Выбор в пользу тех или иных средств защиты при проектировании информационных систем, обрабатывающих конфиденциальную информацию или персональные данные – ключевая процедура, определяющая не только будущий уровень защищенности и надежности системы, но и легитимность дальнейшей эксплуатации данной системы.
В соответствии с законодательством Российской Федерации, в информационных системах ряда организаций использование сертифицированных программных продуктов является обязательным. К таким организациям относятся:
Государственные организации;
негосударственные организации, работающие со служебной информацией государственных органов;
организации, работающие с персональными данными.
Данное требование определяется целым рядом положений законодательных и нормативных актов в области защиты информации. В частности:
Приказом № 17 ФСТЭК России от 11 февраля 2013г. "Требования о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах" – основной нормативный документ, регламентирующий вопросы, связанные с защитой информации ограниченного доступа не содержащей сведения, составляющие государственную тайну, включая персональные данные в государственных информационных системах,
"Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании"…"
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ " О персональных данных"
"Обеспечение безопасности персональных данных достигается, в частности: …
… 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации".
Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
"Меры по обеспечению безопасности персональных данных реализуются, в том числе, посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных."
Закон РФ №5485-I "О государственной тайне" от 21 июля 1993г.
"Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности".
Необходимо отметить, что применение сертифицированных средств защиты само по себе не является достаточным условием выполнения требований вышеприведенных документов к системе безопасности ГИС (АС) или ИСПДн. На самом деле, это целый комплекс организационных и технических мер направленных на приведение информационных систем в соответствие требованиям, и далеко выходящий за рамки темы настоящей статьи.
В ФЗ № 152 "О персональных данных" и в Приказе № 21 ФСТЭК нет однозначных требований к наличию у СЗИ, применяемых для защиты ИСПДн, сертификатов соответствия, полученных в обязательной системы сертификации (ФСТЭК России). В документах используется более либеральные формулировки применение СЗИ прошедших установленным порядком процедуру оценки соответствия . Это означает, что для защиты ИСПДн в негосударственных организациях могут использоваться СЗИ, прошедшие сертификацию в добровольной системе сертификации или имеющие декларацию соответствия. Данные процедуры сегодня в области ИБ ни как не документированы и носят пока декларативный характер. К тому же, можно предположить, что сертификация в системе ГОСТ Р или декларирование вряд ли окажется существенно проще или дешевле. Так данные процедуры не исключают проведение всего комплекса испытаний начиная с контроля комплектности программной документации и заканчивая проверкой реализации заявленных функций безопасности. Кроме того, проводя испытания самостоятельно, декларант берет основную ответственность на себя. Поэтому можно констатировать, что в ближайшей перспективе в государственных информационных системах или ИСПДн вряд ли в качестве основных СЗИ будут широко использовать несертифицированные СЗИ. Но даже если использование сертифицированных СЗИ не является обязательным, выбор в их пользу предпочтителен, поскольку наличие сертификата – важный фактор обеспечения доверия к приобретаемым средствам защиты, гарантия их качества и безопасности, а также возможность сэкономить, так как уже не требуются никакие дополнительные подтверждения их легитимности.
В большинстве случаев выбор средств защиты информации осуществляться в рамках нескольких десятков сертифицированных решений различных брендов. На самом деле сертифицированы сотни программных и программно-аппаратных средств защиты, однако большая часть была сертифицирована в единичном экземпляре или в составе партии, и приобрести их не представляется возможным. Тем не менее, дефицита на рынке сертифицированных СЗИ нет, можно приобрести средства обеспечивающие защиту от любых угроз и с требуемым уровнем защиты. С полным перечнем сертифицированных СЗИ можно ознакомиться на официальном сайте ФСТЭК России в разделе Государственный реестр сертифицированных средств защиты информации.
Часто проблемы выбора средств защиты связаны ни сколько с техническими аспектами или показателями защищенности, а легитимностью использования СЗИ в системах обрабатывающих конфиденциальную информацию, ПДн или государственную тайну. Даже если СЗИ реализует необходимый функционал защиты и имеет сертификат соответствия требованиям безопасности, это не означает что данное средство применимо для всех случаев ГИС и ИСПДн.
Рассмотрим особенности выбора средств защиты на примере ИСПДн.
Выбор СЗИ осуществляется на этапе реализации мер защиты ИСПДн с учетом уровня защищенности системы и наличия актуальных угроз (типов угроз) безопасности ПДн. В общем виде порядок выбора СЗИ можно представить в виде графа, представленного на рисунке 1.
Рис. 1 Порядок выбор СЗИ для построения системы защиты ПДн
Определение уровня защищенности ИСПДн
Постановление правительства № 1119 от 01.11.2012 "Требования к защите персональных данных при их обработке в информационных системах персональных данных" устанавливает 4 уровня защищенности персональных данных, которые определяются видом ИСПДн, типом актуальных угроз и количеством субъектов ПДн, обрабатываемых в информационной системе (см. таблица 1).
Таблица 1
| Виды ИСПДн | Уровни защиненности ИСПДн | ||
|---|---|---|---|
| угрозы 1 типа | угрозы 2 типа | угрозы 3 типа | |
| ИСПДн-С | 1 | 2 1 | 3 2 |
| ИСПДн-Б | 1 | Тип ИСПДн | 3 |
| ИСПДн-О | 2 | 3 2 | 4 |
| ИСПДн-И | 1 | 3 2 | 4 3 |
Где:
Виды ИСПДн
ИСПДн-С
ИСПДн обрабатывающая специальные категории ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни субъектов.
ИСПДн-Б
ИСПДн обрабатывающая биометрические сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
ИСПДн-О
ИСПДн обрабатывающая общедоступные ПДн.
ИСПДн-И
ИСПДн обрабатывающая иные категории ПДн
В этом же Постановлении установлено три типа угроз ПДн:
Угрозы 1-го типа
(уровень системы) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа
(уровень приложения) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа
(уровень пользователя) актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности, актуальных для информационной системы, производится оператором ПДн с учетом оценки возможного вреда, который может быть причинен субъектам персональных данных. От типа угрозы будет зависеть не только требуемый уровень защищенности ИСПДн, но и класс используемых для ее защиты СЗИ, и прежде всего, обязательное прохождение СЗИ контроля отсутствия недекларированных возможностей (НДВ).
