Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЧИТАЛЬНЫЙ ЗАЛ Защита персональных данных Решения по защите ИСПДн: гордиев узел затягивается
Типовые документы по ИБ
Навигация
 

Решения по защите ИСПДн: гордиев узел затягивается

Операции с документом
Казалось бы, за четыре с лишним года с момента вступления в силу Федерального закона "О персональных данных" (ФЗ-152) были проанализирована и обговорена каждая строчка закона, постановлений правительства и документов государственных регуляторов. Тем не менее ожесточенные споры по практике правоприменения норм законодательства продолжаются, и в хоре голосов нередки весьма противоречивые и даже спекулятивные утверждения. Значительная часть споров касается необходимости сертификации СЗИ и программного обеспечения, используемых при защите персональных данных. Попробуем разобраться в этом вопросе.

Часть вторая статьи 19 ФЗ-152 определяет, что требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) устанавливает правительство Российской Федерации. Не сам закон, но и не уполномоченные органы государственной власти (регуляторы). В соответствии с этой нормой закона 17 ноября 2007 г., правительством было принято, в частности, постановление № 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". В самом положении черным по белому написано: "Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия" и "результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой ФСТЭК и ФСБ в пределах их полномочий".

Витиеватые законы

Чтобы понять, что такое оценка соответствия и экспертиза ее результатов, обратимся к другому закону – "О техническом регулировании". Он определяет, что оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.

В свою очередь, подтверждение соответствия может быть добровольным – в форме добровольной сертификации, или обязательным, в формах принятия декларации о соответствии или обязательной сертификации. Декларировать можно только соответствие требованиям технических регламентов, которых для средств защиты информации и технологий информационной безопасности нет, и, если строго следовать букве закона, быть не может.

Согласно законодательства РФ, при отсутствии технических регламентов в отношении продукции, используемой в целях защиты охраняемых сведений (а персональные данные граждан именно такой информацией и являются), обязательными являются требования, установленные федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки и т.п. Особенности же технического регулирования в части разработки и выработка этими органами обязательных требований устанавливаются президентом Российской Федерации и правительством Российской Федерации в соответствии с их полномочиями.

Эти особенности и были определены постановлением правительства от 15.05.2010 г. № 330. К сожалению, закрытым документом (с грифом ДСП). Рассмотрение истории, связанной с исполнением закрытых нормативно-правовых актов в условиях отсутствия закона о служебной тайне, выходит далеко за пределы данной статьи. Констатируем пока факт. Постановление витиевато, но все-таки достаточно конкретно определяет, что в случаях, на которые распространяется введенное в действие постановлением положение, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора), а объектом обязательной сертификации является продукция. Витиеватость же заключается в следующей формулировке: "Настоящее положение не распространяется на продукцию (работы, услуги), используемую в целях защиты информации конфиденциального характера, не являющейся государственным информационным ресурсом и (или) персональными данными, а также на связанные с ней процессы".

То есть на ИСПДн положение распространяется, а продукция, использование которой регулируется положением, - это средства защиты информации в ИСПДн. Про приложения, предназначенные для обработки персональных данных, и их сертификацию нигде ничего не говорится.

Порядок обязательной сертификации средств защиты информации (правда, только тех, которые предназначены для защиты государственной тайны) установлены еще одним постановлением правительства – от 26.06.1995 г. № 608. С тех пор утратил силу закон "О сертификации товаров и услуг", многое изменилось, но постановление – действующее, последнее изменение в него внесено в 2010 г.

Из всех этих сложных логических умозаключений следует достаточно простой вывод: все средства защиты информации в ИСПДн должны пройти процедуру обязательной сертификации во ФСТЭК или ФСБ (в зависимости от того, в чьем ведении такие средства находятся) по правилам, установленным для средств защиты государственной тайны.

Добавим к этому приказ ФСТЭК № 58 2010 г., который предусматривает еще и прохождение контроля отсутствия не декларированных возможностей программным обеспечением средств защиты информации, применяемых в информационных системах персональных данных 1 класса.

Такова реальность, нравится это кому-то или нет. Несогласные с установлением в приказе ФСТЭК обязательных требований могут попытаться оспорить его в суде. Не забывая про полномочия, установленные законом "О техническом регулировании", о которых написано выше.

И что же делать?

