

Статья 24 ФЗ-152 «О персональных данных» гласит, что лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Ответственность за нарушения требований обязательной сертификации в явном виде определена в КоАП. Так, в ст.13.2. п.2 говорится: «Использование несертифицированных СЗИ (за исключением средств защиты информации, составляющей государственную тайну) влечет наложение административного штрафа на юридических лиц — от 100 до 200 МРОТ с конфискацией несертифицированных средств защиты информации или без таковой, на должностных лиц — от 10 до 20 МРОТ[1]». К концу следующего года оператор ПДн должен определиться: конфискация или сертификация.

Кроме того, нарушителей правил и условий использования ИСПДн можно классифицировать по ст. 13.2, 13.13 и 13.14 КоАП. Нарушения такого рода приведет к отзыву лицензии и конфискации оборудования. По утверждению Россвязькомнадзора в самое ближайшее время ожидается развитие ст.13 КоАП в сторону уточнения нарушений при обработке ПДн.

Появление ФЗ-184 «О техническом регулировании» отменило ряд законов, предусматривающих уголовную ответственность за использование несертифицированных средств. Однако это не означает, что игнорирование обязательной сертификации пройдет безнаказанно. В ст. 171 УК РФ установлено наказание за нарушение лицензионных требований и условий (конечно, распространяемых и на использование сертифицированных СЗИ) сроком до 6 месяцев. Следует указать, что в УК РФ около 10 глав, статьи который могут касаться деяний, при совершении которых нарушитель может использовать системы обработки и защиты идентификационной информации в разных сферах жизни, будь-то военная служба, правосудие, компьютерная сфера, экономическая деятельность или конституционные права. Как правило, это разглашение, халатность, нарушение правил, злоупотребление при организации работ по созданию и эксплуатации информационных систем.

Любопытно сравнить ситуацию, сложившуюся по защите ПДн за рубежом. Ярким примером является американский закон Health Insurance Portability and Accountability Act, Public Law 104-191 (HIPAA). Все организации, где есть информация, касающаяся здоровья граждан, обязаны обеспечивать безопасность этой информации. Требования административного, программно-технического и физического характера сформулированы в документе HIPAA Security Rule. Нарушителям закона грозит срок до 10 лет.

В заключении добавим, что в Россвязькомнадзоре уже сформирован план проверок выполнения требований ФЗ-152 на год.

Нормативные требования к средствам защиты персональных данных

Просматривая сертификат важно обратить внимание, на соответствие каким документам проведены сертификационные испытания.

Что касаемо ФСТЭК России, то это может быть:

  • руководящие документы Гостехкомиссии России по защите от несанкционированного доступа к информации (для АС, СВТ или МЭ),
  • руководящий документ Гостехкомиссии России по контролю отсутствия недекларированных возможностей,
  • техническое условие или формуляр,
  • задание по безопасности (по требованиям ГОСТ ИСО/МЭК 15408-2002).

Так как руководящие документы существуют не для всех классов СЗИ, то требования, указанные в нормативных документах по ПДн, придется вписывать в ТУ или в задание по безопасности (ЗБ). Напомним, что руководящие документы Гостехкомиссии России представлены на официальном сайте www.fstec.ru в свободном доступе. Нормативные документы ФСБ России могут получить только соответствующие лицензиаты. Четыре последних нормативных документов ФСТЭК России по ПДн носят служебный характер, но распространяются лицензиатам с правом их тиражирования. Непосредственных потребителей этих документов – около 7 млн. операторов ПДн, т.е. конфиденциальность их будет соблюдена в узком кругу 7 млн. юрлиц, по приблизительным оценкам 142 млн. чел.

Так как руководящие документы, на соответствие которым следует проводить сертификационные испытания именно ИСПДн, не сформированы, то возникает ситуация, что процедуры сертификации и аттестации систем и средств ПДн не изменились от действующих.

Следует разобраться, какие сертификаты на СЗИ должны быть для каждого класса ИСПДн с учетом ее категории и применения.

Классы средств защиты персональных данных

Нормативные документы ФСТЭК России включают рекомендации («Рекомендации по обеспечению..») и требования («Основные мероприятия..»). В рекомендательной части по тексту встречаются указания для двух классов СЗИ, а именно: МЭ и IDS (см. табл.2).

