02 марта 2015Персональные данные: что было, что будет, на чем сердце успокоится… Часть 5. Меры защиты
Ксения Шудрова,
Первая часть статьи была посвящена обзору законодательства в области защиты персональных данных, во второй приводился анализ закона «О персональных данных». Третья часть затрагивала вопросы классификации ИСПДн, а четвертая – защиту личной информации с помощью криптографических средств. В пятой части будут рассмотрены основные меры защиты персональных данных.
В прошлых частях мы с вами разбирались с тонкостями законодательства, классифицировали систему и определяли класс криптографических средств, остался последний этап – определить меры защиты согласно требованиям нормативных документов. Перечень основных нормативно-правовых актов в этой области представлен ниже (также стоит учитывать отраслевые стандарты исходя из вида деятельности предприятия):
Начнем разбираться с устаревших документов, чтобы понять историю вопроса, затем рассмотрим текущую нормативную базу.
Постановление 781 Этот нормативно-правовой акт вышел еще в 2007 году и в нем были закреплены первые требования к системе защиты персональных данных. Документы ФСТЭК появились чуть позже. В Постановлении указаны требования к защите компьютерной, а также речевой информации и информации в виде электро-магнитных сигналов. Упомянута необходимость обеспечения безопасности каналов связи, по которым передаются персональные данные. Очень важным пунктом является требование оценки соответствия СЗИ (другими словами, использования сертифицированных средств защиты). Вот откуда ноги растут – данное требование затем переходит из документа в документ. Полезная информация, которую мы можем почерпнуть для себя – это перечень этапов работ по защите персональных данных:
Еще одно важное требование, которое сохраняется и сейчас – необходимость ведения электронного журнала запросов к персональным данным.
Приказ 58 Во исполнение требований Постановления Правительства № 781 был издан Приказ ФСТЭК № 58, в котором перечислены конкретные методы и способы защиты информации от НСД. Естественно, криптография осталась за скобками. Основные требования сохраняются до сих пор, например, при взаимодействии ИСПДн с сетью нужен межсетевой экран, антивирусное средство. Указаны меры и средства защиты от утечки по техническим каналам. В Приказе 58 определена необходимость контроля на НДВ для средств защиты в ИСПДн 1 класса. В новых документах ФСТЭК это требование ужесточается. В приложении приведены методы и способы защиты информации для каждого класса, которые разделены по следующим направлениям:
Очень подробно указаны настройки межсетевого экрана – каким образом должна происходить фильтрация. Полезно проглядеть этот документ для формирования обобщенного перечня направлений защиты.
Основные мероприятия Этот документ является частью «четверокнижия» ФСТЭК и в данный момент не действует. Большое внимание уделяется терминам и определениям, ориентироваться на которые стоит с осторожностью, все-таки терминология закона «О персональных данных» претерпела значительные изменения с 2008 года. К основным мерам обеспечения безопасности относится классификация ИСПДн, непосредственная установка и настройка СЗИ, прошедших процедуру оценки соответствия. Указаны 3 стадии создания системы защиты персональных данных (СЗПДн):
По результатам предпроектной стадии пишется ТЗ или ЧТЗ на систему защиты. Несмотря на то, что сейчас нет законодательного требования обязательного наличия этих документов, на мой взгляд, составить техническое задание все же стоит. В документе подробно расписаны меры для каждого класса, эти положения можно смело опускать. В качестве самого интересного я бы выделила следующее:
Документ охватывает широкий спектр вопросов и полезен как «источник вдохновения» для продумывания мер защиты.
Рекомендации Основной смысл рекомендаций – устаревшие меры, нам с вами это ни к чему. Но есть один интересный фрагмент, посвященный ущербу. Как мы помним, оператор по новым правилам должен самостоятельно оценивать вред, который может быть причинен субъекту в результате утечки информации, методика же на сегодняшний день отсутствует. Поэтому даже пара фраз из устаревшего документа может пригодиться. Ущерб может быть двух видов непосредственный и опосредованный. Непосредственный – физический, материальный, финансовый, моральный вред непосредственно субъекту ПДн; возникновение незапланированных непроизводительных финансовых или материальных затрат субъекта, потери субъектом свободы действий, нарушение конституционных прав и свобод. Опосредованный – причинение вреда обществу и (или) государству в результате нарушения деятельности организаций.
Постановление Правительства 1119 Вот мы и подошли к действующему законодательству. В третьей части статьи Постановление 1119 рассматривалось в контексте классификации ИСПДн. Но в документе также содержатся требования к каждому уровню защиты. Требования к более высокому уровню включают требования к уровням более низкого уровня. 4 уровень:
3 уровень (+ требования к 4 уровню):
2 уровень (+ требования к 3 и 4 уровню):
1 уровень (+ требования ко 2, 3 и 4 уровню):
Важно! Если в старых документах проводить манипуляции с системой защиты можно было только лицензиатам, то теперь осуществлять контроль оператор может самостоятельно.
