02 марта 2015

Персональные данные: что было, что будет, на чем сердце успокоится… Часть 5. Меры защиты

Ксения Шудрова,
Специалист в области защиты информации,
shudrova.blogspot.ru

 

Первая часть статьи была посвящена обзору законодательства в области защиты персональных данных, во второй приводился анализ закона «О персональных данных». Третья часть затрагивала вопросы классификации ИСПДн, а четвертая – защиту личной информации с помощью криптографических средств. В пятой части будут рассмотрены основные меры защиты персональных данных.

 

В прошлых частях мы с вами разбирались с тонкостями законодательства, классифицировали систему и определяли класс криптографических средств, остался последний этап – определить меры защиты согласно требованиям нормативных документов. Перечень основных нормативно-правовых актов в этой области представлен ниже (также стоит учитывать отраслевые стандарты исходя из вида деятельности предприятия):

1. Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» – Документ утратил силу;
2. Приказ ФСТЭК РФ от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» – Документ утратил силу;
3. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных 15.02.2008 – Документ утратил силу;
4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных 15.02.2008 – Документ утратил силу;
5. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
6. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
7. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
8. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
9. Методический документ. Меры защиты информации в государственных информационных системах (утв. ФСТЭК России 11.02.2014).

 

Начнем разбираться с устаревших документов, чтобы понять историю вопроса, затем рассмотрим текущую нормативную базу.

 

Постановление 781

Этот нормативно-правовой акт вышел еще в 2007 году и в нем были закреплены первые требования к системе защиты персональных данных. Документы ФСТЭК появились чуть позже. В Постановлении указаны требования к защите компьютерной, а также речевой информации и информации в виде электро-магнитных сигналов. Упомянута необходимость обеспечения безопасности каналов связи, по которым передаются персональные данные. Очень важным пунктом является требование оценки соответствия СЗИ (другими словами, использования сертифицированных средств защиты). Вот откуда ноги растут – данное требование затем переходит из документа в документ.

Полезная информация, которую мы можем почерпнуть для себя – это перечень этапов работ по защите персональных данных:

1. Определение угроз и построение модели угроз.
2. Разработка системы защиты информации.
3. Проверка готовности СЗИ к использованию.
4. Установка и ввод в эксплуатацию СЗИ.
5. Обучение лиц, использующих СЗИ.
6. Учет СЗИ.
7. Учет лиц, допущенных к работе.
8. Разбирательства.
9. Описание системы защиты информации.

Еще одно важное требование, которое сохраняется и сейчас – необходимость ведения электронного журнала запросов к персональным данным.

 

Приказ 58

Во исполнение требований Постановления Правительства № 781 был издан Приказ ФСТЭК № 58,  в котором перечислены конкретные методы и способы защиты информации от НСД. Естественно, криптография осталась за скобками. Основные требования сохраняются до сих пор, например, при взаимодействии ИСПДн с сетью нужен межсетевой экран, антивирусное средство. Указаны меры и средства защиты от утечки по техническим каналам. В Приказе 58 определена необходимость контроля на НДВ для средств защиты в ИСПДн 1 класса. В новых документах ФСТЭК это требование ужесточается. В приложении приведены методы и способы защиты информации для каждого класса, которые разделены по следующим направлениям:

1. Управление доступом;
2. Регистрация и учет;
3. Обеспечение целостности.

Очень подробно указаны настройки межсетевого экрана – каким образом должна происходить фильтрация. Полезно проглядеть этот документ для формирования обобщенного перечня направлений защиты.

 

Основные мероприятия

Этот документ является частью «четверокнижия» ФСТЭК и в данный момент не действует. Большое внимание уделяется терминам и определениям, ориентироваться на которые стоит с осторожностью, все-таки терминология закона «О персональных данных» претерпела значительные изменения с 2008 года. К основным мерам обеспечения безопасности относится классификация ИСПДн, непосредственная установка и настройка СЗИ, прошедших процедуру оценки соответствия.

Указаны 3 стадии создания системы защиты персональных данных (СЗПДн):

• предпроектная;
• стадия проектирования;
• стадия ввода в действие.

