Защита от вторжений и антивирусы в испдн

Обновлено: 02.07.2024

Меры по защите информации от НСД можно разделить на группы:

1. идентификация и аутентификация субъектов доступа и объектов доступа
2. управление доступом субъектов доступа к объектам доступа
3. ограничение программной среды
4. защита машинных носителей информации
5. регистрация событий безопасности
6. антивирусная защита
7. обнаружение (предотвращение) вторжений
8. контроль (анализ) защищенности информации
9. обеспечение целостности ИС и информации
10. обеспечение доступности информации
11. защита среды виртуализации
12. защита технических средств
13. защита ИС, ее средств, систем связи и передачи данных

Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать:

• присвоение субъектам и объектам доступа уникального признака (идентификатора)
• сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов
• проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности или аутентификация).

Идентификация и аутентификация (подтверждение подлинности) являются первым эшелоном защиты от несанкционированного доступа и необходимо понимать разницу между этими понятиями.

Идентификатор присваивается пользователю, процессу, действующему от имени какого-либо пользователя, или программно-аппаратному компоненту (субъекту) и позволяет назвать себя, т. е. сообщить свое "имя". Аутентификация позволяет убедиться, что субъект именно тот, за кого себя выдает. Пример идентификации и аутентификации - вход в домен Windows . В данном случае логин - это идентификатор , пароль - средство аутентификации. Знание пароля является залогом того, что субъект действительно тот, за кого себя выдает.

Субъект может аутентифицироваться (подтвердить свою подлинность), предъявив одну из следующих сущностей:

• нечто, что он знает (например, пароль);
• нечто, чем он владеет (например, eToken);
• нечто, что есть часть его самого (например, отпечаток пальца).

Меры по управлению доступом должны обеспечивать:

• управление правами и привилегиями субъектов доступа;
• разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в ИС ПРД;
• контроль за соблюдением этих правил.

Меры по ограничению программной среды должны обеспечивать:

• установку и (или) запуск только разрешенного к использованию в информационной системе ПО;
• или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе ПО.

Защита машинных носителей информации должна исключать:

• возможность НСД к машинным носителям и хранящейся на них информации;
• несанкционированное использование машинных носителей.

Меры по регистрации событий безопасности должны обеспечивать

• сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе;
• возможность просмотра и анализа информации о таких событиях и реагирование на них.

Меры по антивирусной защите должны обеспечивать:

• обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации;
• реагирование на обнаружение этих программ и информации.

Меры по обнаружению (предотвращению) вторжений должны обеспечивать:

• обнаружение действий в информационной системе, направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к информации
• реагирование на эти действия.

Меры по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности информации, содержащейся в информационной системе, путем проведения мероприятий по анализу защищенности информационной системы и тестированию ее системы защиты информации.

Меры по обеспечению целостности информационной системы и информации должны обеспечивать:

• обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащейся в ней информации;
• возможность восстановления информационной системы и содержащейся в ней информации.

Меры по обеспечению доступности информации должны обеспечивать авторизованный доступ пользователей, имеющих права по такому доступу, к информации, содержащейся в информационной системе, в штатном режиме функционирования информационной системы.

Меры по защите среды виртуализации должны исключать несанкционированный доступ к информации, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры, а также воздействие на информацию и компоненты, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим информацию, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей.

Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации.

Стоит отметить, что набор мер в рассмотренных ранее руководящих документах Гостехкомиссии России, существенно уже. В частности, в РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" выделены следующие группы мер:

1. подсистема управления доступом
2. подсистема регистрации и учета
3. криптографическая подсистема
4. подсистема обеспечения целостности.

Так как первое разбиение мер защиты на группы взято из Приказа ФСТЭК России №17, можно отследить тенденцию увеличения количества мер, необходимых для реализации информационной безопасности. Соответственно, расширились требования к функционалу, который должны реализовывать современные средства защиты информации для выполнения требований нормативных документов.

Средства защиты от НСД можно разделить на следующие группы:

• Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки.
• Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.
• Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности.
• К организационным средствам (мероприятиям) можно отнести разработку документов, определяющих правила и процедуры, реализуемые для обеспечения защиты информации в ИС, ограничение доступа в помещения, назначение полномочий по доступу и т.п.
• Криптографические средства - средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства.

