Создание системы защиты персональных данных — СКБ Контур

Построение системы защиты персональных данных

9.1. Основные этапы при построении системы защиты персональных данных

Система защиты ПД может быть как отдельной системой, так и подсистемой в составе системы защиты информации организации в целом. Как правило, выполнение работ по построению СЗПД происходит поэтапно и включает в себя следующие стадии:

  1. предпроектная стадия или оценка обстановки;
  2. стадия проектирования;
  3. ввод в действие СЗПД.

Предпроектная стадия или оценка обстановки. В самом начале построения СЗПД производится оценка обстановки. На данном этапе производятся следующие работы:

  1. разрабатывается перечень информационных систем организации, которые работают с ПД;
  2. определение состава ПД и необходимость их обработки;
  3. определение перечня ПД, которые необходимо защищать;
  4. определение контролируемой зоны и расположения компонентов ИСПД относительно границ этой зоны;
  5. строится модель корпоративной сети;
  6. определение топологии и конфигурации ИСПД, программ и технических средств, которые используются или предполагаются к использованию для обработки ПД;
  7. установление связей ИСПД с другими системами организации;
  8. определение режимов обработки ПД;
  9. определение угроз безопасности;
  10. определение класса ИСПД;
  11. уточняется степень участия персонала в обработке ПД.

Важным пунктом данного этапа является построение частной модели угроз и предварительная классификация ИСПД данной организации. Классификация ИСПД производится в соответствии с приказом ” Об утверждении Порядка проведения классификации информационных систем персональных данных” от 13 февраля 2008 года. Результатом данного этапа является формирование частного технического задания (ТЗ) к СЗПД .

Техническое задание должно содержать:

  • обоснование разработки СЗПД;
  • исходные данные создаваемой (модернизируемой) ИСПД в техническом, программном, информационном и организационном аспектах;
  • класс ИСПД;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПД и приниматься в эксплуатацию ИСПД;
  • конкретизацию мероприятий и требований к СЗПД;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПД.
  1. стадия проектирования. На данном этапе разрабатывается задание и проект проведения работ в соответствии с ТЗ, выполняются все требуемые работы, в том числе закупка технических средств защиты и их сертификация в случае необходимости. Разрабатывается система доступа к ПД должностных лиц и определяются ответственные за эксплуатацию средств защиты информации.

Важным подэтапом является разработка эксплуатационной документации на ИСПД и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов).

Этап проектирования является наиболее важным и трудоемким, так как при реализации СЗПД необходимо учесть множество факторов, таких как масштабирование, совместимость средств защиты со штатным программным обеспечением, возможность периодического тестирования системы защиты и замены отдельных компонентов системы в случае необходимости.

В случае если в процессе опытной эксплуатации выявляются недостатки разработанной СЗПД, проводится ее доработка.

Для ИСПД, находящихся в эксплуатации до введения ФЗ №152 “О персональных данных” от 27 июля 2006 года, должны быть проведены работы по их модернизации в соответствии с требованиями Федерального закона и “Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” №781.

9.2. Комплекс организационных и технических мероприятий в рамках СЗПД

Для обеспечения безопасности персональных данных организации требуется провести комплекс технических и организационных мероприятий в рамках построения СЗПД и ее эксплуатации.

Организационные меры носят административный и процедурный характер и регламентируют процессы функционирования ИСПД, обработку ПД и действия персонала. Организационные меры включают в себя:

  1. разработка организационно-распорядительных документов, предназначенных для регламентации процессов хранения, обработки, сбора и накопления персональных данных, а также их защиту;
  2. уведомление уполномоченного органа (Роскомнадзора) о намерении обрабатывать ПД;
  3. получение письменного согласия на обработку ПД от субъектов ПД;
  4. определение должностных лиц, которые будут работать с ПД;
  5. организация доступа в помещения, где будет вестись обработка ПД;
  6. разработка должностных инструкций по работе с ПД;
  7. определение сроков хранения ПД;
  8. планирование мероприятий по защите ПД;
  9. обучение персонала.