Ответ простой: строить систему защиты персональных данных в информационных системах, поскольку это прямая обязанность оператора, вытекающая из ФЗ-152 (ст.19 – оператор при обработке персональных данных обязан принимать необходимые технические меры для защиты персональных данных от неправомерных действий) и Трудового кодекса (ст.86 – защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств).

Как строить – вопрос весьма непростой. Ключевыми для выбора конкретных средств защиты являются два вопроса: классификация ИСПДн и модель угроз персональным данным. При этом уже в ходе классификации системы могут быть рассмотрены пути снижения стоимости системы защиты как связанные с изменением процессов обработки в организации, так и основанные только на использовании технических решений, не затрагивающих бизнес-процессы.

Но несколько общих правил и рекомендаций можно сформулировать практически для всех случаев.

Первой опасностью, подстерегающей проектировщиков подсистемы защиты ИСПДн, является "зоопарк" технических средств разных производителей – настоящее проклятие любого ИТ-директора. Угроз и механизмов их нейтрализации очень много, а большинство производителей нацелены на достаточно узкий спектр решений. Иным путем идет компания "Код безопасности", линейка продукции которой заточена под законченное решение, а не на группу конкретных угроз. В данном случае речь идет о защите персональных данных. Практически все необходимые методы и средства защиты, рекомендованные регуляторами, могут быть реализованы при использовании продуктов одной компании (см. таблицу), что избавляет от решения проблем совместимости, а также позволяет применять объединенные средства централизованного управления и мониторинга для наблюдения за событиями из "одного окна". Это позволит ИТ-специалистам не мучиться с отдельными пользовательскими интерфейсами администратора для каждого компонента защиты.

Как показала практика построения систем защиты ИСПДН, наиболее простым и эффективным способом снижения класса ИСПДн, а, следовательно, и затрат на ее защиту, является разделение системы на несколько подсистем и классификация каждой подсистемы как самостоятельной. Но использование этого метода требует обязательного наличия сертифицированных межсетевых экранов. И здесь на помощь придет распределенный межсетевой экран высокого класса защиты TrustAccess.

Незаменим он будет и при разделении доступа пользователей к системам различной степени конфиденциальности (например, серверам с общедоступной информацией, а также содержащим сведения, составляющие коммерческую тайну и относящиеся к персональным данным), при организации распределенного доступа к серверам приложений и используемым ими серверам баз данных, для аутентификации, фильтрации и защиты сетевых соединений.

Особую сложность представляет организация выполнения требований регуляторов при защите персональных данных в виртуальной среде. Связано это со сложностью самой инфраструктуры, появлением в ней принципиально новых возможностей атак, отсутствующих при работе с физическими серверами и рабочими станциями. Например, чего стоят суперпользователь в лице администратора виртуальной среды и суперпрограмма в виде гипервизора, а это далеко не все источники новых угроз. Также сложности могут возникнуть из-за крайне узкого выбора сертифицированных средств защиты для виртуальной среды. Применение распределенного межсетевого экрана TrustAccess в сочетании со специализированным средством предотвращения несанкционированного доступа для виртуальной среды vGate 2 позволит решить большинство проблем безопасности. Учитывая, что механизмы защиты TrustAccess не чувствительны к подмене MAC- и IP-адресов, его применение защитит от сетевых атак как со стороны внешних физических машин, так и со стороны виртуальных машин. В свою очередь, за счет использования меток конфиденциальности vGate 2 защитит информацию от утечек через специфические каналы среды виртуализации. При этом использование vGate обеспечит контроль виртуальных устройств, контроль доступа к элементам инфраструктуры и их целостность, доверенную загрузку виртуальных машин и блокирует доступ администратора виртуальной инфраструктуры к самим конфиденциальным данным на виртуальных машинах.

Для защиты от принципиально новых, не выявляемых традиционными средствами защиты угроз можно использовать средство имитации работы бизнес-приложений Honeypot Manager. И уж ни в одной ИСПДн нельзя обойтись без средств антивирусной защиты, обнаружения вторжений и персональных межсетевых экранов, которые объединены воедино в одном продукте компании "Код безопасности" - Security Studio Endpoint Protection.

Таким образом, выполнение кажущихся сложными и труднореализуемыми требований государственных регуляторов можно обеспечить, используя линейку продуктов одного производителя, причем все они сертифицированы как по функциональным требованиям, обеспечивающим возможность их применения в ИСПДн до класса К1 включительно, так и по четвертому уровню контроля отсутствия не декларируемых возможностей (НДВ 4).

Автор: Михаил Емельянников

Источник: cnews.ru

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex