Защита информационных систем персональных данных

1380889_26562260_eОбеспечение безопасности персональных данных при их автоматизированной обработке включает в себя  выполнение комплекса организационных и технических мероприятий (применения технических средств), в рамках системы (подсистемы) защиты персональных данных, развертываемой в ИСПДн (информационная система обработки персональных данных) в процессе ее создания или модернизации. Обоснование комплекса мероприятий и требований по обеспечению безопасности проводится с учетом результатов оценки опасности угроз и определения уровня защищенности ПДн и в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти. Как правило, данные работы успешно выполняют лицензиаты ФСТЭК России и ФСБ России.

Типовое содержание работ на стадиях проектирования и создания систем защиты персональных данных ИСПДн и требования изложены в документах:

  • ГОСТ 51583-2000. «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
  • Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 г. № 1119.
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282);
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622) и в других руководящих и нормативных документах;
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

На рисунке № 1 представлен вариант регламента по созданию системы защиты персональных данных ИСПДн. Работы, приведённые в регламенте[1], можно разделить на две основные категории, а именно: организационное обеспечение информационной безопасности и  внедрение технических мер защиты. Очевидно, что основой в обеспечении информационной безопасности персональных данных является организационное обеспечение.

В соответствии с приведённым регламентом работа по созданию системы защиты персональных данных или приведению уже существующей системы в соответствие с требованиями действующего законодательства предлагаем проводить в три этапа:

  1. Анализ защищаемых активов (технические средства обработки и обрабатываемые персональные данные) и оценка угроз безопасности персональных данных (ПДн).
  2. Проектирование и создание системы защиты персональных данных (СЗПДн).
  3. Оценка соответствия ИСПДн требованиям безопасности информации.

Первый этап является очень важным, так как он во многом определяет силы и средства, привлекаемые для реализации этапа проектирования и создания СЗПДн, и необходимость проведения оценки соответствия ИСПДн требованиям безопасности информации.

С целью систематизации проводимых работ для сложных ИСПДн (распределенных; имеющих большое количество рабочих станций; с разветвленной топологией)  первый этап предлагается разделить на три подэтапа или выделить в три самостоятельных этапа:

  1. Предпроектное обследование.
  2. Установления уровня защищённости ПДн.
  3. Разработка технического задания (ТЗ).

ЭТАП 1. Приказом по организации назначить подразделение или лицо ответственное за обеспечение безопасности ПДн при обработки их в ИСПДн и образовать комиссию с целью сбора и оценки сведений об ИСПДн. В соответствии со статьей 22.1 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» назначить лицо, ответственное за организацию обработки персональных данных в организации.

Председателем комиссии целесообразно назначить кого – либо из первых заместителей руководителя организации, начальника службы безопасности организации или руководителя кадровой службы организации. В состав комиссии рекомендуется включить главного бухгалтера, руководителей подразделений, обрабатывающих персональные данные, представителей кадровой службы, специалистов (инженеров) по компьютерным технологиям, а также сотрудников, отвечающих за безопасность персональных данных при их обработке в ИСПДн. В состав комиссии на договорной основе можно включить сотрудников со специальным образованием в области защиты информации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации. Целью работы комиссии является определение защищаемых активов, а именно: технических средств обработки информации; перечня ПДн; применяемых средств защиты информации; используемых телекоммуникаций; систем обеспечения электропитания и заземления; персонала, имеющего доступ к защищаемым активам.

pd1

Рисунок 1

Результатом работы данной комиссии должна быть разработка проектов документов и сбор материалов для описания ИСПДн:

  1. Перечень ПДн, обрабатываемых в ИСПДн, и степень их конфиденциальности;
  2. Технический паспорт, в котором указано:
    • расположение ИСПДн относительно границ контролируемой зоны;
    • конфигурация и топология ИСПДн в целом и ее отдель­ных компонент;
    • физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назна­чения;
    • технические средства и системы, предполагаемые к ис­пользованию в разрабатываемой ИСПДн, условия их расположения, обще­системные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
    • режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах.
  3. Степень участия персонала в обработке ПДн, характер их взаимодействия между собой (матрица доступа).

