ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Решения по защите ИСПДн: гордиев узел затягивается

Решения по защите ИСПДн

Казалось бы, за четыре с лишним года с момента вступления в силу Федерального закона "О персональных данных" (далее – ФЗ-152) были проанализирована и обговорена каждая строчка закона, постановлений правительства и документов государственных регуляторов. Тем не менее ожесточенные споры по практике правоприменения норм законодательства продолжаются, и в хоре голосов нередки весьма противоречивые и даже спекулятивные утверждения. Значительная часть споров касается необходимости сертификации СЗИ и программного обеспечения, используемых при защите персональных данных. Попробуем разобраться в этом вопросе.

ФЗ-152 (ч.2 ст.19) определяет, что требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) устанавливает Правительство Российской Федерации. Не сам закон, но и не уполномоченные органы государственной власти (регуляторы). В соответствии с этой нормой закона 17 ноября 2007 года, правительством было принято, в частности, Постановление "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" №781. В самом положении черным по белому написано: "Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия" и "результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой ФСТЭК и ФСБ в пределах их полномочий".

Витиеватые законы.

Чтобы понять, что такое оценка соответствия и экспертиза ее результатов, обратимся к другому закону – "О техническом регулировании". Он определяет, что оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.

В свою очередь, подтверждение соответствия может быть добровольным – в форме добровольной сертификации, или обязательным, в формах принятия декларации о соответствии или обязательной сертификации. Декларировать можно только соответствие требованиям технических регламентов, которых для средств защиты информации и технологий информационной безопасности нет, и, если строго следовать букве закона, быть не может.

Согласно законодательства РФ, при отсутствии технических регламентов в отношении продукции, используемой в целях защиты охраняемых сведений (а персональные данные граждан именно такой информацией и являются), обязательными являются требования, установленные федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки и т.п. Особенности же технического регулирования в части разработки и выработка этими органами обязательных требований устанавливаются Президентом Российской Федерации и Правительством Российской Федерации в соответствии с их полномочиями.

Эти особенности и были определены Постановлением Правительства РФ №330 от 15 мая 2010 года. К сожалению, закрытым документом (с грифом ДСП). Рассмотрение истории, связанной с исполнением закрытых нормативно-правовых актов в условиях отсутствия закона о служебной тайне, выходит далеко за пределы данной статьи. Констатируем пока факт. Постановление витиевато, но все-таки достаточно конкретно определяет, что в случаях, на которые распространяется введенное в действие постановлением положение, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора), а объектом обязательной сертификации является продукция. Витиеватость же заключается в следующей формулировке: "Настоящее положение не распространяется на продукцию (работы, услуги), используемую в целях защиты информации конфиденциального характера, не являющейся государственным информационным ресурсом и (или) персональными данными, а также на связанные с ней процессы".

То есть на ИСПДн положение распространяется, а продукция, использование которой регулируется положением, – это средства защиты информации в ИСПДн. Про приложения, предназначенные для обработки персональных данных, и их сертификацию нигде ничего не говорится.

Порядок обязательной сертификации средств защиты информации (правда, только тех, которые предназначены для защиты государственной тайны) установлены еще одним Постановлением Правительства РФ №608 от 26 июня 1995 года. С тех пор утратил силу Закон "О сертификации товаров и услуг", многое изменилось, но постановление – действующее, последнее изменение в него внесено в 2010 году.

Из всех этих сложных логических умозаключений следует достаточно простой вывод: все средства защиты информации в ИСПДн должны пройти процедуру обязательной сертификации во ФСТЭК России или ФСБ России (в зависимости от того, в чьем ведении такие средства находятся) по правилам, установленным для средств защиты государственной тайны.

Добавим к этому Приказ ФСТЭК №58 2010 года, который предусматривает еще и прохождение контроля отсутствия не декларированных возможностей программным обеспечением средств защиты информации, применяемых в информационных системах персональных данных 1 класса.

Такова реальность, нравится это кому-то или нет. Несогласные с установлением в Приказе ФСТЭК обязательных требований могут попытаться оспорить его в суде. Не забывая про полномочия, установленные Законом "О техническом регулировании", о которых написано выше.

И что же делать?

Ответ простой: строить систему защиты персональных данных в информационных системах, поскольку это прямая обязанность оператора, вытекающая из ФЗ-152 (ст.19оператор при обработке персональных данных обязан принимать необходимые технические меры для защиты персональных данных от неправомерных действий) и Трудового кодекса (ст.86защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств).