Прежде, чем выбирать средства защиты от НСД, необходимо определить перечень мер, которые они должны реализовывать. Перечень мер определяется на основе требований нормативных документов (базовый набор мер) и исходя из модели угроз конкретной ИС.

После определения перечня мер, нужно выбрать средства защиты информации , которые эти меры реализуют. Необходимо учесть, требуется ли наличие сертификата у средства защиты информации . В приказе ФСТЭК России №21, например, нет однозначных требований по использованию сертифицированных СЗИ, - "применение СЗИ прошедших установленным порядком процедуру оценки соответствия". Это значит, что для защиты персональных данных в негосударственных ИС могут использоваться СЗИ, прошедшие сертификацию в добровольной системе сертификации или имеющие декларацию соответствия. А вот в ГИС все СЗИ должны быть сертифицированы. Соответственно, нужно выбирать СЗИ из Реестра сертифицированных СЗИ (Реестр), опубликованного на официальном сайте ФСТЭК:

При этом, несмотря на наличие в Реестре около 1000 сертифицированных СЗИ, большая часть из них была сертифицирована в единичном экземпляре или в составе маленькой партии, и недоступна для приобретения в настоящий момент. Поэтому реальный перечень сертифицированных СЗИ, которые можно использовать на практике, значительно меньше.

Сегодня сертификация СЗИ от НСД по линии ФСТЭК России проводится на соответствие одного или одновременно нескольких документов, основными из которых являются:

• РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (РД СВТ);
• Требования к средствам антивирусной защиты (24 профиля защиты);
• Требования к средствам контроля съемных машинных носителей (10 профилей защиты);
• Требования к межсетевым экранам (5 типов межсетевых экранов);
• Требования к средствам доверенной загрузки (10 профилей защиты);
• Требования к системам обнаружения вторжений (12 профилей защиты).
• РД "Защита от НСД к информации. Часть 1. ПО СЗИ. Классификация по уровню контроля отсутствия НДВ".

В документах СЗИ проранжированы по классам. В каждом документе введена своя шкала защищенности, где первый класс присваивается наиболее защищенным СЗИ, точнее тем, которые проходили испытания по самым жестким условиям, и соответственно, с увеличением порядкового номера класса требования к испытаниям СЗИ смягчаются.

То есть недостаточно выбрать сертифицированное СЗИ, необходимо также правильно определить требуемый класс защищенности. Например, в Приказе ФСТЭК России №21:

"для обеспечения 1 и 2 уровней защищенности персональных данных применяются:

• средства вычислительной техники не ниже 5 класса;
• системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
• межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена."

Определившись с формальными признаками СЗИ: доступность на рынке; актуальность сертификата; наличие контроля НДВ (при необходимости); класс защищенности, теперь можно сосредоточиться на его функциональных характеристиках. Чтобы установить соответствие требуемых мер защиты и средства защиты необходимо внимательно изучить документацию на СЗИ, функциональные характеристики, область применения и ограничения.

Следует отметить, что современные сертифицированные операционные системы обладают встроенными средствами защиты, которые позволяют закрывать многие требования регуляторов. В таблице 16.1 приведены требования к ИСПДн 3 уровня защищенности и средства операционной системы Windows 7, которые позволяют их удовлетворить.

Безусловно, построить защиту персональных данных только на встроенных средствах операционной системы не получится. Для реализации некоторых требований необходимо покупать узкоспециализированные средства защиты. Тем не менее, использование встроенных средств защиты операционных систем позволяет существенно сэкономить на покупке отдельных СЗИ, обеспечивает полную совместимость и требует меньших ресурсов для администрирования.

Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех. Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной.

Кто обеспечивает защиту данных?

Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № от 27.07.2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.

Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор. В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф. С 2019 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях.

Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.

Что защищать и от чего?

Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:

точное место жительства;

адрес электронной почты.

Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.

Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:

если им получено согласие на обработку (необязательно письменное);

планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);

обрабатываются персональные данные своих сотрудников;

в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.

Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.

Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.

Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:

Политика в отношении персональных данных задокументирована и находится в публичном доступе.

Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).

Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.

Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.

Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.

Перечисленные нами условия — это некая база, фундамент, поскольку защита персональных данных основывается не только на соблюдении юридической стороны дела — что, в целом, не так уж и сложно и требует лишь внутренней дисциплины в компании, — но и куда более сложной технической организации.

Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.

Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:

программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;

некоторые процессы системы (в частности, защитные) функционируют не в полную силу;

усложнены условия эксплуатации и хранения информации.

Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):

Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.

неисправность технических средств,

слабые антивирусы, отсутствие шлюзов безопасности,

невозможность зрительного контроля за серверами и доступом к ним.

Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.

Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).

Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.

Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):

Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.

Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.

Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.

Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.

угроза, вызванная небрежностью сотрудников, работающих с информационной системой;

угроза, инициируемая субъектами извне с целью получения личной выгоды.

искусственная угроза, созданная при участии человека;

природная, неподконтрольная человеку (чаще всего — стихийные бедствия).

Непосредственная причина угрозы:

человек, разглашающий строго конфиденциальные сведения;

природный фактор (вне зависимости от масштаба);

специализированное вредоносное программное обеспечение, нарушающее работу системы;

удаление данных случайным путем из-за отказа техники.

Момент воздействия угрозы на информационные ресурсы:

в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);

при получении системой новой информации;

независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).

Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.

Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.

Построение системы защиты персональных данных

Классификация уровней защиты

Информационная безопасность подразумевает четыре уровня защиты от угроз:

Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).

Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).

Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.

Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.

Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты.

Обеспечение защиты

Защита информации по уровням в каждом случае состоит из цепочки мер.

Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.

Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.

Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.

Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.

Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.

Средства защиты информации

Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы. Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз.

Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты. Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации). Документ доступен на официальном ресурсе службы. Каждый из классов имеет минимальный набор требований по защите.

Криптографические средства защиты информации

Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии. Если упростить, то речь идет о шифровании текста с помощью цифрового кода.

К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации.

Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении. Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр.

Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем приказе.

Рекомендации по защите персональных данных

Как видим, поддержание системы информационной безопасности силами отдельной компании представляется довольно трудоемкой задачей. Далеко не каждый бизнес или государственная компания могут позволить себе штат профильных специалистов. Во многих случаях проще отдать эту задачу на аутсорс, нанять сторонних специалистов, которые помогут подобрать и установить подходящее оборудование, проконсультирую персонал, окажут поддержку с написанием политики конфиденциальности и внутренних регламентов по обращению с засекреченной информацией.

Такое сотрудничество всегда требует большой вовлеченности со стороны руководящего звена компании и всех ее сотрудников. Невнимательность и недостаточно серьезное отношение к соблюдению мер защиты могут закончиться кражей данных, крупными штрафами, судебными разбирательствами и репутационными потерями.

Регулярно проводите оценку эффективности выбранных мер защиты, оперативно вносите коррективы, следите за изменениями в законодательстве. Предупредить угрозу в разы проще (и дешевле), чем бороться с ее последствиями.

«Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки ин­формации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также ис­пользуемые в информационной системе информационные технологии».

Выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором УБПДн (модели угроз) и в зависимости от класса ИСПДн.

Выбранные и реализованные методы и способы защиты информации в ИСПДн должны обеспечивать нейтрализацию предполагаемых УБПДн при их обработке в ИСПДн в составе создаваемой оператором СЗПДн.

Для выбора и реализации методов и способов защиты информации в ИСПДн может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

В СЗПДн ИСПДн в зависимости от класса ИСПДн и исходя из УБПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режи­мов обработки ПДн с использованием соответствующих методов и способов защиты информации от НСД реализуются функции управления досту­пом, регистрации и учета, обеспечения целостности, анализа защищенно­сти, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

Поскольку применение СЗИ не является обязательным для всех ти­пов ИСПДн, то выбор СЗИ необходимо осуществлять с учетом того, что итоговый набор реализуемых мер защиты должен удовлетворять требова­ниям, предъявляемым к ИСПДн соответствующего класса, концентриро­ванное выражение которых приведено в «Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России от 5 февраля 2010 г. № 58 (см. таблицы 1 - 3).

Методы и способы защиты информации от НСД для обеспечения безопасности ПДн в ИСПДн 4 класса и целесообразность их применения определяются оператором.