Табл.3. Рекомендации по использованию средств защиты в ИСПДн

Класс ИСПДн

Класс МЭ

Типы IDS

К1

3

сигнатурные и аномальные

К2

4

сигнатурные и аномальные

К3

5

сигнатурные

К4

5

сигнатурные

Таким образом, для ИСПДн 1 класса рекомендованы к применению МЭ, предназначенные для межсегментной или межсетевой защиты сетей, где обрабатывается государственная тайна. При сертификации IDS-систем указанные требования должны быть вписаны в ТУ или ЗБ.

Если внимательно изучить текущую версию документа по требованиям к средствам защиты ПДн, то можно заметить очевидную корреляцию (совпадение клеше текстов) с руководящими документами Гостехкомиссии России по защите информации от несанкционированного доступа для АС и для МЭ. Это сделано совершенно логично, для соблюдения приверженности всем апробированным нормативным наработкам.

Указанные совпадения с руководящими документами Гостехкомиссии России представлены в табл.4.

Табл.4. Корреляция требований к средствам защиты в ИСПДн с документами по АС и МЭ

Класс ИСПДн

Класс АС

Класс МЭ

без подключения к СОД

с подключением к СОД

К1, однопользовательская

2

К1, многопользовательская с одинаковыми правами

4

2

К1, многопользовательская с разными правами

4

2

К2, однопользовательская

3Б+

3

К2, многопользовательская с одинаковыми правами

2Б+

4

2

К2, многопользовательская с разными правами

4

2

К3, однопользовательская

4

К3, многопользовательская с одинаковыми правами

4

2

К3, многопользовательская с разными правами

4

2

К4

Определяется оператором

Какие требования к ИСПДн имеют корреляцию с требованиями к системам, ориентированным на защиту информации, составляющей государственную тайну? Это АС класса 3А, 2А, 1В и МЭ класса 2 и 3.

Если сравнить таблицы 1 и 4, проясняется содержание сертификатов по средствам защиты ПДн. Например, для реальных АРМ или изолированных ЛВС в системе здравоохранения (К1) должны быть установлены СЗИ, сертифицированные по классу защиты для СВТ не ниже 4-го, в том числе по уровню отсутствия недекларированных возможностей, видимо, тоже не ниже 4-го уровня. При обработке финансовой отчетности на компьютерах отдельной организации (К3) или в изолированной ЛВС муниципального образования (К2) удастся обойтись традиционными сертифицированными средствами защиты конфиденциальной информации (СВТ-5, НДВ-4).

Можно заметить разницу в отношении рекомендаций (табл.3) и требований (табл.4) по организации межсетевой защиты при обработке ПДн. В данном случае оператору ПДн следует внимать классику, что «строгость российских законов смягчается необязательностью их выполнения», или лояльности регулятора.

Итого, что делать с требованиями, предъявляемыми нормативными документами ФСТЭК России по ПДн, которые не совпадают с требованиями руководящих документов Гостехкомиссии России? Они должны быть описаны в ТУ или ЗБ. Таким образом, все средства защиты ПДн должны быть сертифицированы и на соответствие руководящим документам Гостехкомиссии России, и на ТУ (или ЗБ).

В любом случае, в процессе аттестации ИСПДн потребуется творческий процесс оценки содержания сертификатов СЗИ.

Возможные пути развития нормативно-методической базы

Указанные документы имеют первую итерацию, сейчас находятся под пристальным вниманием большого количества специалистов, очевидно, будут иметь, как это принято в мировой практике, какие-то изменения и доработки. Отметим возможные пути совершенствования нормативно-методической базы ПДн с точки зрения испытательной лаборатории, а именно:

  • развитие нормативной базы по линии «Общих критериев»,
  • интеграция с национальной системой сертификации систем менеджмента информационной безопасности (СМИБ),
  • совершенствование методов выявления недекларированных возможностей.

Развитие нормативной базы по линии «Общих критериев»

С 2004 г. в стране вступил в действие ГОСТ ИСО/МЭК 15408-2002, который получил развитие в руководящих документах Гостехкомиссии России. Технический комитет ТК-362 проводит апробацию проектов новых стандартов по линии «Общих критериев», например: ГОСТ Р ИСО/МЭК 18045, ГОСТ Р ИСО/МЭК ТО 15446, ГОСТ Р ИСО/МЭК ТО 19791 и др. ФСТЭК России подготовлен ряд проектов профилей защиты (ПЗ) и даже 3 сертифицированы. Однако, внедрение нормативной базы «Общих критериев» встречает в настоящее время существенную критику со стороны практиков информационной безопасности. Это связано со сложностью понимания стандартов, отсутствием сети специалистов в данной области, длительностью испытаний и неоднозначностью толкования сертификатов при аттестации объектов. При всем этом в стране отсутствует подобный аппарат формализации всеобъемлющих требований к системам и средствам в защищенном исполнении. Думается, проблему подготовки нормативных документов по ПДн можно было решить сертификацией упрощенного для понимания ПЗ.

За рубежом процесс перехода к ОК постепенно набирает обороты, видимо, этот процесс необратим. В табл.5 проиллюстрирована статистика в различных системах сертификации.

Табл.5. Число сертификаций с 2002 г. по 2008 г. (сентябрь)

Системы сертификации

Сертификация по национальным критериям

Сертификация по «Общим критериям»

Минобороны России

540 (756)

3 (экспериментально)

ФСТЭК России

Продукты, системы

1454 (1835)

44

Профили защиты

3

ФСБ России

<1000

Международная система Common Criteria (ISO 15408)

Продукты

944

Профили защиты

129

FIPS

1021

н/д

Напрашивается вывод, что, если мы технологически интегрируемся в мировую индустриализацию, то развитие этого направления неизбежно. Направление должно двигаться, с одной стороны, по пути снижения структурной сложности ПЗ и ЗБ, а следовательно затрат, и по пути повсеместного развития лабораторий и центров компетенции, т.е. исключения каких-либо монопольных толкований.

Интеграция с национальной системой сертификации систем менеджмента информационной безопасности

Прошлый год ознаменовался появлением организационных стандартов информационной безопасности по линии ИСО 27000-серии. Стандарты ввели рекомендации к построению систем информационной безопасности и требования к СМИБ.

В философском плане прослеживается концептуальная связь подходов ИСО 27000-серии и документов по ДНн: от угроз и рисков – к формированию требований и рекомендаций. Поэтому совершенствование документов по ПДн в направлении организационных международных стандартов по информационной безопасности позволит использовать наиболее зарекомендовавшие международные практики.

С другой стороны, проведение лицензирования в области создания СЗИ и проверки производств СЗИ (аттестации серийного производства сертифицированной продукции) касаются проверки внедренной в организации системы менеджмента качества. Аудит и сертификация систем менеджмента качества осуществляется по традиции органами систем добровольной сертификации по линии качества, которые подтверждают соответствие организации ГОСТ 9001, ГОСТ 15.002 и др. Указанные проверки ничего общего с системами информационной безопасности не имеют. Следует сказать, что сейчас принята международная система сертификации СМИБ. На сентябрь 2008 г. в мире проведено 4803 сертификации, в том числе 10 в нашей стране. Однако совершенно очевидно, что международная сертификация несопоставима с отечественной ни по стоимости, ни по времени. Поэтому назрела потребность развития национальной системы сертификации СМИБ по линии ИСО 27000-серии взамен сертификации систем качества по линии ИСО 9000, применительно к организациям – разработчикам СЗИ.

Совершенствование методов выявления недекларированных возможностей

Выявление недекларированных возможностей проходит нитью через несколько документов ФСТЭК России по ПДн. Это связано с тем, что именно ПО является самым уязвимым техническим звеном любой системы. Наличие уязвимостей в ПО является главной причиной возможности проведения сетевых атак и вирусных эпидемий.

Все существующие системы сертификации в нашей стране придерживаются концепции, выраженной в руководящем документе Гостехкомиссии России по выявлению недекларированных возможностей. Основной смысл документа состоит в полномаршрутном анализе программного кода. К сожалению, на практике полномаршрутное тестирование относительно сложного продукта невозможно. Выявление недекларированных возможностей в средствах защиты конфиденциальной информации (4 уровень контроля) принципиально упрощено и касается вопросов только целостности и избыточности ПО. Документ фактически не затрагивает вопросы безопасности ПО, а именно наличия в нем каких-либо уязвимостей или закладок.

Сейчас накоплен отечественный и зарубежный опыт проведения аудита безопасности программного кода, известного как технология security code reviews. Данная технология ориентирована на выявление уязвимостей кода, влияющих на безопасность. Как это выполняется? В начале проводится автоматизированный поиск потенциально опасных фрагментов. Следующим этапом выполняется инспекция потенциально опасных фрагментов на предмет некорректностей кодирования (например, переполнения буфера), оставленных паролей, логических бомб и др. После этого проводится анализ на предмет возможности реализации уязвимости злоумышленником, т.е. может уязвимость стать угрозой или нет. После аудита выдаются рекомендации по использованию или доработке ПО. Опыт показывает, что потенциально опасных фрагментов в программном коде не более 5-10%, т.е. трудоемкость сертификации может быть снижена. С другой стороны, все закладки и критические уязвимости ПО, с которыми столкнулись авторы в процессе сертификационных испытаний, были выявлены только с помощью такого подхода.

К достоинству указанного подхода следует отнести то, что он поддержан международными объединениями (QWASP) и придерживается международной классификации уязвимостей программного кода (CWE).

Выводы

Текущий год показал, что в короткие сроки в стране подготовлен новый и весьма сложный комплект нормативных документов по защите ПДн, в первую очередь имеются ввиду документы ФСТЭК России. Данный комплект имеет некоторую преемственность как с традиционными руководящими документами Гостехкомиссии России, так и международной практикой «от анализа рисков к требованиям и рекомендациям», однако имеет ряд сложных и неоднозначных нововведений. Воплощение требований и рекомендаций документов в жизнь и их апробация только началась, но следует сделать ряд выводов, касаемых сертификации средств и систем защиты ПДн:

  1. Средства защиты ПДн подлежат обязательной сертификации независимо от формы собственности организации.
  2. В нормативных документах по ПДн отражены тенденции развития информационных технологий, задекларированы новые сервисы, механизмы и средства защиты. Так как в настоящее время отсутствуют универсальные СЗИ, удовлетворяющие указанным требованиям, то ожидается развитие существующего рынка разработок в области информационной безопасности.
  3. Однозначное требование к выявлению недекларированных возможностей в ПО потребует от разработчиков предоставления исходного программного кода в рамках сертификационных испытаний. Это может оттеснить с рынка ряд зарубежных межсетевых экранов, антивирусов и IDS-систем.
  4. Разработчики ИСПДн будут работать с двумя, а с учетом IDS-систем, возможно и с тремя обязательными системами сертификации средств защиты по требованиям безопасности информации.
  5. Развитие нормативной и методической базы защиты ПДн возможно в направлении:
      • разработки и сертификации несложных ПЗ по средствам защиты ПДн, а также развития услуг по линии «Общих критериев»;
      • конвергенции организационных мероприятий по защите ПДн со стандартами ИСО 27000-серии;
      • использования отечественного и международного опыта аудита безопасности программного кода при выявлении недекларированных возможностей.

[1] МРОТ – 2300 руб. с 1.09.07 г.

До выхода Постановления Правительства РФ от № «Об утверждении требований к защите персональных данных при.

Решает ли покупка сертифицированной программы проблему защиты ПДн?

Периодически из уст заказчиков слышен вопрос: «Удовлетворяет ли ваша система требованиям закона о персональных данныхи в тендерных документациях мелькают требования реализации проекта по защите данных. Но для чего реально необходима эта магическая аббревиатура ИСПДн заказчику, он не всегда в состоянии корректно объяснить. Углубимся в вопрос.

1. Требования к системе СЭД по защите ПДн

1.1. Немного законодательства

1.2. СЭД и ПДн: есть ли взаимосвязь?

1.3. Определение уровня защищенности ПДн

1.4. Сертифицированный продукт: нужен или нет.

2. Виды работ. Перечень ИСПДн

2.1. Перечень требований к ИСПДн

2.2. Проекты ИСПДн. Виды работ

 

1. Требования к системе СЭД по защите ПДн

1.1. Немного законодательства

Итак, начнем с самого начала. Попробуем понять откуда «растут ноги»?

26 января 2007 г. вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», который определил необходимость защиты персональных данных субъектов (далее ПДн) в целях зашиты прав и свобод человека и гражданина. За невыполнение требований данного закона предусмотрена административная и уголовная ответственность как для юридических, так и физических лиц (сотрудников и руководителей организаций), а деятельность самой организации может быть приостановлена по требованию Роскомнадзора. Таким образом, операторы информационных систем персональных данных (далее ИСПДн) обязаны защищать переданные им ПДн от угроз, реализация которых может повлечь за собой ущерб владельцам этих данных.