По результатам предпроектной стадии пишется ТЗ или ЧТЗ на систему защиты. Несмотря на то, что сейчас нет законодательного требования обязательного наличия этих документов, на мой взгляд, составить техническое задание все же стоит.

В документе подробно расписаны меры для каждого класса, эти положения можно смело опускать. В качестве самого интересного я бы выделила следующее:

1. Обязательная сертификация (аттестация) по требованиям безопасности информации систем 1 и 2 класса, декларирование соответствия требований безопасности информации для 3 класса и оценка соответствия по решению оператора для 4 класса. В настоящий момент аттестация обязательна для государственных информационных систем.
2. Обязательная лицензия по технической защите конфиденциальной информации – это требование для негосударственных органов явно нигде не фигурирует в настоящий момент.

Документ охватывает широкий спектр вопросов и полезен как «источник вдохновения» для продумывания мер защиты.

 

Рекомендации

Основной смысл рекомендаций – устаревшие меры, нам с вами это ни к чему. Но есть один интересный фрагмент, посвященный ущербу. Как мы помним, оператор по новым правилам должен самостоятельно оценивать вред, который может быть причинен субъекту в результате утечки информации, методика же на сегодняшний день отсутствует. Поэтому даже пара фраз из устаревшего документа может пригодиться.

Ущерб может быть двух видов непосредственный и опосредованный. Непосредственный – физический, материальный, финансовый, моральный вред непосредственно субъекту ПДн; возникновение незапланированных непроизводительных финансовых или материальных затрат субъекта, потери субъектом свободы действий, нарушение конституционных прав и свобод. Опосредованный – причинение вреда обществу и (или) государству в результате нарушения деятельности организаций.

 

Постановление Правительства 1119

Вот мы и подошли к действующему законодательству. В третьей части статьи Постановление 1119 рассматривалось в контексте классификации ИСПДн. Но в документе также содержатся требования к каждому уровню защиты.

Требования к более высокому уровню включают требования к уровням более низкого уровня.

4 уровень:

1. Безопасность помещений;
2. Сохранность носителей;
3. Перечень лиц, имеющих доступ к ПДн;
4. Использование СЗИ, прошедших процедуру оценки соответствия (в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз).

3 уровень (+ требования к 4 уровню):

1. Назначено ответственное лицо за обеспечение безопасности.

2 уровень (+ требования к 3 и 4 уровню):

1. Ограниченный доступ к электронному журналу.

1 уровень (+ требования ко 2, 3 и 4 уровню):

1. Регистрация изменений полномочий сотрудника, имеющего доступ к ПДн;
2. Ответственное за безопасность ПДн подразделение.

Важно! Если в старых документах проводить манипуляции с системой защиты можно было только лицензиатам, то теперь осуществлять контроль оператор может самостоятельно.

 

Приказ ФСТЭК 21

На замену Приказа 58 пришел Приказ 21, в котором определяются конкретные требования к системе безопасности.

Состав мер следующий:

1. Идентификация и аутентификация;
2. Управление доступом;
3. Ограничение программной среды;
4. Защита машинных носителей;
5. Регистрация событий безопасности;
6. Антивирусная защита;
7. Обнаружение вторжений;
8. Контроль защищенности ПДн;
9. Обеспечение целостности ИС и ПДн;
10. Обеспечение доступности ПДн;
11. Защита среды виртуализации;
12. Защита технических средств;
13. Защита информационных систем, ее средств, систем связи, передачи данных;
14. Выявление инцидентов;
15. Управление конфигурацией ИС и СЗПДн.

Определены основные этапы работы:

1. Определение базового набора мер;
2. Адаптация базового набора;
3. Уточнение адаптированного базового набора;
4. Дополнение уточненного адаптированного набора мер.

Дополнительные меры включают в себя следующее:

1. Проверка системного и прикладного ПО на НДВ.
2. Тестирование ИС на проникновение.
3. Использование ПО, разработанного с использованием методов защищенного программирования.

С учетом экономической целесообразности могут применяться компенсирующие меры, но для этого должно быть приведено обоснование.

Документ определяет классы СВТ, классы системы обнаружения вторжений (СОВ), антивирусной защиты, классы МЭ в зависимости от уровня защищенности (Таблица 1).

Таблица 1. Требования к СЗИ (Приказ 21 ФСТЭК)

	1 уровень	2 уровень	3 уровень	4 уровень
СВТ	не ниже 5 класса			не ниже 6 класса
СОВ/ антивирус	не ниже 4 класса		не ниже 4 класса в случае актуальности угроз 2-го типа или взаимодействия ИС с информационно-телекоммуникационными сетями международного информационного обмена; не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена	не ниже 5 класса
МЭ	не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена; не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена		не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена; не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена	не ниже 5 класса
НДВ	не ниже 4 уровня		не ниже 4 уровня в информационных системах, для которых к актуальным отнесены угрозы 2-го типа	Нет требований

 

В приложении представлена таблица соответствия мер и уровней защищенности.  Меры, не обозначенные «+» и применяются как дополнительные.

 

Приказ ФСТЭК 17

Требования документа предназначены для государственных информационных систем, остальные могут использовать приказ по желанию. Указано, что внешняя организация с лицензией привлекается при необходимости (такой необходимостью будет являться отсутствие лицензии у оператора). Также необходимо использовать СЗИ, прошедших оценку соответствия в форме обязательной сертификации.

Меры защиты как организационные, так и технические направлены на исключение основных видов угроз:

1. Неправомерность доступа, копирование и распространение информации.
2. Неправомерность уничтожения и модификации.
3. Неправомерность блокирования информации.

Меры для ИС 1 класса – блокирование угроз нарушителем с высоким потенциалом. Меры для ИС 2 класса – блокирование угроз нарушителя с потенциалом не ниже среднего. Меры для 3 и 4 класса – нарушители с низким потенциалом. Потенциал нарушителя определяется в ходе оценки его возможностей, проводимый при определении угроз безопасности. Этапы работы по созданию СЗПДн следующие:

1. Формирование требований.
2. Разработка системы защиты информационной системы.
3. Внедрение системы защиты информации ИС;
4. Аттестация ИС по требованиям защиты информации и ввод ее в действие;
5. Обеспечение защиты информации при выводе из эксплуатации.

Требования зависят от класса защищенности ИС и угроз безопасности информации. Требования определяются в соответствии с ГОСТ Р ИСО/МЭК 27001, разработка системы защиты информации производится с учетом ГОСТ 34.601 «ИТ. Комплекс стандартов на АС», ГОСТ 51583, ГОСТ Р 51624.

Проводится анализ уязвимостей, по результатам дорабатывается модель угроз. Для государственных информационных систем аттестация обязательна.

Исходными данными при создании СЗПДн являются:

1. Модель угроз безопасности информации.
2. Акт классификации ИС.
3. Техническое задание или ЧТЗ.
4. Проектная и эксплуатационная документация.

Результатом работы должны быть протоколы аттестационных испытаний, заключение о соответствии требованиям ОЗИ и аттестат соответствия в случае положительных испытаний (а также другие документы, которые разрабатываются при проведении процедуры аттестации).

Описаны общие меры, такие как управление учетками пользователей, установка обновлений, регистрация и анализ событий, информирование об угрозах безопасности, сопровождение системы защиты. В случае невозможности реализовать конкретную меру, реализуется компенсирующая мера. При выводе из эксплуатации необходимо осуществлять архивирование и уничтожение.

Система защиты информации должна обеспечивать:

1. Идентификация и аутентификация субъектов и объектов доступа.
2. Управление доступом субъектов доступа к объектам доступа.
3. Ограничение программной среды.
4. Защита машинных носителей информации.
5. Регистрация событий безопасности.
6. Антивирусная защита.
7. Обнаружение (предотвращение) вторжений
8. Контроль (анализ) защищенности.
9. Целостность ИС и информации.
10. Доступность информации.
11. Защита среды виртуализации.
12. Защита технических средств.
13. Защита ИС, ее средств, систем связи и передачи данных

Как мы видим, требования 17 Приказа схожи с требованиями 21 Приказа, с их корреляцией можно ознакомиться здесь – http://shudrova.blogspot.ru/2014/12/21-17.html.

Ниже представлены классы СВТ, классы системы обнаружения вторжений (СОВ), антивирусной защиты, классы МЭ в зависимости от класса (Таблица 2).

 

Таблица 2. Требования к СЗИ (Приказ 17 ФСТЭК)

	1 и 2 класс		3 класс		4 класс
Соединение с сетями междунарождного обмена	+	-	+	-	+	-
СВТ	не ниже 5
СОВ и антивирус	не ниже 4			не ниже 5
МЭ	не ниже 3	не ниже 4	не ниже 3	не ниже 4
НДВ	не ниже 4			нет требований

 

Соответствие класса и уровня представлено ниже (Таблица 3):

 

Таблица 3. Соответствия класса и уровня

уровень класс	1	2	3	4
1	+	+	+	+
2	-	+	+	+
3	-	-	+	+
4	-	-	-	+

 

Постановление Правительства 211

Документ предназначен для государственных и муниципальных органов. В нем представлены следующие основные мероприятия:

1. Назначение ответственного лица;
2. Утверждение необходимой документации: правила обработки данных, правила работы с обезличенными данными, перечень ИСПДн и т.д.;
3. Организационные и технические меры в соответствии с требованиями Постановления 1119;
4. Выполнение требований 687 Постановления Правительства;
5. Проведение периодических проверок;
6. Ознакомление работников;
7. Уведомление в Роскомнадзор;
8. Обезличивание.

Самое интересное – в документе приведен перечень документов, которые необходимо разработать, можно позаимствовать его и не мучиться с формулировками названий.

 

Меры защиты в государственных информационных системах

В этом многостраничном документе указаны детализированные требования 17 приказа ФСТЭК. Меры защиты определены исходя из класса, который определяется одновременно с уровнем защищенности. Указано, как адаптировать набор мер защиты. Подробно рассмотрены характеристики мер защиты информации, приведенных в 17 приказе. Содержится информация об усилении мер защиты применительно к каждому классу. В таблице указаны основные и усиленные меры. Весьма полезный документ для понимания положений 17 приказа.

 

Вот, в общем-то, вкратце и все требования. Меры защиты персональных данных практически не меняются, хотя одни документы сменяют другие. Основные требования остаются и переходят из документа в документ, хотя мы можем наблюдать некоторые послабления. Это касается требований аттестации и привлечения лицензиатов.

В шестой заключительной части мы с вами рассмотрим перспективы изменения законодательства в области защиты персональных данных.

Просмотров: 2027

Мнения экспертов

В пятой части статьи рассмотрены основные меры защиты персональных данных. Автор проанализировал действующее законодательство РФ в этой области. Сделан обзор и уже утративших силу законопроектов. На основании этого даны практические советы специалистам по ИБ, которые занимаются проблемами персональных данных.

В пятой части статьи рассмотрены основные меры по защите персональных данных. Автор подробно проанализировал тему по документам, регламентирующим таковые меры. Причем затронута и история вопроса.

Видно, что 5-я часть статьи носит исключительно справочный характер. Да, информация полезная, но нет подробностей конкретных примеров таких мер. А тема-то очень актуальная! Немного суховато и формально! Но, считаю, что , тем не менее, статья достойна публикации, особенно, если учитывать, что она идет в серии статей, посвященной данному направлению.

Научной новизны статья не несет. Произведен простейший анализ законодательных актов, построены сводные таблицы, сделаны выводы.

Не могу согласиться с посылом автора «Меры защиты персональных данных практически не меняются, хотя одни документы сменяют другие». Изменения действительно значительные и носят положительный  характер.

Законодательство в области персональных данных, охране частной жизни в РФ достаточно молодое, и, естественно оно претерпевает эволюционное развитие. Данная статья для специалистов в области технической защиты информации имеет небольшую практическую ценность, тем не менее, рекомендую к публикации  на портале sec.ru.

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.