Организация защиты персональных данных

Для обнаружения вторжений в ИСПДн 3 и 4 классов рекомендуется использовать системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2 класса – системы, применяющие сигнатурный метод и метод выявления аномалий. 
В качестве средства для реализации подсистемы обнаружения и предотвращения вторжений специалисты компаний часто используют продукты компании Cisco. Данные средства сертифицированы ФСТЭК и соответствуют требованиям технических условий и стандарту ГОСТ Р ИСО/МЭК 15408-2002.                                           
К таким продуктам, в частности, относится Cisco Intrusion Detection System/Intrusion Preventing System (IPS/IDS), который является основным компонентом решений Cisco Systems по обнаружению и отражению атак. Наряду с традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки. Встроенные технологии корреляции событий безопасности Cisco Threat Response, Threat Risk Rating и Meta Event Generator не только помогают существенно уменьшить число ложных срабатываний, но и позволяют администраторам реагировать лишь на действительно критичные атаки, которые могут нанести серьезный ущерб ресурсам корпоративной сети.

Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий).

Cisco ASA 5500 предназначен для решения  сразу нескольких задач – разграничения  доступа к сетевым ресурсам, защиты  от атак, защиты взаимодействия  с удаленными территориями, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа «фишинг». Это достигается за счет объединения в одном устройстве лучших защитных средств – межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator.

Помимо описанных выше программно-технических средств защиты широко используются продукты других ведущих производителей на рынке информационной безопасности. К ним, в частности, относятся Oracle, Aladdin, Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят активную позицию по соответствию требований регуляторов и сертификации своих продуктов с целью их применения в решениях по защите персональных данных.

Для реализации перечисленных подсистем, общая структура СЗПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации.

В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации10.

Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ.

К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Изменение условий применения средств защиты информации (происходящие, например, в ходе модернизации ИСПДн), предусмотренных указанными правилами, согласовывается с ФСТЭК и ФСБ.

Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.

Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации. 
Все сертифицированные ФСТЭК средства защиты представлены на сайте ФСТЭК (http://www.fstec.ru/) в разделе «Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации» (http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр сертифицированных средств защиты информации».

Этапы создания СЗПДн

Рекомендуются следующие этапы создания систем защиты персональных данных:

• предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн;
• стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации.

На этапе предпроектного обследования рекомендуются следующие мероприятия:

• устанавливается необходимость обработки данных в ИСПДн;
• определяется перечень ПДн, подлежащих защите от несанкционированного доступа;
• определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ);
• определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
• определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах;
• определяется класс ИСПДн;
• уточняется степень участия персонала в обработке данных, характер их взаимодействия между собой;
• определяются (уточняются) угрозы безопасности ПДн в конкретных условиях функционирования (разработка частной модели угроз).

По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности данных, включаемые в техническое (частное техническое) задание на разработку системы защиты. 
Техническое (частное техническое) задание на разработку СЗПДн должно содержать:

• обоснование разработки СЗПДн;
• исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию информационная система; конкретизацию мероприятий и требований к СЗПДн;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:

• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
• разработка раздела технического проекта на ИСПДн в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией;
• использование серийно выпускаемых технических средств обработки, передачи и хранения информации;
• разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка;
• сертификация программных средств защиты информации по требованиям безопасности данных в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;
• разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;
• определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПДн;
• разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
• выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности персональных данных.

Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:

• для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации;
• для ИСПДн 3 класса – декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);
• для ИСПДн 4 класса оценка соответствия проводится по решению оператора.

Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.

Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.

Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:

1. Разработка пакета аттестационных документов. Формируется пакет организационно-распорядительной и технической документации на аттестуемую ИСПДн, содержащий:
• программу и методику аттестационных испытаний;
• проект документа «Перечень персональных данных, обрабатываемых в ИСПДн»;
• проект документа «Перечень лиц, допущенных к обработке ПДн»;
• проект документа «Перечень лиц, допущенных в помещения, в которых располагаются технические средства ИСПДн»;
• проект документа «Акт классификации ИСПДн»;
• проект документа «Акт внедрения СЗИ»;
• технический паспорт на ИСПДн;
• проекты приказов о назначении ответственных за обеспечение режима безопасности персональных данных;
• инструкция по обеспечению безопасности персональных данных;
• описание технологии обработки информации в ИСПДн.
2. Проведение аттестационных испытаний. Уровень безопасности информации, оцениваемый в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации в соответствии нормативно-методическими документами ФСТЭК России). При этом выполнятся следующие работы:
• проведение аттестационных испытаний ИСПДн;
• разработка отчетных документов.

Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.