Под которым понимаются, дополнительные требования ФСТЭК России к проверке программных и программно-аппаратных продуктов, реализующих функции защиты информации на отсутствие умышленных или иных недекларированных возможностей. На практике это исследование исходного текста программ на предмет отсутствия в нем "программных закладок", "троянских коней" и других вредоносных кодов. До недавнего времени данные требования предъявлялись лишь к СЗИ, используемых в системах защиты автоматизированных систем, обрабатывающих государственную тайну. С выходом документов ФСТЭК по защите персональных данных указанные требования распространяются и на СЗИ, применяемые в ИСПДн 1 и 2 уровня защиты. Руководящий документ "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (РД НДВ) устанавливает четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований. Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего. Для защиты ПДн и государственных информационных систем, не обрабатывающих государственную тайну, достаточно четвертого уровня контроля.
В предыдущих документах ФСТЭК жестко определял, что для ИСПДн первого класса (К1) необходимы СЗИ прошедшие контроль НДВ. В действующих сегодня требованиях оператор сам вправе определять тип угроз, а соответственно определять – существует угроза НДВ или нет.
Разумно считать, что первый тип угроз может быть актуален только для ИСПДн каким-то образом интересующие спецслужбы: ПДн федерального масштаба, данные первых лиц государства и пр. В качестве аргумента может служить предположение, что разработчиками практически всего системного ПО являются несколько известных западных корпораций, дорожащих своей репутацией. Но, не исключено, что сотрудничающих со спецслужбами государств, резидентами которых они являются. Трудно представить мотивацию этих вендеров, что бы дискредитировать "спроектированные закладки", подвергая свой бизнес огромным рискам.
С угрозами второго типа, ситуация схожа, но имеет свою особенность. Часто в качестве прикладного используется "самописное" или заказное программное обеспечение. И здесь вероятность наличия случайной или преднамеренной "закладки", как ни странно может оказаться выше. Часто недокументированные возможности закладываются исключительно с "добрыми" намерениями, например, для удаленного доступа к компьютеру пользователя, с целью разрешения его проблем.
Определение мер по обеспечению безопасности ПДн
Определившись с уровнем защищенности и угрозами ИСПДн можно переходить к составу мер необходимых для ее защиты. В состав базовых мер Приказом № 21 включены:идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.
Полный состав мер приведен в приложении № 2 Приказа ФСТЭК России. Чем выше уровень защиты тем шире перечень необходимых мер. Если в предыдущих документах ФСТЭК состав таких мер для соответствующего класса защиты был строго регламентирован, то сейчас Приказ разрешает оператору самостоятельно определять перечень необходимых мероприятий исходя из актуальности угроз, используемых информационных технологий и даже экономической целесообразности.
С учетом структурно-функциональных характеристик системы и актуальных для нее угроз осуществляется адаптация (анализ возможности и целесообразности реализации) базового набора мер. Неактуальные меры исключаются из перечня. Выделяются организационные меры, реализация которых непосредственно связанна с информационными технологиями, но не связанна с техническими аспектами системы защиты или позволяющие заменить технические меры.
Актуализированный базовый перечень мер, может быть расширен дополнительными мерами, а также мероприятиями обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами, в частности, требованиями к средствам криптографической защиты или ГИС.
При невозможности технической реализации отдельных выбранных мер или экономической целесообразности могут разрабатываться компенсирующие меры, направлен-ные на нейтрализацию оставшихся актуальных угроз. В этом случае в ходе разработки системы защиты ПДн должно быть проведено соответствующее обоснование.
Определившись с актуальным перечнем подлежащих реализации технических мер можно приступать к выбору СЗИ. Данный этап является не менее сложным, так как не существует одного комплексного средства, обеспечивающего реализацию защитных мер указанных в Приказе. Как правило, для построения системы защиты ИСПДн используется от нескольких до десятка сертифицированных СЗИ.
Самое простое, обратиться в компанию, занимающуюся оказанием услуг в области защиты информации, которая в соответствии с вашим перечнем требуемых мер сможет подобрать необходимые СЗИ. Скорее всего, будут предложены средства защиты, с которыми компания давно уже работает и на какие она имеет максимальные скидки от поставщиков. Можно выбрать и приобрести самостоятельно, обратившись к реестру сертифицированных СЗИ и затем заказать их у производителя или его партнера.
В Государственном реестре содержится около 2500 записей, однако для приобретения, как отмечалось выше, доступно не более сотни различных типов СЗИ. Тем не менее, выбрать и из этого количества не тривиальная задача, и вот почему.
В сертификатах, выданных до 2013 года обычно, присутствовали сведения о классе ИСПДн, в которых могли использоваться данные СЗИ, и это позволяло однозначно их идентифицировать. В более поздних сертификатах такие записи исчезли. В информационном сообщение ФСТЭК России от 15 июля 2013 г. N 240/22/2637 указано, что возможность применения в ГИС соответствующего класса защищенности и для обеспечения установленного уровня защищенности ПДн сертифицированных средств защиты информации, указывается заявителем (разработчиком, производителем) в эксплуатационной и конструкторской документации на эти средства (формулярах и технических условиях). К сожалению, на публичных ресурсах, такие документы отсутствуют, их можно запросить непосредственно у производителя или их дилеров. Не стоит торопиться с обращением к разработчику, рекомендуется самостоятельно провести еще несколько этапов "фильтрации".
Большую часть Реестра составляют СЗИ, сертифицированные в единичных экземплярах или в ограниченных партиях под нужды конкретных системы. Поэтому стоит рассматривать только СЗИ сертифицированные по схеме сертификация "серия" либо "партия", количество которой не менее 100 экземпляров.
В Реестре содержаться СЗИ сертифицированные еще в 1996 году, очевидно, что данные средства давно сняты с производства, а сертификаты поддерживаются только для продления аттестатов соответствия на системы. В связи этим, рекомендуется ограничить поиск в диапазоне последних 1-2 лет. Срок действия сертификата -3 года, как правило, производитель (заявитель) продлевает сертификаты еще раз, за редким исключение, два раза. Необходимо помнить, если это не сделает производитель, то продлевать сертификат вам придется самостоятельно. Таким образом, чем новее СЗИ и свежее сертификат, тем лучше.
Выбор на следующем шаге будет зависеть от типа актуальных угроз, как уже было сказано выше: для ИСПДн с угрозами 1 и 2 типа необходимы средства защиты прошедшие контроль НДВ.