ЭТАП 2. Этап, на котором устанавливается уровень защищённости ПДн, может быть совмещен с этапом проведения предпроектного обследования. Однако мы рекомендуем классификацию провести после анализа и изучения материалов 1 этапа. Это обусловлено тем, что присвоенный уровень защищенности ПДн ИСПДн является основой для выработки требований к создаваемой системе защиты персональных данных и в дальнейшем существенно определяет материальные затраты, необходимые для реализации этих требований.

Результаты проведения классификации оформляются актом. Форма акта нормативно-методическими документами не установлена. Акт классификации составляется по форме, принятой в организации. В нем отражаются следующие параметры об ИСПДн:

  • Категория, обрабатываемых персональных данных
  • Тип информационной системы
  • Значение объема обрабатываемых персональных данных в ИСПДн
  • Тип актуальных угроз ИСПДн
  • Структура ИСПДн (количество автоматизированных рабочих мест, серверов, входящих в состав ИСПДн)

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится Оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных». Модель угроз формируется исходя из конкретных условий функционирования ИСПДн. Методическими документами для разработки являются:

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных», утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн», утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/54-144.

Модель угроз позволяет выявить актуальные угрозы безопасности и сориентировать на них систему защиты. Неактуальные угрозы в дальнейшем могут не рассматриваются.

Оценка актуальности той или иной угрозы определяется в зависимости от значения показателя опасности угрозы и от возможности ее реализации. Квалифицированное составление модели угроз имеет большое значение для организации. Именно от этого зависит выбор необходимых и достаточных способов защиты информационной системы, подбор средств защиты информации, а, следовательно, конечная стоимость всех работ по обеспечению безопасности персональных данных.

По результатам анализа вышеприведенных данных информационной системе в соответствии с требованиями Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»  присваивается один из уровней защищенности ПДн: первый, второй, третий, четвертый. При присвоении уровня защищенности ИСПДн рекомендуется указывать режимы обработки персональных данных и разграничения прав доступа, наличие подключений ИСПДн к сетям общего пользования.

Условия установления уровня защищённости приведены в таблице № 1.

Таблица 1. Определение уровня защищенности ИСПДн

Уровень защищенности ПДн Тип актуальных угроз Категория ПДн Принадлежность ПДн Объем
1 1 – угрозы наличия недекларированных возможностей в системном ПО Специальные
Биометрические
Иные
2 – угрозы наличия недекларированных возможностей в прикладном ПО Специальные субъекты, не являющиеся сотрудниками оператора >100 000
2 1 – угрозы наличия недекларированных возможностей в системном ПО Общедоступные
2 – угрозы наличия недекларированных возможностей в прикладном ПО Специальные субъекты, являющиеся сотрудниками оператора
Специальные субъекты, не являющиеся сотрудниками оператора <100 000
Биометрические
Общедоступные субъекты, не являющиеся сотрудниками оператора >100 000
Иные субъекты, не являющиеся сотрудниками оператора > 100 000
3 – угрозы, не связанные с наличием недекларированных возможностей в прикладном и системном  ПО Специальные субъекты, не являющиеся сотрудниками оператора > 100 000
3 2 – угрозы наличия недекларированных возможностей в прикладном ПО Общедоступные субъекты, являющиеся сотрудниками оператора
Общедоступные субъекты, не являющиеся сотрудниками оператора < 100 000
Иные субъекты, являющиеся сотрудниками оператора
Иные субъекты, не являющиеся сотрудниками оператора < 100 000
3 – угрозы, не связанные с наличием недекларированных возможностей в прикладном и системном  ПО Специальные субъекты, являющиеся сотрудниками оператора
Специальные субъекты, не являющиеся сотрудниками оператора < 100 000
Биометрические
Иные субъекты, не являющиеся сотрудниками оператора > 100 000
4 3 – угрозы, не связанные с наличием недекларированных возможностей в прикладном и системном  ПО Общедоступные
Иные субъекты, являющиеся сотрудниками оператора
Иные субъекты, не являющиеся сотрудниками оператора < 100 000

 

ЭТАП 3. На третьем этапе разрабатываются требования по обеспечению безопасности ПДн при обработке в ИСПДн. Рекомендуется привлекать специализированные организации, имеющие лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Мероприятия (требования) по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с уровнем защищённости ПДн. Данные мероприятия определены в методических документах ФСТЭК России и ФСБ России.