Организационные меры индивидуальны для каждой организации и в первую очередь определяются классом ИСПД, которые обрабатывают персональные данные . Чем выше класс ИСПД, тем больше мероприятий организационного характера требуется для ее защиты. Организационные меры необходимы для регламентации функционирования системы в целом, но явно не достаточны. Для обеспечения безопасности они должны быть подкреплены использованием технических средств защиты.

Техническое мероприятие – это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений. Техническая защита по своей структуре и содержанию является более сложным и трудоемким процессом в отличие от организационных мероприятий и предусматривает выполнение следующих условий:

  1. для выполнения работ по технической защите требуется лицензия;
  2. для выбора адекватных и достаточных средств защиты необходимо тщательное обследование ИСПД, построение модели угроз и классификация ИСПД;
  3. на основе данного обследования формируется перечень требований по обеспечению безопасности;
  4. требуется провести работы по проектированию, созданию и вводу в эксплуатацию СЗПД;
  5. для проведения аттестации(сертификации) на соответствие ИСПД требованиям законодательства необходимо наличие соответствующих лицензий.

Согласно Указу Президента РФ “Об утверждении перечня сведений конфиденциального характера” персональные данные относятся к категории сведений конфиденциального характера. На основании Федерального закона от 8 августа 2001 г. №128-ФЗ “О лицензировании отдельных видов деятельности” техническая защита конфиденциальной информации (в нашем случае персональных данных) относится к лицензированному виду деятельности. Таким образом, для проведения мероприятий по защите персональных данных необходимо привлекать организации, имеющие соответствующие лицензии ФСТЭК. Деятельность по защите информации без наличия соответствующих лицензий влечет за собой как административную, так и уголовную ответственность.

Помимо вышеперечисленного, средства технической защиты согласно п.6 Положения №781 ” “Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” должны проходить процедуру соответствия. Другими словами, можно применять только те средства защиты, которые имеют сертификат соответствия ФСТЭК или ФСБ в зависимости от назначения средства.

9.3. Уведомление Роскомнадзора об обработке персональных данных

До начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении в соответствии с ФЗ “О персональных данных”.Уведомление должно быть в письменной форме с подписью уполномоченного лица или в электронной форме с ЭЦП . Уведомление должно содержать:

  • наименование (фамилия, имя, отчество), адрес оператора;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
  • дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных.

В поле цель обработки персональных данных указываются цели обработки персональных данных, указанные в учредительных документах оператора, либо фактические цели обработки.

В поле категории персональных данных перечисляются все категории обрабатываемых ПД (основные, специальные, биометрические).

В поле категории субъектов персональных данных указываются категории физических лиц и виды отношений с ними, персональные данные которых обрабатываются (например: работники, состоящие в трудовых отношениях с Оператором, физические лица ( абонент , пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях Оператором и др.).

В поле правовое основание обработки персональных данных необходимо указать не только соответствующие статьи из ФЗ “О персональных данных”, но и статьи из других правовых документов, регламентирующих обработку ПД в данном случае. Например, при обработке ПД сотрудников – ст. 85-90 Трудового кодекса Российской Федерации.

В этом поле также указывается номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием на пункты, в которых предусмотрено исключение передачи ПД третьим лицам без согласия субъекта ПД.

В поле перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных, указываются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

  • неавтоматизированная обработка персональных данных;
  • исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
  • смешанная обработка персональных данных.

При этом, если обработка автоматизированная или смешанная, необходимо указать, передается информация только по локальной сети или с использованием Интернета.

В поле описание мер описываются меры, предусмотренные статьями 18 и 19 ФЗ “О персональных данных”, в том числе сведения о шифровальных средствах, ФИО и контакты лиц, ответственных за обработку ПД, класс ИСПД, организационные и технические меры, применяемые оператором в целях защиты ПД.

Читать еще:  Ребенок остался с папой после развода

В поле срок или условие прекращения обработки ПД указывается конкретная дата или условие, при выполнении которого обработка будет прекращена.

Роскомнадзор в течение 30 дней после получения уведомления вносит оператора в реестр операторов. Реестр операторов является общедоступным. В случае возникновения изменений, касающихся перечисленных в уведомлении сведений, оператор обязан известить об этом Роскомнадзор в течение 10 рабочих дней.

Что такое система защиты персональных данных? Мероприятия по обеспечению безопасности и инструкция по разработке СЗПД

Возросшие технические возможности по копированию и распространению конфиденциальной информации привели к необходимости использования средств по защите персональных данных.

Это комплекс мероприятий технического, организационного и организационно-технического характера; он предполагает возможность избежать злоупотреблений личными сведениями, предотвратить использование мошеннических схем в Интернете, которые представляют угрозу законным правам и интересам личности.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие существуют уровни защищенности?

В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от 27.07.2006 года, Правительство РФ устанавливает 4 уровня защищенности:

  1. УЗ-1 – максимальный.
  2. УЗ-2 – высокий.
  3. УЗ-3 – средний.
  4. УЗ-4 – низкий.

Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от 01.11.2012 N 1119.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.

Организационные меры включают:

    Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.

Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.

Подписание соглашений с третьими лицами, которые участвуют в обработке информации.

Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.

  • Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.
  • Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

    • предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
    • предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

    Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

    Пошаговая инструкция по разработке СЗПД

    Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных». Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

    1. Издание внутреннего приказа, в соответствии с которым начинаются процессы подготовки и реализации мер по защите ПД и построение защитной системы. В приказе обязательно должен быть указан сотрудник, который несет ответственность за выполнением соответствующих мероприятий, перечисляются локальные документы, в том числе Положение по защите и обработке данных и состав специальной комиссии.
    2. Обследование внутренних систем, содержащих конфиденциальную информацию. На этом этапе нужно определить, является ли организация оператором ПД. Если да, то к какой категории относятся обрабатываемые данные. Составляется отчет о диагностических мероприятиях, создается акт о классификации системы информации, уровне ее защищенности и модели угроз, которым могут подвергаться личные сведения на объекте.
    3. Если в ходе обследования выяснилось, что организация является оператором ПД, направляется Уведомление в Роскомнадзор о намерении производить обработку ПД (ст. 22 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
    4. Разработка и утверждение документов согласия субъекта на обработку ПД и отзыва согласия (ст. 9 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
    5. Внедрение защитной системы. На этом этапе создается ряд документов, которые регламентируют внутренний порядок работы, хранения, передачи и уничтожения ПД. Составляется перечень лиц, которые допущены к обработке данных и перечень сведений, с которыми осуществляются операции.

    Подробную инструкцию по реализации защиты ПД в различных организациях найдете тут.

    Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

    Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России.

    Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Типичные ошибки при построении системы защиты ПДн (СЗПДн)

    Уровень правовой грамотности ИТ-специалистов в области информационной безопасности, в частности защиты персональных данных, с каждым годом растет. Ведь именно на специалиста ИТ-отдела возлагают функции по защите информации. Однако чаще всего специалисты приобретают новые знания самостоятельно из открытых источников. К сожалению, это ведет к однотипным ошибкам при создании системы защиты персональных данных.

    Как рождается ошибка?

    Зачастую к нам приходят запросы на проведение работ по защите персональных данных с конкретной спецификацией работ и средств защиты информации. Казалось бы, идеальный вариант для всех, но по факту оказывается, что указанных работ и средств защиты информации либо слишком много, либо недостаточно для приведения организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона «О персональных данных» от 27.07.2006 № 152. Оба варианта ведут к финансовым потерям.

    Мы выделили основные недочеты в построении систем защиты ПДн и надеемся, что эта «шпаргалка» пригодится и опытным, и начинающим ИТ-специалистам.

    Распространенные ошибки при построении СЗПДн:

    1. Неверно определено число информационных систем, обрабатывающих персональные данные.

    Часто при определении информационных систем, в которых обрабатываются персональные данные, выделяют лишь те, что лежат на виду (например, информационные системы бухгалтерии или кадров). На деле же в организации их может быть куда больше. Зачастую информационной системой, которую забыли упомянуть, оказывается система контроля управления доступом (СКУД), а между тем вероятность обработки биометрических данных в такой информационной системе весьма высока.

    Совет: для того чтобы не упустить из виду информационные системы персональных данных, необходимо провести аудит всех имеющихся информационных систем, а затем установить факт обработки в них персональных данных. Не забывайте про системы видеонаблюдения, так как в отдельных случаях они также являются ИСПДн.

    Экспресс-обследование СЗПДн от проекта Контур.Безопасность

    2. Неверный выбор средств защиты информации.

    Бывают случаи, когда заказчик самостоятельно ставит себе «диагноз» через интернет. Находит в сети пример, где описывается построение технической системы защиты персональных данных информационной системы, схожей с его, и закупает приведенные в списке СЗИ. В результате возможно несколько вариантов развития событий:

    • используемые средства защиты персональных данных будут соответствовать требованиям нормативных документов и закроют все актуальные угрозы безопасности персональных данных;
    • используемых средств защиты информации будет недостаточно для закрытия всех актуальных угроз безопасности персональных данных;
    • перечень используемых средств защиты информации будет избыточным;
    • используемые средства защиты информации не будут соответствовать требованиям нормативных документов.

    При этом первый вариант развития событий возможен в крайне редких случаях.

    Советы:

    • используйте известный алгоритм создания системы защиты персональных данных;
    • проведите обследование информационной системы;
    • определите актуальные угрозы безопасности персональных данных в соответствии с нормативными документами ФСТЭК России;
    • определите требуемый уровень защищенности персональных данных, обрабатываемых в информационной системе;
    • руководствуясь приказом ФСТЭК России № 21, определите организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных.

    3. Пренебрежение организационными мерами, концентрация исключительно на технической защите.

    Бывают ситуации, когда заказчик фокусируется исключительно на технической защите информации, закупает качественные и подходящие СЗИ, но при этом забывает об организационной части. Не разработаны необходимые документы, не подписаны соглашения с работниками и т.д. Во всем нужен разумный баланс, кроме того, непонимание персоналом смысла использования СЗИ может нивелировать всю грамотно выстроенную техническую защиту.

    4. Средства защиты информации верно подобраны, но неверно настроены (или не настроены вообще).

    Распространенная ошибка — наделение пользователей правами администраторов. Это удобно для системного администратора, так как настройка системы в таком случае не требует много времени и решение проблем пользователей сводится к минимуму. При таком подходе установка СЗИ на компьютеры пользователей не имеет никакого смысла: сотрудник с правами администратора может отключить что угодно, даже не осознавая этого. Например, межсетевой экран не позволяет пользователю выйти в интернет, он читает выскочившую подсказку и парой нажатий клавиш отключает защиту. Формально СЗИ установлено, угроза закрыта, однако в реальности она остается актуальной.

    Совет: следует тщательно подходить к вопросу установки средств защиты информации и грамотно разделять права и обязанности пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы с учетом производственной необходимости.

    Общий совет: обследование позволяет избежать этих мелких, но неприятных ошибок. Обследование позволяет определить текущую степень соответствия процессов обработки и защиты персональных данных требованиям безопасности информации, а также составить перечень необходимых мероприятий по приведению процессов организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных».

    В ходе обследования собираются данные:

    • об организационно-штатной структуре заказчика;
    • о мерах физической безопасности;
    • о структуре, техническом и программном составе информационных систем;
    • об архитектуре информационных систем;
    • о технологических процессах обработки ПДн;
    • о существующих средствах и механизмах обеспечения безопасности ПДн.

    В большинстве случаев цена такого обследования невысока. Но порой оно помогает существенно сэкономить на приобретении ненужных СЗИ. Причина в том, что после обследования часто сокращается объем парка машин, которые необходимо защитить, а также конкретизируются организационные и технические требования по защите персональных данных в информационной системе, которые необходимо реализовать.

    Практика. Создание системы защиты персональных данных

    Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

    Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

    Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

    Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

    1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
    2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
    3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
    4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
    5. Разработка технического задания на создание системы защиты персональных данных.
    6. Приобретение средств защиты информации.
    7. Внедрение системы защиты персональных данных.
    8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

    Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

    Обеспечьте защиту персональных данных в вашей компании

    Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

    Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

    В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

    В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

    Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

    Модель угроз безопасности ПДн: пример

    Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

    * Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

    Основными источниками угроз в данном случае будут выступать:

    • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
    • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

    Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

    Определение уровня защищенности ПДн

    В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

    Построение системы защиты персональных данных

    В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

    Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

    Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

    ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

    Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

    Выводы

    Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

    Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

    Рекомендации по защите персональных данных

    Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

    Практика защиты персональных данных

    Привет, Хабр!
    1 июля приближается, а с ним приближается и необходимость выполнения ФЗ-152 «О персональных данных». В связи с этим хочу поделиться опытом работы по данному направлению. В блоге Информационная безопасность уже идет цикл постов о написании документов, однако, помимо бумаги, может возникнуть необходимость применения и некоторых технических средств защиты информации. Которым и посвящен данный топик.

    Первое, что необходимо держать в памяти — средствами защиты информации у нас являются только те средства, которые имеют действующий сертификат ФСТЭК (по защите от НСД — несанкционированного доступа) и ФСБ (по криптографии и межсетевому экранированию). К сожалению, сертификаты периодически кончаются, и если компания-производитель не озаботится продлением сертификата, то при проверке могут возникнуть проблемы. Избежать их можно двумя способами:
    1) Перед закупкой средств защиты проконсультироваться с производителем, или с поставщиком, когда заканчивается текущий сертификат, и собирается ли производитель его продлевать. Так же стоит заглянуть на сайт производителя — есть есть более новая версия, то старую могут и не продлить.
    2) Если техника уже закуплена, и производитель не собирается продлевать сертификат — можно самому обратиться в орган по сертификации и получить сертификат на свой экземпляр (только свой). За некоторую сумму денег, как вы понимаете.
    Кроме того, необходимо определиться, какие, собственно, средства защиты нам нужны? Если ваша ИСПДн — типовая, то требования по защите персональных данных описаны в приложении к приказу ФСТЭК № 58, которое может найти тут. Если же ваша ИСПДн — специальная, то требования по защите описаны в «Частной модели угроз. », которая составляется по результатам обследования ИСПДн. Поясню сразу — типовой ИСПДн является информационная система, к которой предъявляются требования только по конфиденциальности персональных данных, а доступность и целостность оставлены в стороне. Для чего можно сделать ИСПДн специальной? Актуально это, на мой взгляд, только для ИСПДн 1-го класса (К1), так как предъявляемые требования включают в себя в том числе и защиту от ПЭМИН (побочные электромагнитные излучения и наводки). Создание «Частной модели угроз. » помогает уйти от ПЭМИН и значительно облегчить жизнь. Суть же защиты сводится к установке генератора электромагнитного шума и фиксации расположения и состава как технических средств ИСПДн, так и вообще всех технических средств, расположенных в тех же помещениях. То есть, вносить изменения вы сможете только по согласованию с органом, производившим аттестационные испытания. Изменения же в составе ИСПДн могут вылиться в контрольную проверку или переаттестацию.
    От ПЭМИН мы, будем считать, ушли, теперь давайте рассмотрим средства защиты информации и типовые варианты их применения. В общем и целом, все средства защиты можно разделить на несколько групп:

    Локальные СЗИ НСД

    СЗИ НСД — это аббревиатура от средства защиты информации от несанкционированного доступа. Используются для предотвращения несанкционированных действий пользователей, имеющих доступ к рабочим станциям ИСПДн. Включают в себя такие механизмы, как контроль загрузки со сменных носителей (CD/DVD-диски, флешки), контроль устройств (что бы нельзя было подключить левую флешку и слить информацию), реализация мандатного разграничения доступа (для ИСПДн не требуется). Приведу только те средства, с которыми я работал лично:
    1) Secret Net. Может поставляться как с платой контроля загрузки, так и без оной. Работает через secpol.msc, так что на Home-версиях может и не заработать (на Windows XP Home не работает точно, да Vista и Windows 7 еще не проверял). Довольно прост в эксплуатации, имеет наилучший, из виденного, механизм контроля устройств. Есть сетевая версия, предназначенная для интеграции в доменную структуру.
    2) Страж NT. Наилучший механизм мандатного разграничения доступа. В эксплуатации сложнее (из-за того, что часть защитных механизмов нельзя отключить). Сетевой версии нет.
    3) Dallas Lock. Проигрывает по всем параметрам рассмотренным ранее, кроме возможности нормального развертывания сетевого варианта в бездоменной сети.
    Как ясно из названия, данные средства используются на локальных машинах. Добавить тут нечего.

    Межсетевые экраны

    Назначение, я думаю, ясно. Кроме того, если одну ИСПДн разделить межсетевым экраном на две части, то можно с полным право назвать их двумя разными ИСПДн. Для чего? Если вы попадаете в первый класс именно по количеству обрабатываемых субъектов персональных данных, то, разделив ИСПДн на две части, вы уменьшите количество обрабатываемых в каждой ИСПДн субъектов и получите уже не К1, а К2. Сейчас на рынке представлено несколько сертифицированных межсетевых экранов:
    1) VipNet Personal Firewall. Просто персональных межсетевой экран, без особых изысков. Управляется только локально. Механизма централизованного управления нет. Для запуска требует пароль, если его не ввести — не запускается.
    2) VipNet Office Firewall. То же самое, но поддерживает несколько сетевых карт, что позволяет устанавливать его на шлюзе, и использовать для сегментирования ИСПДн.
    3) ССПТ-2. Программно-аппаратный комплекс, работает на FreeBSD, однако добраться до самой ОС вам никто не даст. Работает быстро, поддерживает фильтрацию по многим параметрам. Имеет неприятную особенность — правила применяются по списку сверху-вниз, и правила, расположенные вверху, имеют больший приоритет. В документации это не отражено, было выявлено опытным путем. Управляется как с локальной консоли, так и через веб-интерфейс.
    4) АПКШ «Континент». Вообще, это не межсетевой экран, а криптомаршрутизатор, но с функциями МСЭ. Архитектурно похож на ССПТ-2, но управления с локальной консоли нет — только через специальную консоль администратора. При чем, при начальной настройке необходимо указать интерфейс, к которому будет подключен компьютер администратора.
    Кроме того, «Код безопасности» выпустил еще два продукта — МСЭ+ HIPS «Security Studio Endpoint Protection» и систему распределенных межсетевых экранов Trust Access, объединяющую межсетевое экранирование и сегментацию с использованием аутентификации по протоколу Kerberos. По скольку работать с данными продуктами мне не приходилось, предоставлю только ссылки на их описание:
    TrustAccess
    SSEP
    Кроме того, было сертифицировано производство еще одного продукта — Stonegate Firewall/VPN. Продукт финской компании Stonesoft. Так же он поставляется к прикрученным к нему модулем шифрования КриптоПРО, что позволяет использовать его в качестве сертифицированного VPN-решения.

    Они же средства криптографической защиты. Помимо уже указанного Stonegate Firewall/VPN, есть еще два VPN-решения:
    1) VipNet Custom. Представляет из себя комплекс из VipNet Administrator — программа управления, VipNet Coordinator — VPN-сервер, с функциями МСЭ, и VipNet Client — VPN-клиент и МСЭ. Программа управления используется только для генерации ключей и сертификатов, управление настройками межсетевых экранов возможно только локально. Помочь в администрировании может только встроенный RDP. Так включает в себя внутренний мессенджер и внутреннюю почту. К достоинствам можно отнести только то, что это чисто программное решение, которое легко встраивается в уже существующую инфраструктуру.
    2) АПКШ «Континент». Про него я, в принципе, уже говорил. Добавлю только то, что в последней версии клиента («Континент-АП») появились функции межсетевого экрана, и даже есть клиент под Linux. Управление самими криптошлюзами производится только с консоли администратора, но удаленно. К особенностям так же стоит отнести то, что стартовая настройка (то есть передача криптошлюзу конфигурации сети и ключей) производится локально, путем скармливания ему флешки со всей необходимой информацией. Если вы ошиблись при создании конфигурации и уже отправили криптошлюз на удаленную точку — то удаленно подцепиться на него и что-то исправить вы не сможете, придется генерировать конфигурацию заново и каким-то образом передавать на удаленную точку.

    В принципе, вот краткое описание всех известных мне сертифицированных средств защиты. Надеюсь, данная информация будет полезна сообществу.

    Ссылка на основную публикацию
    Adblock
    detector