Так как к этапу выбора СЗИ уже определились с уровнем защищенности, а соответственно, типом угроз, то требуется НДВ или нет вопрос риторический. Если актуальны угрозы первого типа то СЗИ или системное ПО, если защита строится на его механизмах защиты, должны пройти контроль НДВ. А для второго типа прикладное программное обеспечение, участвующего в обработке персональных данных.
Сегодня в нормативных документах регуляторов или стандартах отсутствуют однозначные определения современного системного программного обеспечения. Определение ГОСТ 19781-90 "Программа системная – программа, предназначенная для поддержания работоспособности системы обработки информации или повышения эффективности ее использования в процессе выполнения прикладных программ", весьма формально и не вносит ясности. Более точное определение можно прочитать в Википедии: "Системное программное обеспечение - комплекс программ, которые обеспечивают управление компонентами компьютерной системы, такими как процессор, оперативная память, устройства ввода-вывода, сетевое оборудование, выступая как "межслойный интерфейс", с одной стороны которого аппаратура, а с другой - приложения пользователя". К такому ПО можно отнести операционные системы, утилиты, системы программирования (средства разработки), системы управления базами данных, широкий класс связующего (технологического) программного обеспечения. А так же СЗИ реализующие на системном уровне (уровне ядра), защиту операционной системы или подмену его штатных механизмов. Большинство СЗИ, необходимых для построения системы защиты ПДн, можно отнести к системному ПО.
Там же в Википедии: "Прикладная программа или приложение - программа, предназначенная для выполнения определенных пользовательских задач и рассчитанная на непосредственное взаимодействие с пользователем. В большинстве операционных систем прикладные программы не могут обращаться к ресурсам компьютера напрямую, а взаимодействуют с оборудованием и проч. посредством операционной системы." Другими словами, это то ПО с помощью которого и происходит обработка ПДн. Как правило, эти программы имеют, пусть не такой широкий как операционные системы, арсенал средств (механизмов) защиты. К таким программам можно отнести: офисные пакеты, бухгалтерские программы, CRM-системы и пр. Количество таких программ в Реестре не та велико.
Для систем третьего и четвертого уровней защищенности контроль НДВ программного обеспечения не требуется.
Следующим аспектом выбора, является сопоставление класса защиты СЗИ и уровня защищенности ИСПДн. Как уже отмечалось выше, в настоящее время в сертификатах, а соответственно и в Реестре, не указывается применимость СЗИ для соответствующего уровня защищенности. Не смотря на то, что в части сертификатов выписанных до 2013 года присутствовала запись типа, "может использоваться в ИСПДн до 3 класса включительно", это всего лишь означало, что данное средство может использоваться в составе системы защиты ИСПДн, соответствующего класса. Но какие меры защиты оно реализует, можно было понять, только уяснив, на что проходило сертификацию данное средство и прочитав на него паспорт или формуляр. Вероятно поэтому, что бы, не вводить в заблуждение пользователей, перестали делать подобные записи.
Сегодня сертификация СЗИ от НСД по линии ФСТЭК России проводиться на соответствие одного или одновременно нескольких документов:
РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (РД СВТ);
- РД "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (РД ОК);
- РД "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (РД СВТ МЭ);
- НД Требованиями к системам обнаружения вторжений (НД СОВ);
- НД Требования к средствам антивирусной защиты;
- Технические условия (ТУ).
В документах, за исключением ТУ, СЗИ проранжированы по классам. В каждом документе введена своя шкала защищенности, где первый класс присваивается наиболее защищенным СЗИ, точнее тем, которые проходили испытания по самым жестким условиям, и соответственно, с увеличением порядкового номера класса требования к испытаниям СЗИ смягчаются. Обратную нумерацию имеют только СЗИ сертифицированные в РД ОК (ГОСТ Р ИСО/МЭК 15408), в РД предусмотрено 7 классов уровней доверия (ОУД), где за самый низкий уровень первый -ОУД1. До недавнего времени, выбор документа, на который сертифицируется СЗИ, было правом Заявителя. Большинство СЗИ сертифицировались на РД СВТ и ТУ, незначительная часть проходило испытания по "общим критериям". И только межсетевые экраны, антивирусы и системы обнаружения вторжений обязаны были сертифицироваться на одноименные документы.
Указания о применимости сертифицированных СЗИ содержаться непосредственно в Приказе ФСТЭК России:
А) для обеспечения 1 и 2 уровней защищенности персональных данных применяются:
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена.
б) для обеспечения 3 уровня защищенности персональных данных применяются:
средства вычислительной техники не ниже 5 класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной сиcтемы с информационно-телекоммуникационными сетями международного информационного обмена.
в) для обеспечения 4 уровня защищенности персональных данных применяются:
средства вычислительной техники не ниже 6 класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;
межсетевые экраны 5 класса.
Определившись с формальными признаками СЗИ: доступность на рынке; актуальность сертификата; наличие контроля НДВ (при необходимости); класс защищенности, теперь можно сосредоточиться на его функциональных характеристиках. Как правило, название СЗИ, в лучшем случае, только, в общем, может говорить о назначении средства защиты, за броским наименование, типа Security Point, может находиться все что угодно, каким либо образом связанное с безопасностью. Для того что бы реально понять его возможности, необходимо внимательно прочитать не только заявленные на сайте производителя функциональные характеристики, но и область (условия) применения и ограничения, указанные в эксплуатационной документации и сертификате. Например: "соответствует 3 СВТ с ограничениями" – это свидетельствует о неполном соответствии по каким-либо причинам требованиям РД для соответствующего класса или особым условиям применения СЗИ. Как правило, ограничения приводятся на оборотной стороне Сертификата. Например, для большинства сертифицированных продуктов Microsoft имеются ограничения по применению. В частности, для MicrosoftWindowsXPSP3 в Сертификате записано:
1. При использовании операционной системы должны соблюдаться условия, определенные для среды функционирования в Задании по безопасности MS.Win_XP_SP3.ЗБ.
2. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по безопасной настройке и контролю сертифицированной версии. Microsoft® Windows® XP Professional Service Pack 3".
3. Операционная система Microsoft® Windows XP Professional Service Pack 3 должна пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
4. На операционную систему должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
В данном случае это всего лишь напоминание очевидных мер при эксплуатации СЗИ. Но имеются и существенные ограничения, которые например: предписывают использовать средства защиты в комплексе с какими либо дополнительными СЗИ, задействовать только частичный функционал или устанавливать на ограниченный ряд операционных систем.