Приказ ФСТЭК 21 На замену Приказа 58 пришел Приказ 21, в котором определяются конкретные требования к системе безопасности. Состав мер следующий:
Определены основные этапы работы:
Дополнительные меры включают в себя следующее:
С учетом экономической целесообразности могут применяться компенсирующие меры, но для этого должно быть приведено обоснование. Документ определяет классы СВТ, классы системы обнаружения вторжений (СОВ), антивирусной защиты, классы МЭ в зависимости от уровня защищенности (Таблица 1). Таблица 1. Требования к СЗИ (Приказ 21 ФСТЭК)
В приложении представлена таблица соответствия мер и уровней защищенности. Меры, не обозначенные «+» и применяются как дополнительные.
Приказ ФСТЭК 17 Требования документа предназначены для государственных информационных систем, остальные могут использовать приказ по желанию. Указано, что внешняя организация с лицензией привлекается при необходимости (такой необходимостью будет являться отсутствие лицензии у оператора). Также необходимо использовать СЗИ, прошедших оценку соответствия в форме обязательной сертификации. Меры защиты как организационные, так и технические направлены на исключение основных видов угроз:
Меры для ИС 1 класса – блокирование угроз нарушителем с высоким потенциалом. Меры для ИС 2 класса – блокирование угроз нарушителя с потенциалом не ниже среднего. Меры для 3 и 4 класса – нарушители с низким потенциалом. Потенциал нарушителя определяется в ходе оценки его возможностей, проводимый при определении угроз безопасности. Этапы работы по созданию СЗПДн следующие:
Требования зависят от класса защищенности ИС и угроз безопасности информации. Требования определяются в соответствии с ГОСТ Р ИСО/МЭК 27001, разработка системы защиты информации производится с учетом ГОСТ 34.601 «ИТ. Комплекс стандартов на АС», ГОСТ 51583, ГОСТ Р 51624. Проводится анализ уязвимостей, по результатам дорабатывается модель угроз. Для государственных информационных систем аттестация обязательна. Исходными данными при создании СЗПДн являются:
Результатом работы должны быть протоколы аттестационных испытаний, заключение о соответствии требованиям ОЗИ и аттестат соответствия в случае положительных испытаний (а также другие документы, которые разрабатываются при проведении процедуры аттестации). Описаны общие меры, такие как управление учетками пользователей, установка обновлений, регистрация и анализ событий, информирование об угрозах безопасности, сопровождение системы защиты. В случае невозможности реализовать конкретную меру, реализуется компенсирующая мера. При выводе из эксплуатации необходимо осуществлять архивирование и уничтожение. Система защиты информации должна обеспечивать:
Как мы видим, требования 17 Приказа схожи с требованиями 21 Приказа, с их корреляцией можно ознакомиться здесь – http://shudrova.blogspot.ru/2014/12/21-17.html. Ниже представлены классы СВТ, классы системы обнаружения вторжений (СОВ), антивирусной защиты, классы МЭ в зависимости от класса (Таблица 2).
Таблица 2. Требования к СЗИ (Приказ 17 ФСТЭК)
Соответствие класса и уровня представлено ниже (Таблица 3):
Таблица 3. Соответствия класса и уровня
Постановление Правительства 211 Документ предназначен для государственных и муниципальных органов. В нем представлены следующие основные мероприятия:
Самое интересное – в документе приведен перечень документов, которые необходимо разработать, можно позаимствовать его и не мучиться с формулировками названий.
Меры защиты в государственных информационных системах В этом многостраничном документе указаны детализированные требования 17 приказа ФСТЭК. Меры защиты определены исходя из класса, который определяется одновременно с уровнем защищенности. Указано, как адаптировать набор мер защиты. Подробно рассмотрены характеристики мер защиты информации, приведенных в 17 приказе. Содержится информация об усилении мер защиты применительно к каждому классу. В таблице указаны основные и усиленные меры. Весьма полезный документ для понимания положений 17 приказа.
Вот, в общем-то, вкратце и все требования. Меры защиты персональных данных практически не меняются, хотя одни документы сменяют другие. Основные требования остаются и переходят из документа в документ, хотя мы можем наблюдать некоторые послабления. Это касается требований аттестации и привлечения лицензиатов. В шестой заключительной части мы с вами рассмотрим перспективы изменения законодательства в области защиты персональных данных.
Мнения экспертов
В пятой части статьи рассмотрены основные меры по защите персональных данных. Автор подробно проанализировал тему по документам, регламентирующим таковые меры. Причем затронута и история вопроса. Видно, что 5-я часть статьи носит исключительно справочный характер. Да, информация полезная, но нет подробностей конкретных примеров таких мер. А тема-то очень актуальная! Немного суховато и формально! Но, считаю, что , тем не менее, статья достойна публикации, особенно, если учитывать, что она идет в серии статей, посвященной данному направлению.
Научной новизны статья не несет. Произведен простейший анализ законодательных актов, построены сводные таблицы, сделаны выводы. Не могу согласиться с посылом автора «Меры защиты персональных данных практически не меняются, хотя одни документы сменяют другие». Изменения действительно значительные и носят положительный характер. Законодательство в области персональных данных, охране частной жизни в РФ достаточно молодое, и, естественно оно претерпевает эволюционное развитие. Данная статья для специалистов в области технической защиты информации имеет небольшую практическую ценность, тем не менее, рекомендую к публикации на портале sec.ru.
Ваши комментарии:Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации. |
|