Напомним, что такое персональные данные. В соответствии с законом, определение звучит так: «Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». То есть, если идти от обратного, то только та совокупность данных, которая позволяет определить конкретный субъект, является персональной.

1.2. СЭД и ПДн: есть ли взаимосвязь?

Имеет СЭД отношение к проблеме обеспечения защиты ПДн?

Ответ – да. Если СЭД содержит в своем составе справочники сотрудников предприятия и контрагентов, и эти данные хранятся в системе таким образом, что может быть определен конкретный субъект, это означает, что она содержит ПДн. Плюс в СЭД также могут храниться и обрабатываться различные анкеты, характеристики, персональные дела, истории болезней и т.д. – а эти документы в том числе относятся к определенной категории ПДн. Ситуация «усугубляется», если компания ориентирована на работу с физическими лицами и СЭД вовлечена в сферу их обслуживания. Это касается органов государственной власти, где ведется непосредственная работа с населением; медицинские и образовательные учреждения; телекоммуникационные компании; кредитные организации и т.д. – операторы ПДн.

Статья 19 152 ФЗ «О персональных данных» устанавливает, что: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Отметим, что в законе прямо не указываются какими конкретными средствами и методами обеспечения безопасности ПДн должен пользоваться оператор. До 1 июля 2011 года мы руководствовались постановлениями правительства РФ за номерами 781, 512 и 687, так называемых "приказом Трех" и приказом ФСТЭК № 58. После чего был принят 261-ФЗ и "Старая" часть 3 ст. 19 "растеклась" по нескольким частям нового закона, изменившись до неузнаваемости.

Ч. 3 ст. 19: «Правительство Российской Федерации, с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных, устанавливает:

●    уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

●    требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

●    требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

Вот мы с вами впервые столкнулись с термином «Уровень защищенности ПДн». Что это и с чем его «едят»?

1.3. Определение уровня защищенности ПДн

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных. Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

●    1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

●    2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

●    3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

●    4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

●    обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);

●    обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

●    менее 100 000 субъектов;

●    более 100 000 субъектов;

И наконец, типы актуальных угроз:

●    угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;

●    угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;

●    угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому предприятие может как провести работы по определению уровня защищенности самостоятельно (за исключением аттестации, для которой требуется специальная лицензия), так и привлечь внешних консультантов.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности ПДн в соответствии со следующей таблицей:

 

Таблица 1. Определение уровня защищенности ПДн

1.4. Сертифицированный продукт: нужен или нет.

Подведем итоги в рамках первой части нашего исследования.

Если в СЭД будут храниться ПДн, значит необходима сертификация данной системы. Как правило, в сертификации продукта заинтересован сам разработчик данного софта, а заказчику остается только приобрести сертифицированный экземпляр продукта. Сертификат на конкретную версию или поколение выдает ФСТЭК России на строго определенный срок. Фактически данный сертификат удостоверяет, что система СЭД соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации". Кстати, чтобы Заказчику провести аттестацию СЭД, помимо приобретения сертифицированного экземпляра продукта, может также потребоваться сертификат на встроенные в него средства защиты информации. На что именно и какого уровня, зависит от необходимого уровня защищенности ИСПДн, к которой отнесена СЭД.

Отмечу один существенный недостаток во всем этом: процедура сертификации продукта процесс длительный. Т.е. к моменту, когда будет сертифицирована одна версия системы, она уже успеет морально устареть. Хотя этот вопрос все же разрешим: разработчик СЭД может сертифицировать сразу целое поколение. Это будет означать, что реальную сертификацию в ФСТЭК проходит первая версия системы из всего поколения, но, если заказчику потребуется поставка более свежей версии, то после ее установки и настройки достаточно будет всего лишь дополнительно провести процедуру инспекционного контроля.

Инспекционный контроль осуществляется с целью установления того, продолжает ли ИСПДн соответствовать требованиям, на соответствие которым она была сертифицирована. Как правило, если настройка не затронула механизм разграничений прав доступа, шифрования, ведения логов и прочее в сравнении с ранее сертифицированной версией продукта, то сертификация системы заказчика пройдет без всяких проблем и в кратчайшие сроки.