Важным моментом является область охвата СЗИ реализуемых мер защиты. Защита может быть построена с использованием узкоспециализированных СЗИ, закрывающих одну или несколько мер. Или с использованием комплексных средств типа SecretNet, DallasLock, Аккорд и пр. подобных. Как правило, специализированные средства обладают большей защищенностью и функциональностью. Однако система защиты, построенная на "зоопарке", пусть даже брендовых, СЗИ создаст массу проблем при ее эксплуатации.
Комплексные средства специально разрабатывались для покрытия базовых требований Руководящих документов Регуляторов, пусть даже написанные еще в середине 90-х годов. При наличии одного такого СЗИ и антивируса можно было уже аттестовать автономную АРМ и даже локальную сеть. С выходом последних Приказов ФСТЭК России, меры защиты были подвергнуты существенной актуализации и их количество в несколько раз увеличилось, кроме того, теперь оператор самостоятельно должен адекватно оценивать угрозы и риски, и при необходимости их усиливать. Такой подход, расширил требования к функционалу СЗИ, и для целого ряда мер потребовались дополнительные средства защиты, такие средства анализа защищенности, резервного копирования и восстановления и пр.
Иначе выглядят сертифицированные современные операционные системы. Количество заложенных механизмов защиты значительно шире требований не только РД АС и РД СВТ, но и перечня технических мер, уже перечисленных в Приказах № 21 и # 17. Безусловно, сегодня невозможно на одной лишь операционной системой построить легитимную систему защиты ИСПДн, но максимально широко закрыть требования реально. В общем виде перечень мер защиты для 3 уровня защищенности ИСПДн и их реализация при помощи сертифицированной операционной системы Microsoft Windows 7 и приведена в таблице.
| Требования к ИСПДн 3 уровня защищенности | Средства (механизмы), обеспечивающие выполнение требования |
|---|---|
|
1. Идентификация и аутентификация субъектов и объектов доступа. 2. Управление правами и привилегиями субъектов и объектов доступа. |
Реализуется с помощью установки соответствующих параметров безопасности механизмов "Идентификации и аутентификации" при настройке операционной системы на сертифицированную конфигурацию для пользователей домена (для сетей ЭВМ) и локальных пользователей (на уровне автономных рабочих мест)..В случае использования других элементов общего программного обеспечения (SQL Server, ExchangeServer и др.) дополнительно используются их встроенные механизмы "Идентификация и аутентификация" и "Защита данных пользователя", а также организационные меры. |
|
3. Запуск только разрешенного к использованию в ИС ПО. 4. Исключение несанкционированного доступа к машинным носителям и хранящимся на них ПДн. |
Настройка системы регистрации и разграничения прав Windows (функция AppLocker Windows 7/2008R2) |
| 5. Сбор, запись, хранение и защита информации о событиях безопасности | Использование механизмов "Аудит безопасности" и "Защита данных пользователя" Windows. Контролируется с использованием журнала событий ОС и другого ПО Microsoft. |
| 6. Антивирусная защита | Использование антивируса Microsoft Forefront или антивирусов других производителей |
| 7. Обнаружение (предотвращение) вторжений | Настройка "Защитника Windows" и (или) использование сторонник СОВ |
| 8. Контроль (анализ) защищенности информации | Применение программ Check из состава пакета сертифицированного ПО |
| 9. Обеспечение целостности ИС и информации | Выполняется встроенными средствами ОС, дополнительно контролируется программой "Check". |
| 10. Обеспечение доступности информации | Использование механизмы архивации и воcстановления Windows |
| 11. Защита среды виртуализации | Использование виртуализации Hyper-V из состава сертифицированных версий Windows server 2008/2008R2 |
| 12. Защита ИС, ее средств, систем связи и передачи данных | Реализуется использованием МЭ Microsoft ISA Server 2006 Standard Edition, сертифицированного по 4-му классу согласно РД МЭ. |
| 13. Выявление инцидентов и реагирование на них | Настройка "Политик расширенный аудит" Windows |
| 14. Управление конфигурацией информационной систем и системы защиты персональных данных (УКФ) | Настройка параметров Политик безопасности/Групповых политик безопасности Windows. Применение шаблонов безопасности. Контроль. Аудит и настройка параметров безопасности при помощи программ Check из состава пакета сертифицированного ПО |
Как видно базовые меры закрываются штатными механизмами операционной системы Microsoft Windows 7. Подобным набором механизмов защиты обладают и сертифицированные Linux операционные системы, например: ROSA, МСВСфера.
Еще одним очевидным преимуществом использования встроенных средств (механизмов) защиты является гарантия полной совместимости, устойчивости и быстродействия их работы в составе автоматизированных систем.
Не маловажным фактором является цена решений, при построении систем безопасности на базе встроенных механизмов защиты операционных систем и прикладного ПО, затраты сводятся, в основном, к процедуре проверки соответствия (верификации) установочных дистрибутивов и поддержанию сертифицированных параметров развернутого ПО в процессе эксплуатации. Для построения таких систем не обязательно приобретение нового программного обеспечения, верификации может подлежать имеющееся у пользователя лицензионное ПО. В этом случае, необходимо только его верифицировать (проверить), доукомплектовать необходимой документацией и специальным программным обеспечением, произвести настройку в соответствии с прилагаемым Руководством.
Можно самостоятельно попытаться сертифицировать любое выбранное СЗИ, удовлетворяющее, по Вашему мнению, требованиям руководящих документов ФСТЭК России. В соответствии с Положением о сертификации средств защиты информации (Приказ Гостехкомиссии России № 199 от 27.10.1995), Вам потребуется выступить в роли Заявителя – согласовать со ФСТЭК России ЗБ, ТУ или иной определяющий требования к СЗИ документ, предоставить в Испытательную лабораторию комплект необходимой конструкторской и эксплуатационной документации, образец СЗИ, оплатить все расходы по сертификации. При этом, Вы должны быть лицензиатом ФСТЭК России на деятельность по разработке и производству СЗИ.
В заключениеВ данной статье невозможно описать все положения руководящих и нормативных документов ФСТЭК России, все особенности выбора и применения сертифицированных СЗИ. В частности, не рассмотрены вопросы применения криптографических средств защиты, защиты ГИС, сертификация СЗИ для применения в высших органах власти и многое другое. Однако, в ней на наш взгляд. затронуты ключевые моменты, на которые в первую очередь следует обратить внимание при выборе средств защиты.
Если Вы не нашли ответа на свой вопрос, или Вам необходимо посоветоваться со специалистами – свяжитесь с нами, мы постараемся Вам помочь.