Результатами данного этапа является выработка требований к системе защиты персональных данных. Эти требования могут быть изложены в виде технического задания на разработку системы защиты персональных данных.

ЭТАП 4. На этапе проектирования и создания системы защиты ПДн проводятся мероприятия по разработке технического проекта на ИСПДн в части защиты информации, установка и настройка в соответствии с проектом сертифицированных технических, программных и про­граммно-технических средств защиты информации, разработка и реализация разрешительной системы доступа пользовате­лей к обрабатываемой на ИСПДн информации, определение подразделений и назначение лиц, ответственных за экс­плуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн, разработка эксплуатационной документации на ИСПДн, а также организационно-распорядительной документа­ции системы менеджмента информационной безопасностью (приказов, инструкций и других документов).

В ходе выполнения работ формируется вся необходимая техническая и организационно — распорядительная документация. Минимальный комплект такой документации должен в себя включать: технический паспорт на ИСПДн, матрицу доступа, «Положение об организации и проведении работ по обеспечению безопасности ПДн при их обработке в ИСПДн», должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн, рекомендации по использованию программных и аппаратных средств защиты информации (политика настройки  средств защиты информации, установленных в ИСПДн).

При разработке Положения об организации и проведении работ по обеспечению безопасности ПДн при их обработке в ИСПДн рекомендуется учитывать положения и требования стандарта ГОСТ ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Требования». В соответствии со стандартом требуется осуществлять обеспечение информационной безопасности  на всех стадиях жизненного цикла самой информационной системы. То есть, это означает создание таких процессов,  которыми необходимо постоянно управлять. При этом процессы управления обеспечением информационной безопасности должны являться неотъемлемой составной частью процессов функционирования  ИСПДн.

ЭТАП 5. Оценка соответствия требованиям безопасности информации обязательно должна проводиться для ИСПДн, принадлежащих государственным органам, организациям и предприятиям.

При проведении оценки соответствия проводятся следующие испытания:

  • Оценка правильности классификации ИСПДн. Определение опасных факторов и угроз, снижающих уровень защиты.
  • Проверка достаточности представленных документов и соответствия их содержания требованиям по безопасности информации.
  • Проверка соответствия состава и структуры программно-технических средств ИСПДн представленной документации.
  • Оценка соответствия описания технологического процесса обработки и хранения ПДн реальной практике на ИСПДн.
  • Проверка уровня подготовки кадров и распределения ответственности персонала за обеспечение выполнения требований по безопасности информации.
  • Инструментальные испытания эффективности применяемых методов и средств защиты информации от утечки по техническим каналам.
  • Испытание ИСПДн на соответствие требованиям по защите от несанкционированного доступа к информации.

Схематично программа проведения аттестационных испытаний приведена на рисунке 2.

pd2

Рисунок 2

Накопленный опыт по созданию и внедрению систем защиты персональных данных и систем менеджмента информационной безопасностью выявил следующие проблемы:

  • Отсутствие методик оценки ущерба, возникающего вследствие реализации угроз безопасности ПДн, что позволило бы решить вопросы, связанные с компенсацией финансовых потерь от различного рода инцидентов информационной безопасности. Также важное значение приобретает вопрос возмещения ущерба населению при неправомочном использовании персональных данных. Указанные вопросы до настоящего времени не решены и должны решаться с использованием страховых механизмов на основе внедрение управления рисками и страхования ответственности операторов ИСПДн.
  • Отсутствие обязательных требований в нормативных и методических документах уполномоченных федеральных органов исполнительной власти к системам менеджмента информационной безопасностью (например, ISO/IEC 27001:2005).
  • Низкая квалификация персонала, отвечающего за обеспечение информационной безопасности ИСПДн.

В завершение подчеркнем, что обеспечение безопасности персональных данных является не правом организации, а ее обязанностью, установленной Законом «О персональных данных» и регламентированной рядом подзаконных актов. Данный блок нормативных правовых актов призван реализовать конституционные права граждан на неприкосновенность их частной жизни, личную и семейную тайну, закрепленные в ст. 23 Конституции РФ.

Таким образом, несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.