 

 

 

 

 

2. Виды работ. Перечень ИСПДн

Напоминаю, что в первой части нашего исследования мы разбирались с сертификацией СЭД-системы. В результате мы с вами подходим к очень важному для нас выводу: сама СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в 152 ФЗ, на который ссылается большинство Заказчиков. На самом деле СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем. Поэтому просто приобретение сертифицированной версии продукта СЭД для заказчика будет недостаточно. Дополнительно потребуется проведение ряда работ, которых мы рассмотрим во второй части нашего исследования.

СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем.

2.1. Перечень требований к ИСПДн

Прежде всего давайте разберемся, какие требования должны соблюдаться?

Перечень требований, предъявляемый к используемым техническим средствам и программном продукту СЭД на предприятие, выполнение которых необходимо для нейтрализации угроз безопасности ПДн, определяется в зависимости от уровня защищенности ПДн. Данный перечень требований можно представить в следующей таблице:

Таблица 2. Перечень требований, предъявляемый к ИСПДн

Требования

УЗ 1

УЗ 2

 УЗ 3

УЗ 4

Регулярный контроль за выполнением требований

Контроль за выполнением требований организуется и проводится оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые сами оператором или его уполномоченным лицом.

+

+

+

+

Физ.безопасность и контроль доступа

Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих в них права доступа

    +

+

+

+

Безопасность носителей

Обеспечение сохранности носителей персональных данных

+

+

+

+

Перечень допущенных лиц

Утверждение руководителем документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими своих должностных обязанностей

+

+

+

*

Сертифицированные СЗИ

Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае когда применение таких средств необходимо для нейтрализации актуальных угроз

+

+

+

+

Назначение ответственного за безопасность ПДн

Назначение должностного лица, ответственного за обеспечение безопасности ПДн в ИСПДн

+

+

+

Контроль доступа к эл.журналу доступа

Обеспечение доступа к содержанию электронного журнала сообщений только для должностных лиц, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения ими своих должностных обязанностей

+

+

Автоматическая регистрация в эл.журнале доступа

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИСПДн

+

Создание структурного подразделения

Создание/возложение на одно из структурных подразделений, ответственность за обеспечение безопасности ПДн в ИСПДн.

+

 

Как мы видим, даже при самом минимальном уровне защищенности рекомендуется использование сертифицированного продукта. Но всегда ли Заказчику требуется сертификат на продукт, если в нем планируется хранить ПДн? На самом деле – нет. Нужна ли именно сертифицированная версия или нет зависит от архитектуры автоматизированной системы на стороне Заказчика и его потребностей.

Если Заказчик предполагает, что все ПДн и конфиденциальная информация будет присутствовать только в СЭД, то безусловно, потребуется установка именно сертифицированного продукта. А если у Заказчика предполагается построение целого контура, где в том числе будет интегрирована СЭД, тогда нужна сертификация не на СЭД, а на сами средства защиты, которые будут защищать выделенный контур.

Таким образом, мы снова возвращаемся к нашему выводу, что СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия. Как правило, сертификация всего контура — это целый огромный проект. И Заказчику еще предстоит провести дополнительную подготовку.

2.2. Проекты ИСПДн. Виды работ

Виды работ по ИСПДн можно выделить следующие:

Таблица 3. Возможные виды работ по ИСПДн

Наименование видов работ

1.

Необходимо произвести проектирование системы защиты персональных данных (далее СЗПДн), в соответствии с требованиями 152 ФЗ в рамках проекта

 

2.

Разработать комплект документов, необходимой для предъявления регулирующим органам (Роскомнадзор, ФСТЭК, ФСБ России)

 

3.

Провести аттестацию комплекса технических средств (не только СЭД)

 

Для выполнения подобных работ обычно привлекаются специализированные организации, обладающие необходимыми лицензиями на данные работы.

Любые работы по данному перечню могут быть запрошены Заказчиком в рамках проекта внедрения СЭД и являться его обязательной частью. Хотя, в основном в технических заданиях заказчиков встречается только первый пункт, поскольку, как правило, у заказчика уже есть сертифицированный ИСПДн, а при встраивании нового продукта в ИТ-инфраструктуру, требуется его повторная аттестация ИСПДн.