На сайте Роскомнадзора вывешивают в декабре плановые проверки на следующий год. Начинали с иностранных соцсетей, сейчас в очереди банки и ряд компаний на Дальнем Востоке. Не у всех всё гладко, а проверки подбираются близко. В результате это породило некоторую заинтересованность к переездам в аттестованное облако, поэтому хотелось бы рассказать подробнее про то, что может предстоять по ФЗ-149 и 152.
А ещё я видел, как аттестацию на соответствие ФЗ-152 делают по ошибке. Ниже поясню, почему она не всегда нужна.
Сейчас далеко не все понимают, что необходимо делать при развёртывании инфраструктуры не у себя в виде стойки. Российский рынок не сильно подкован в вопросах переезда в облако. Крупные госзаказчики интуитивно понимают, что облачные технологии (в частности гособлако) им необходимы, но не понимают, что нужно для этого сделать. У нас всё готово для таких ситуаций, есть специальный центр компетенций по информационной безопасности. Платформа аттестована по требованиям безопасности информации и позволяет размещать ГИС и ИСПДн, к которым предъявляются наивысшие требования по защите информации, остаётся только аттестовать решение клиента. С нашей помощью это обычно проходит за 2–3 месяца, что гораздо быстрее (самостоятельно это занимает обычно 6 месяцев).
Давайте рассмотрим такую процедуру на примере.
Предположим, вы медицинская компания, которая очень охраняет персональные данные пациентов.
Короткий ликбез про то, чем лицензирование отличается от сертификации и аттестации:
- Сертифицируются средства защиты (софт и железо), сертификаты получают производители у ФСБ и ФСТЭК. Такой сертификат, например, говорит, что криптография разрешена, закладок в ПО нет, стандарты для России соблюдаются.
- Аттестуется готовый объект, собранный с использованием сертифицированных «деталей». Аттестация - это подтверждение, что объект информатизации выполняет набор мер, и правильно. То есть конструктор собран верно. Аттестат выдают лицензиаты ФСТЭК.
- Лицензируется деятельность по ИБ. Например, мы, Техносерв, являемся одним из лицензиатов ФСТЭК и можем выдавать аттестаты из пункта выше.
Сначала оценивается уровень значимости информации и возможного ущерба, масштаб информационной системы. Для медицинской системы назначается Класс защищённости (К 1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
Персональные данные регулируются ФЗ-152. Организации, являющиеся операторами по обработке персональных данных граждан Российской Федерации, обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
| Обрабатываемые ПДн |
Объём ПДн |
Тип актуальных угроз |
||
| Угрозы 1-го типа |
Угрозы 2-го типа |
Угрозы 3-го типа |
||
| |
Более 100 тыс. |
|
|
|
| Менее 100 тыс. |
|
|
|
|
| |
|
|
|
|
| Биометрические ПДн |
|
|
|
|
| |
Более 100 тыс. |
|
|
|
| Менее 100 тыс. |
|
|
|
|
| |
|
|
|
|
| Общедоступные ПДн |
Более 100 тыс. |
|
|
|
| Менее 100 тыс. |
|
|
|
|
| Общедоступные ПДн сотрудников оператора |
|
|
|
|
Чем выше определён Уровень защищённости ПДн, тем больше мер по обеспечению безопасности персональных данных требуется выполнить для нейтрализации угроз безопасности ПДн. Если по ошибке определить более высокий уровень защищённости, то, соответственно, придётся строить более дорогую систему защиты ПДн. Если определить более низкий уровень защищённости, то это приведёт к нарушению требования законодательства.
Кроме того, требуется ещё ряд защитных мер. Вот, например, таблица соответствия нашего облака «из коробки» без доделок под конкретного клиента:
| Параметр сегмента |
Защищенный |
Закрытый |
| Среда виртуализации |
OpenStack-KVM, VMware |
|
| Назначение |
Размещение информационных систем, не предъявляющих специализированных требований к информационной безопасности. Размещение информационных систем компаний и организаций, в том числе участвующих в процессах обработки данных держателей банковских карт |
Размещение государственных информационных систем (ГИС) и информационных систем персональных данных (ИСПДн) с наивысшими требованиями к информационной безопасности |
| Соответствие законодательству РФ по информационной безопасности |
● Приказ ФСТЭК России №21 ● Payment Card Industry Data Security Standard (PCI DSS) - стандарт безопасности данных индустрии платёжных карт; ● Положение Банка России №382-п «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»; ● Стандарт Банка России (СТО БР ИББС) |
● Приказ ФСТЭК России №17 ● Приказ ФСТЭК России №21 ● Закон РФ №149-ФЗ ● Закон РФ №152-ФЗ ● Закон РФ №242-ФЗ |
| Сертификация / Аттестация |
Сертификат соответствия (в качестве сервис-провайдера) требованиям Стандарта безопасности данных индустрии платёжных карт (PCI DSS) |
Аттестат соответствия инфраструктуры сегмента «Закрытый» требованиям по защите информации для размещения информационных систем и систем, обрабатывающих персональные данные до 1-го класса/уровня защищённости |
| Информационная безопасность |
Применяемые средства защиты позволяют выполнить следующие требования, предъявляемые: ● к информационным системам персональных данных до 3-го уровня защищённости включительно; ● стандартом PCI DSS; ● Положением Банка России №382-П |
Применяемые средства защиты позволяют выполнить требования, предъявляемые: ● к информационным системам до 1-го класса защищённости включительно; ● к информационным системам персональных данных до 1-го уровня защищённости включительно. Применяемые аппаратные и программные средства обеспечения информационной безопасности обладают сертификатами ФСТЭК России и/или ФСБ России |
| Физическая безопасность |
● видеонаблюдение; ● сейфовые стойки |
Обеспечение физической безопасности ИТ-инфраструктуры: ● контроль и управление доступом в дата-центр; ● охранно-пожарная сигнализация; ● автоматическое пожаротушение; ● видеонаблюдение; ● сейфовые стойки |
| Сетевой доступ |
● Публичный Интернет; ● Через защищённое VPN-подключение поверх публичного Интернета (IPSec VPN - реализуется программными средствами платформы виртуализации); ● VPN канал |
● Через отдельный, защищённый аппаратными средствами криптографической защиты канал связи; ● Через защищённое VPN-подключение поверх публичного Интернета (IPSec VPN с криптозащитой по ГОСТ |
Информационная безопасность в облаке начинается с защиты периметра, защиты от DDoS с помощью внешнего центра очистки или подключения к провайдерам с необходимыми возможностями, а также состоит из предоставления и организации доступа и заканчивается разделением сетей.