Как строить – вопрос весьма непростой. Ключевыми для выбора конкретных средств защиты являются два вопроса: классификация ИСПДн и модель угроз персональным данным. При этом уже в ходе классификации системы могут быть рассмотрены пути снижения стоимости системы защиты как связанные с изменением процессов обработки в организации, так и основанные только на использовании технических решений, не затрагивающих бизнес-процессы.

Но несколько общих правил и рекомендаций можно сформулировать практически для всех случаев.

Первой опасностью, подстерегающей проектировщиков подсистемы защиты ИСПДн, является "зоопарк" технических средств разных производителей – настоящее проклятие любого ИТ-директора. Угроз и механизмов их нейтрализации очень много, а большинство производителей нацелены на достаточно узкий спектр решений. Иным путем идет компания "Код безопасности", линейка продукции которой заточена под законченное решение, а не на группу конкретных угроз. В данном случае речь идет о защите персональных данных. Практически все необходимые методы и средства защиты, рекомендованные регуляторами, могут быть реализованы при использовании продуктов одной компании, что избавляет от решения проблем совместимости, а также позволяет применять объединенные средства централизованного управления и мониторинга для наблюдения за событиями из "одного окна". Это позволит ИТ-специалистам не мучиться с отдельными пользовательскими интерфейсами администратора для каждого компонента защиты.

Как показала практика построения систем защиты ИСПДН, наиболее простым и эффективным способом снижения класса ИСПДн, а, следовательно, и затрат на ее защиту, является разделение системы на несколько подсистем и классификация каждой подсистемы как самостоятельной. Но использование этого метода требует обязательного наличия сертифицированных межсетевых экранов. И здесь на помощь придет распределенный межсетевой экран высокого класса защиты TrustAccess.

Незаменим он будет и при разделении доступа пользователей к системам различной степени конфиденциальности (например, серверам с общедоступной информацией, а также содержащим сведения, составляющие коммерческую тайну и относящиеся к персональным данным), при организации распределенного доступа к серверам приложений и используемым ими серверам баз данных, для аутентификации, фильтрации и защиты сетевых соединений.

Особую сложность представляет организация выполнения требований регуляторов при защите персональных данных в виртуальной среде. Связано это со сложностью самой инфраструктуры, появлением в ней принципиально новых возможностей атак, отсутствующих при работе с физическими серверами и рабочими станциями. Например, чего стоят суперпользователь в лице администратора виртуальной среды и суперпрограмма в виде гипервизора, а это далеко не все источники новых угроз. Также сложности могут возникнуть из-за крайне узкого выбора сертифицированных средств защиты для виртуальной среды. Применение распределенного межсетевого экрана TrustAccess в сочетании со специализированным средством предотвращения несанкционированного доступа для виртуальной среды vGate 2 позволит решить большинство проблем безопасности. Учитывая, что механизмы защиты TrustAccess не чувствительны к подмене MAC- и IP-адресов, его применение защитит от сетевых атак как со стороны внешних физических машин, так и со стороны виртуальных машин. В свою очередь, за счет использования меток конфиденциальности vGate 2 защитит информацию от утечек через специфические каналы среды виртуализации. При этом использование vGate обеспечит контроль виртуальных устройств, контроль доступа к элементам инфраструктуры и их целостность, доверенную загрузку виртуальных машин и блокирует доступ администратора виртуальной инфраструктуры к самим конфиденциальным данным на виртуальных машинах.

Для защиты от принципиально новых, не выявляемых традиционными средствами защиты угроз можно использовать средство имитации работы бизнес-приложений Honeypot Manager. И уж ни в одной ИСПДн нельзя обойтись без средств антивирусной защиты, обнаружения вторжений и персональных межсетевых экранов, которые объединены воедино в одном продукте компании "Код безопасности"Security Studio Endpoint Protection.

Таким образом, выполнение кажущихся сложными и труднореализуемыми требований государственных регуляторов можно обеспечить, используя линейку продуктов одного производителя, причем все они сертифицированы как по функциональным требованиям, обеспечивающим возможность их применения в ИСПДн до класса К1 включительно, так и по четвертому уровню контроля отсутствия не декларируемых возможностей (НДВ 4).

Автор статьи: Михаил Емельянников (независимый эксперт по вопросам информационной безопасности)


CNews (02.05.2011 в 10:36) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2011 ООО "Ди Эй Кей продакшн"