Стадии проектирования СЗПДн можно разделить на следующие 5 этапов, которые рассмотрим подробнее:

Таблица 4. Этапы проектирование СЗПДн

№ этапа. Наименование этапа

Описание этапа

1. Инициация проекта и предоставление заказчиком первичных сведений об объекте обследования

На данном этапе проводится инициирующая встреча проектных команд, определяется и согласуется схема коммуникаций специалистов в ходе проекта, заказчику передаются опросные формы для заполнения.

2. Анализ первичных сведений и планирование работ на объектах Заказчика

На данном этапе специалисты Исполнителя анализируют полученные опросные формы и разрабатывают первичный график интервьюирования специалистов Заказчика. На данном этапе важно составить представление о составляющих элементах процессов обработки персональных данных (физические объекты, подразделения, информационные системы, персональные данные, обеспечение безопасности и т. д.) и на основе полученной информации спланировать дальнейшие работы по обследованию процессов обработки ПДн непосредственно на объектах. Теперь все готово к изучению процессов обработки ПДн на объектах непосредственно.

3. Изучение процессов обработки ПДн на объектах Заказчика

 

В соответствии с первичным графиком интервьюирования специалистов компании Заказчика на данном этапе проводится:

●    интервьюирование сотрудников бизнес-подразделений, участвующих в обработке ПДн;

●    интервьюирование сотрудников подразделений компании, занимающихся контролем и обеспечением ИТ-инфраструктуры и информационной безопасности;

●    анализ документации, выявленной в ходе проведения интервью.

По результатам проведения каждого интервью, в Протоколе фиксируется состояние ключевых элементов процессов обработки ПДн, на момент выполнения работ на объектах:

●    ПДн, обрабатываемые в рамках процесса;

●    сотрудники, задействованные в рамках процесса;

●    бумажные носители ПДн, используемые в рамках процесса;

●    места хранения бумажных носителей ПДн, используемые в рамках процесса;

●    автоматизированные рабочие места и программное обеспечение, используемые для обработки ПДн в рамках процесса;

●    внешние электронные носители ПДн, используемые в рамках процесса;

●    внешние организации и физические лица, с которыми осуществляется обмен ПДн в рамках процесса;

●    телефонно-факсимильное оборудование, используемое в рамках процесса;

●    дополнительная информация, влияющая на заключение о соответствии требованиям законодательства РФ в области обработки и защиты ПДн.

4. Анализ собранной информации и разработка отчетной документации

На данном этапе Исполнителем разрабатываются отчетные документы. Необходимо документально зафиксировать результаты проведенных мероприятий по обследованию процессов обработки ПДн, включающие заключение о степени выполнения требований законодательства РФ в области ПДн, а также рекомендации по составу необходимых для проведения мероприятий по организации корректной обработки и защиты ПДн. Итоговый отчет «Результаты обследования процессов обработки ПДн в результате должен включать в себя следующие приложения:

●    перечень ПДн, обрабатываемых на объектах компании Заказчика;

●    перечень подразделений и лиц, допущенных к работе с ПДн;

●    модели угроз безопасности ПДн при их обработке в ИСПДн. При этом стоит отметить, что модель угроз для разработки может требоваться только для СЭД, в случае если заказчику требуется только переаттестация ИСПДн в связи с введением нашего СЭД;

●    акты классификации ИСПДн;

●    протоколы проведения интервью в ходе изучения процессов обработки ПДн.

5. Разработка Технического проекта СЗПДн

 

На данном этапе производится разработка и согласование с Заказчиком непосредственно Технического проекта СЗПДн, с подробным описанием. Результатом работы должны стать: структурная схема комплекса технических средств и программа и методика испытаний.

 

Заказчиком могут быть запрошены любые виды работ по отдельности или в совокупности. Отмечу, что на различных проектах одно только проектирование системы защиты может занимать от нескольких недель до несколько месяцев. Поэтому поскольку для реализации проектов по защите данных требуется не только наличие необходимых сертификатов, но и соответствующий опыт, рекомендуется все же выделять данные работы в отдельный проект и привлекать к ним сторонние специализированные организации.

ВИДЕО ПО ТЕМЕ: Защита персональных данных. Ключевые изменения в законодательстве 2013 года

Сертификат ФСТЭК для производства на территории РФ согласно закона о защите персональных данных, так называемый «сертификат ФСТЭК для.