В ИСПДн, имеющих подключение к информационно телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, исполь­зуются средства антивирусной защиты.

Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федера­ции от 17 марта 2008 г. № 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно телекоммуникационных сетей международного информационного обмена".

Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.

Подключение ИСПДн к ИСПДн другого класса или к информационно телекоммуникационной сети международного информационного обме­на (сети связи общего пользования) осуществляется с использованием МЭ.

Программное обеспечение СЗИ, применяемых в ИСПДн 1 класса, проходит контроль отсутствия недекларированных возможностей.

Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения СЗИ, применяемых в ИСПДн 2 и 3 классов, определяется оператором.

Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществля­ется в случаях, когда при определении УБПДн и формировании модели уг­роз применительно к ИСПДн являются актуальными угрозы утечки аку­стической речевой информации, угрозы утечки видовой информации и уг­розы утечки информации по каналам ПЭМИН.

Для исключения утечки ПДн за счет ПЭМИН в ИСПДн 1 класса мо­гут применяться следующие методы и способы защиты информации:

• использование технических средств в защищенном исполнении;
• использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия;
• размещение объектов защиты в соответствии с предписанием на эксплуатацию;
• размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
• обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
• обеспечение электромагнитной развязки между линиями связи и другими цепями ВТСС, выходящими за пределы охраняемой террито­рии, и информационными цепями, по которым циркулирует защищаемая информация.

При применении в ИСПДн функции голосового ввода ПДн в ИСПДн или функции воспроизведения информации акустическими средствами ИСПДн для ИСПДн 1 класса реализуются организационные и технические меры для обеспечения звукоизоляции ограждающих конструкций помеще­ний, в которых расположена ИСПДн, их систем вентиляции и кондициони­рования, не позволяющей вести прослушивание акустической (речевой) ин­формации при голосовом вводе ПДн в ИСПДн или воспроизведении ин­формации акустическими средствами.

Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки ПДн в ИСПДн.

Размещение устройств вывода информации СВТ, информационно вычислительных комплексов, технических средств обработки графиче­ской, видео и буквенно-цифровой информации, входящих в состав ИСПДн, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн.

Анализ защищенности проводится для распределенных ИСПДн и ИСПДн, подключенных к сетям международного информационного обме­на, путем использования в составе ИСПДн программных или программно аппаратных средств (систем) анализа защищенности.

Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигура­ции программного обеспечения ИСПДн, которые могут быть использова­ны нарушителем для реализации атаки на систему.

Обнаружение вторжений проводится для ИСПДн, подключенных к сетям международного информационного обмена, путем использования в составе ИСПДн программных или программно-аппаратных средств (сис­тем) обнаружения вторжений.

Для ИСПДн 1 класса применяется программное обеспечение СЗИ, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.

Требования к защите, определенные для специальной ИСПДн со­гласно построенной модели угроз, сопоставляются и суммируются с тре­бованиями, определенными для нее согласно ее классу (К1, К2, КЗ или К4). При сопоставлении однотипных требований в качестве окончатель­ного требования выбирается более жесткое.

Следует обратить особое внимание на то, что все используемые оператором СЗИ должны быть сертифицированы ФСТЭК России, СКЗИ сертифицированы ФСБ России и должны входить в государственный реестр сертифицированных СЗИ.

Принципиально возможен такой вариант, когда в ИСПДн изначально используются несертифицированные СЗИ и организовывается сертификация ИСПДн в целом. Однако, это является длительным и дорогостоящим процессом. Кроме того при внесении в ИСПДн любых изменений - от перенастройки до установки обновлений программного обеспечения - потребуется ее повторная сертификация.

Таблица 1 - Требования к системе защиты персональных данных для ИСПДн З класса

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
5. Разработка технического задания на создание системы защиты персональных данных.
6. Приобретение средств защиты информации.
7. Внедрение системы защиты персональных данных.
8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

• внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
• внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Читайте также:

  
• Как подключить компрессор к звуковой карте
  
• Кнопка win выключает компьютер как исправить
  
• Как играть от первого лица на ps3
  
• Сколько времени должен выключаться ноутбук
  
• Настройка модема netis dl4304