Теперь, если вы негосударственная медорганизация, всё гораздо интереснее. Во-первых, надо разобраться, обрабатываете ли вы персональные данные. Простая формула такая:
{Ф. И. О. + дата рождения + адрес местожительства} = персональные данные
{Ф. И. О.} или {дата рождения} или {адрес местожительства} ≠ персональные данные
Факторов и сочетаний больше, поэтому надо сначала сделать оценку. Потом надо решить, нужна ли вам аттестация по защите персональных данных или нет. Для негосударственных коммерческих компаний она необязательная, проходится по желанию оператора. Но при этом ФСТЭК напоминает, что по ФЗ-152 должна регулярно проводиться оценка эффективности мер защиты персональных данных. Аттестация считается за такую оценку. То есть можно её не делать, но придётся делать другую процедуру оценки, поэтому многие её проходят, чтобы сразу и наверняка. Ещё одна причина - по ошибке, не разобравшись в требованиях. Третья причина - для самоконтроля, чтобы убедиться, что защита реально по нормативу, - в ФЗ-152 прописаны в целом очень здравые вещи. Здесь к нам иногда приходят просто потому, что мы заведомо умеем защищать системы с самым высоким классом защищённости и имеем инфраструктуру для этого.
Что делать до переезда?
Прежде чем переезжать в облачную инфраструктуру, особое внимание необходимо уделить вопросам тестирования. Именно на этом этапе у заказчика должно сложиться реальное представление о том, как само облако и сопутствующие услуги работают.Тестирование нужно функциональное и нагрузочное. В результате функционального тестирования заказчик должен убедиться, что всё работает так, как он ожидает. В результате нагрузочного тестирования заказчик должен убедиться, что всё это ещё и не падает.
При первоначальной оценке инфраструктуры для тестирования рекомендуется использовать 1/10 часть от боевой. Например, надо взять 10 виртуалок вместо сотни и попробовать потестировать. Сценарии тестирования всегда совместно с заказчиком обсуждаются.
Что делать, если мы попали? В список на проверку?
Как правило, если заказчик попадает в список Роскомнадзора, то либо его уведомляют о внеплановой проверке, либо времени на детальные тесты уже нет. Вот типы проверок:- О плановых проверках Роскомнадзор предупреждает заранее. Как правило, не менее чем за три рабочих дня по почте или факсом отправляется уведомление с копией приказа о грядущем мероприятии. Узнать о запланированных проверках юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей можно на официальном сайте Роскомнадзора.
- Внеплановые проверки чаще всего проводятся по жалобам, полученным от физических лиц. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
- Документарные проверки. Вид проверок, при которых Роскомнадзор запрашивает список документов, копии которых необходимо предоставить в территориальный орган Роскомнадзора.
- Выездные проверки. При выездной проверке проводится инспектирование на местах, когда в организацию приезжают представители РКН (как правило, несколько человек). Происходит проверка на предмет соответствия требованиям ФЗ-152.
Поскольку платформа уже аттестована, это сильно снижает объем трудозатрат по выполнению требований законодательства по защите информации. В нашем облаке применяются все необходимые периметровые средства защиты (межсетевые экраны, средства обнаружения и предотвращения вторжений и атак, криптошлюзы) и средства защиты среды виртуализации. Соответственно, при проверке клиент может указать, что большинство функций по защите информации выполняет Техносерв, а мы готовы предоставить все необходимое для подтверждения этого.
В такой ситуации мы не получаем доступ к самим ПДн и платёжным данным, поэтому клиенту нужно самостоятельно пройти аттестацию. Но мы предоставляем все документы от платформы, а также помогаем оперативно разработать комплект документации для аттестации информационной системы, и поэтому это делается относительно просто и с первого раза. Сегмент облака аттестован по информационным системам до 1-го уровня, включая госсистемы. Инфраструктура изолирована от публичного облака - фактически получается виртуальное частное облако. Все средства защиты сертифицированы ФСТЭК и ФСБ.
То есть 80% работы мы уже сделали.
Компетенцию информационной безопасности мы предоставляем как аутсорсинг. Можно делать это самостоятельно, но за счёт большого опыта внедрений мы можем обеспечить очень сжатые сроки.
Архитектура
Вот два примера архитектуры расположения инфраструктуры в облаке. Они отличаются тем, собственный ли комплекс DDoS-защиты у организации или используется наш, поставляемый с платформой. Примерно таким же образом можно подойди к другим компонентам и средствам защиты информационной безопасности.
Хронология работ без спешки
- Обследовать системы заказчика, определить требования к инфраструктуре и мерам защиты - 2 недели.
- План переезда и техдокументация - 2–3 недели.
- Новая организационно-распорядительная документация - 2 недели.
- Миграция систем - до 3 недель.
- Документы по аттестации и прохождение аттестации - ещё 2–3 недели.
Для обработки личных данных существует специальная программа - Информационная система персональных данных. В связи с тем, что в последнее время участились угрозы безопасности персональных данных в информационных системах, на операторов, которые работают с личными сведениями о гражданах, накладываются обязательства по обеспечению конфиденциальности этой информации.
Безопасность
Все сведения, обрабатываемые специалистами, заносятся не только в компьютерные носители, но и в специальные ведомости. Для защиты всех зафиксированных сведений от посягательств на конфиденциальные данные, а также для того, чтобы своевременно отреагировать на реальные и потенциальные угрозы со стороны третьих лиц, российским Правительством был разработан специальный нормативный документ. Он получил название «Методика определения актуальных угроз безопасности персональных данных».
Одним из основных понятий в документе является «безопасность». Согласно нормам соответствующего федерального закона № 390 от 28 декабря 2010 года, безопасность - это состояние, когда важные для жизни и здоровья интересы и права человека, общества и всего государства защищены от разных типов угроз.
Положения этого нормативного правового акта определяют также, что к объектам безопасности относятся люди, их права, интересы и свободы, сохранение и развитие общества, конституционные основы государства.
Так как личные сведения неотделимы от человека, угрозы безопасности персональных данных также являются видами посягательств на интересы граждан и страны в целом. Поэтому защита связанной с личностью информацией косвенно закреплена в указанном законе и является одним из стратегических направлений развития общества.
Угрозы
В общем смысле, угрозами считается совокупность факторов и условий, создающих опасность важным для жизни интересам граждан, общества и всего государства, и снижающих степень безопасности.
В разработанной Правительством методике определения актуальных угроз безопасности персональных данных дано соответствующее определение в отношении сведений о субъектах. Угрозы безопасности информации личного характера - перечень факторов и условий, которые создают опасность намеренного или случайного несанкционированного характера к данным, относящимся к категории персональных.
В результате проникновения может произойти изменение, уничтожение, распространение или копирование личных данных гражданских лиц, что влечет возникновение непредсказуемых последствий.
Также законодательство в отдельном порядке определяет сущность актуальных угроз безопасности персональных данных. Под ними подразумевается реализация различными способами полученных из конкретной Информационной системы сведений о человеке (людях) и распространение ее на российской территории. Запрет на хранение данных за пределами Федерации установлен соответствующим законом № 152 от двадцать седьмого июля 2006 года в восемнадцатой статье.
Положения соответствующих норм об определении актуальных угроз безопасности персональных данных и 19 статья закона № 152 провозглашают необходимость защиты личных сведений от случайного или намеренного неправомерного доступа. Кроме того, указанные положения определяют важность защиты информации от изменения, уничтожения, копирования, блокирования или распространения, а также от других действий неправомерного характера.
Различные типы угроз безопасности персональных данных при их обработке в определенной информационной системе в некоторых случаях являются не только предметом посягательства извне, но и результатом непреднамеренных действий сотрудников соответствующей компании или потребителей, которые пользуются услугами, которые эта организация предоставляет.
В одних случаях граждане используют полученные сведения по прямому назначению, не преследуя цели нарушить принцип неприкосновенности частной жизни какого-либо человека. В других случаях речь идет о получении данных с помощью неправомерных действий, осуществляемых отдельными гражданами и организациями, криминальными сообществами, иностранными государствами или источниками иных типов.
Различные типы актуальных угроз безопасности персональных данных способны возникать из-за утечки личной информации по каналам технического направления. Такие каналы могут специально создаваться для сбора конфиденциальных сведений, которые обрабатываются в специально приспособленной для этого системе. Также они могут являться средством перехвата передаваемой по связанным каналам информации. Кроме того, некоторые субъекты создают для неправомерного использования чужих сведений специальные каналы речевой (акустической) информации.
Помимо технических каналов в качестве средства кражи чужой информации может применяться несанкционированный доступ с использованием необходимого программного обеспечения.
Чтобы представить детально все угрозы, которые связаны с утечкой личной информации по каналам технического направления, рассматриваемая Методика устанавливает базовую модель угроз безопасности персональных данных. Этот подраздел рассматривает не только виды внешних вторжений, но и их подробную характеристику.
На основании рассмотрения типа актуальных угроз безопасности персональных данных выявляются каналы утечки личных сведений, разрабатываются методические документы и нормативы специальным органом - Федеральной службой по техническому и экспертному контролю в Российской Федерации.
Источниками различных угроз, осуществляемых путем несанкционированного получения доступа к перечню сведений личного характера с использование штатной или специально созданной программы, являются конкретные субъекты. К ним относятся лица, нарушающие своими действиями регламентируемые в системе обработки и защиты персональных сведений правила по разграничению доступа к конфиденциальной информации.
Согласно методике определения актуальных угроз безопасности персональных данных, субъектами, неправомерно получающими доступ к личным сведениям, являются:
- нарушители;
- носители вредоносных программ;
- аппаратные закладки.
Нарушители - физические лица, преднамеренно или случайно совершающие действия, из-за которых нарушается безопасность персональных данных при обработке этих сведений с помощью технических средств в информационной системе.
Нарушители, применяющие различные модели угроз безопасности персональных данных, разграничиваются по наличию права на легальный доступ в помещение, в котором размещено соответствующее аппаратное средство (которое обеспечивает доступ к ресурсу с личной информацией). По этому критерию выделяют два вида субъектов:
- Нарушители внешнего типа - лица, у которых нет доступа к конфиденциальным сведениям. Угрозы осуществляются ими из внешних источников связи, применяемых для общего пользования сетей, используемых для информационного международного обмена.
- Нарушители внутреннего типа - лица, у которых имеется доступ к конфиденциальным сведениям. Также в эту группу входят пользователи систем обработки личных данных, которые совершают неправомерные действия с информацией, находясь в этой системе.
Если речь идет о хранении персональных сведений в системе, которая осуществляет работу в удаленном режиме, нарушителями внешнего типа будут лица, у которых имеется возможность произвести неправомерный доступ к конфиденциальным сведениям при помощи специального программного воздействия с использование межсетевых протоколов взаимодействия.
Оно заключается в создании и использовании программной или алгоритмической закладки через автоматизированное рабочее место или терминальное устройство системы обработки данных, если эти устройства подключены к общим сетям доступа.
Если имеет место использование личной информации внутренним нарушителем, решающую роль играет установленный порядок допуска сотрудников к ресурсам информационной системы обработки личных данных и типы мер, применяемых в организации для контроля за порядком проведения соответствующих работ.
Каждая из рассмотренных субъектов угроз и возможные действия с их стороны раскрываются по соответствующей методике определения актуальных угроз безопасности персональных данных.
Обнаружение угроз осуществления несанкционированного доступа к личной информации, которое реализуется с помощью средств программного и программно-аппаратного типов, проводится на основе экспертных методов. К ним относятся опросы специалистов и персонала, осуществляющих работу в системе обработки персональных данных, а также соответствующих должностных лиц.
Проведение проверок может сопровождаться использованием специальных инструментальных средств (например, сетевого сканера), позволяющих подтвердить наличие и местонахождение уязвимых областей в программном и аппаратном обеспечении системы работы с конфиденциальными сведениями. По итогу проверок составляются опросные листы специального типа.
Наличие любой из рассмотренных в Методике потенциальных угроз, а также обнаружение уязвимой точки, которую можно использовать для осуществления несанкционированного вторжения, подтверждает факт наличия угрозы. На основе составленного письменного опроса с указанием перечня источников возможных угроз персональным данным и месторасположения проблемных звеньев, определяются основные условия для существования угроз в анализируемой системе, а затем составляется полный перечень актуальных угроз безопасности данных персонального типа.
Классификации опасностей
Согласно документам, раскрывающим основные положения об определении угроз безопасности персональных данных актуального и потенциального типов, опасности, грозящие личной информации извне, могут классифицироваться по следующим основаниям:
- по местам возникновения: внутренние и внешние;
- по мотивам осуществления: злонамеренные и случайные;
- по степени законченности: незавершенные и реализованные;
- по объектам воздействия: направленные на часть системы использования персональных сведений и на те, которые намереваются воздействовать на весь комплекс.
Каждая из рассмотренных групп может включать в себя актуальные и потенциальные угрозы. Если оператором системы установлено, что имеет место даже возможная угроза, он обязан предпринять все необходимые для защиты информации действия.
Определение типа потенциально опасных угроз
Угрозы безопасности конфиденциальных данных выявляются с помощью разработанных специалистами компьютерной сферы алгоритмов. Учету и проверке подлежат два фактора:
- степень защищенности проверяемой системы;
- частоты использования указанного фактора (вероятность угрозы).
В первую очередь проводится проверка имеющейся степени защищенности конкретной информационной компьютерной сети. По итогам проверки оформляется отчет с использованием обобщенных показателей.
Степень защищенности системы и применяемые критерии оценки зависят от конкретных эксплуатационных и технических характеристик. Проверка проводится по трем критериям:
- по территории размещения;
- по наличию выхода в сеть Интернет (соединения с общими сетями доступа);
- по легальным (встроенным в программу) операциям.
Уровни защищенности по территории размещения
Согласно рассматриваемой Методике, выделяется три уровня защищенности системы обработки конфиденциальной информации:
- Низкий.
- Средний.
- Высокий.
Низкая степень защиты присваивается системам обработки персональных сведений, которые охватываются сразу несколько округов, областей, краев и иных единиц административного типа или все государство. Сюда же входят сети, которые объединяют несколько систем в пределах одного из населенных пунктов.
Средняя степень защиты присваивается корпоративным системам обработки персональных сведений, которые охватывают разные организации, собственником которых является одно юридическое лицо, и размещенные рядом здания (локальные строения).
Высокая степень защиты присваивается системам обработки персональных сведений, которые размещены только в одном здании. Такая ситуация имеет место, если в собственности владельца находится только одна организация, или у нескольких организаций разные защитные системы.
Наличие соединения с общими сетями доступа (выход в сеть Интернет)
Согласно рассматриваемой Методике, по этому параметру угрозы также рассматриваются по трем уровням защищенности системы обработки конфиденциальной информации:
- низкий;
- средний;
- высокий.
Низкая степень защиты присваивается системам обработки персональных сведений, которые используются с многоточечным выходом в общедоступные сети с одного устройства.
Средняя степень защиты присваивается системам обработки персональных сведений, использующих выход в сеть одноточечного типа.
Высокая степень защиты присваивается системам обработки персональных сведений, которые отделены от общих сетей доступа.
Наличие легальных (встроенных в программу) операций
Согласно рассматриваемой Методике, данный критерий подразумевает выделение аналогичных трех уровня защищенности системы обработки конфиденциальной информации:
- Низкого.
- Среднего.
- Высокого.
Низкая степень защиты присваивается системам обработки персональных сведений, в которых присутствуют такие операции как легальная передача (распространение) и изменение (модификация) данных.
Средняя степень защиты присваивается системам обработки персональных сведений, которые имеют три основных функции: запись, сортировка и удаление.
Высокая степень защиты присваивается системам обработки персональных сведений, в которых предусмотрены исключительно поиск и чтение.
Частота использования указанного фактора (вероятность угрозы)
Согласно Постановлению Правительства № 1119 от 1. 11. 2002 года, закрепляющему требования к защите личных данных при работе с ними в соответствующих информационных системах, актуальные угрозы подразделяются на три вида:
- угрозы, которые связаны с наличием не зафиксированных в письменном виде возможностей, осуществляемых при работе с программным обеспечением системы информации;
- угрозы, которые связаны с наличием не зафиксированных в письменном виде возможностей при работе с прикладным программным обеспечением системы информации;
- угрозы, которые не связаны с присутствием не зафиксированных в письменном виде возможностей в одном из указанных типов программного обеспечения системы информации.
Тип актуальной угрозы определяется путем сопоставления степени защищенности проверяемой системы и вероятности угрозы. Расчет производится по формуле: Y = (Y 1 + Y 2) /20.
Итоговое значение варьируется от 0 до 0,8 (от низшей степени риска до высшей). После проведения подсчетов оценивается реальной опасность угрозы с помощь опроса сотрудников информационной сферы.
Базовая модель рисков
Базовая персональных данных - это автоматизированный список рисков с приложенным к нему анализом базовых характеристик системы, указанием путей осуществления рисков и выделения типов их актуальности.
Указанный документ создается для реализации таких целей:
- Проведение последующего анализа степени защиты исследуемой системы.
- Разработка мер, которые будут препятствовать осуществлению угроз.
- Контроль за обеспечением соответствующего уровня защиты на различных этапах работы механизма.
Частная модель рисков
Частная модель угроз безопасности персональных данных создается с целью проверки конкретной системы работы с персональными сведениями. В нее входят следующие положения:
- описание изучаемой системы;
- технические и структурные особенности;
- прогнозируемые варианты проникновения (модели нарушителей);
- список уязвимостей системы обработки конфиденциальных данных;
- перечень вариантов осуществления угроз, последствия вторжения;
- анализ каждой угрозы (описание, оценка вероятности, категория актуальности и опасности).
Для разработки моделей для отдельной системы оператор персональных сведений должен проанализировать компанию путем проверки документов, которые характеризуют информацию о системе, затем изучить цель и пути сбора сведений, а также список операций, которые осуществляются с персональными данными.
Принципы модели рисков
При создании конкретной модели угроз безопасности персональных данных, образец которой дан ниже, оператор системы должен учитывать следующие принципы:
- Угрозы - действия, позволяющие не только лично осуществить несанкционированные проникновение, но и предоставить доступ другим лицам (угрозы косвенного типа).
- Система самостоятельно не может полностью обеспечить защиту от правомочных действий определенных лиц.
- В модели прописывается классификации лиц-нарушителей, итоги анализа вероятности возникновения угроз и прочие параметры, которые применяются при рассмотрении списка актуальных рисков.
- Указанный перечень прописывается в заключительных положениях составляемого документа.
Типология угроз актуального и потенциального типов должна определяться для каждой отдельной информационной системы. Все сводки и расчеты содержатся в составляемом документе исключительно в целях служебного использования. Документ позволяет разработать и провести соответствующие защитные мероприятия.
