Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»

2. 4. Сертификация средств защиты и аттестация объектов информатизации.

Согласно Закону Российской Федерации  «О государственной тайне» средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Кроме того, в соответствии с «Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» (постановление Совета Министров - Правительства Российской Федерации от 15.09.1993 № 912-51) информация, содержащая сведения, отнесенные к государственной или служебной тайне, должна обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств защиты, сертифицированных в установленном порядке. Для оценки готовности систем и средств информатизации и связи к обработке (передаче) информации, содержащей сведения, отнесенные к государственной или служебной тайне, проводится аттестование указанных систем и средств в реальных условиях эксплуатации на предмет соответствия принимаемых методов, мер и средств защиты требуемому уровню безопасности информации[8].

Также следует отметить, что согласно требованиям «Положения о лицензировании деятельности по технической защите конфиденциальной информации» (постановление Правительства Российской Федерации от 15.08.2006 № 504) допускается использование автоматизированных систем, обрабатывающих конфиденциальною информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации. Не невыполнение данного требования является грубым нарушением лицензионных требований и условий. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

В соответствии с действующим законодательством  Российской Федерации сертификация проводится в рамках систем сертификации средств защиты информации, созданных  федеральными органами исполнительной власти, уполномоченными проводить  работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными правовыми актами Российской Федерации.

В настоящем законодательстве предусмотрено  создание систем сертификации пяти федеральных органов исполнительной власти:

• ФАПСИ - Система сертификации средств криптографической защиты информации (утверждена генеральным директором ФАПСИ 28 октября 1993 г., зарегистрирована Госстандартом России в Государственном реестре 15 ноября 1993 г. /Свидетельство № РОСС КО.0001.030001/) -в соответствии с Указом Президента Российской Федерации от 11.03.2003 № 308 в связи с расформированием ФАПСИ соответствующие функции переданы Федеральной службе безопасности Российской Федерации;
• ФСТЭК России - Положение о сертификации средств защиты информации по требованиям безопасности информации (введено в действие приказом Председателя Гостехкомиссии России от 27.10.1995 № 199, зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995 г. /Свидетельство № РОСС Ш0001.01БИОО/);
• ФСБ России - Положение о система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (утверждено приказом ФСБ России от 13 ноября 1999 г. № 564, зарегистрировано в Минюсте России 27 декабря 1999 г. № 2028);
• Минобороны России - Система сертификации средств защиты информации по требованиям безопасности информации (введено в действие приказом Министра обороны Российской федерации 1996 г. № 058, зарегистрировано Госстандартом России в Государственном реестре в 1996 г. /Свидетельство № РОСС К110001.01ГШОО/);
• СВР России - Положение о системе сертификации средств защиты информации по требованиям безопасности информации (утверждено директором СВР России 05.08.1998, зарегистрировано Госстандартом России в Государственном реестре 15 марта 1999 г. /Свидетельство № РОСС К1Г.0001.04СЗОО/).

Конкретные средства и меры защиты информации должны разрабатываться  и применяться в зависимости  от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования. Необходимой составляющей государственной системы обеспечения информационной безопасности являются национальные (государственные стандарты) и другие руководящие, нормативно-технические и методические документы по безопасности информации, утвержденные федеральными органами исполнительной власти в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.

К основным стандартам и руководящим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся:

• в области защиты информации от несанкционированного доступа:
• ГОСТ Р 50922-96. Защита информации. Основные термины и определения;
• ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
• ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;
• Руководящие документы ФСТЭК России:
• Защита от несанкционированного доступа к информации. Термины и определения;
• Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;
• Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации;
• Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
• Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники;
• Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
• Защита информации. Специальные защитные знаки. Классификация и общие требования;
• Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин автоматизированных кассовых систем и требования по защите информации;
• Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей;
• Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (Часть 1, Часть 2, Часть 3);
• и другие;
• в области защиты информации от утечки по техническим каналам:
• ГОСТ Р В50170-2005. Противодействие иностранной технической разведке. Термины и определения;
• ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний;
• ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Общие технические требования»;
• ГОСТ 30373-95/ГОСТ 50414-92. Совместимость технических средств электромагнитная. Оборудование для испытании. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний;
• нормативно-методические документы ФСТЭК России:
• Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К);
• Методические рекомендации по технической защите информации, составляющей коммерческую тайну;
• Временная методика оценки защищенности помещении от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам;
• Временная методика оценки защищенности ОТСС, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации;
• Временная методика оценки защищенности конфиденциальной информации, обрабатываемой ОТСС, от утечки за счет наводок на вспомогательные технические средства и системы и их компоненты;
• Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований
• и другие;
• в области криптографического преобразования информации при ее хранении и передаче по каналам связи:
• ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
• ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;
• ГОСТ Р 34.11 -94. Функция хеширования;
• документы ФСБ России:
• Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику (ПШ-93);
• Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005);
• Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну;

Остановимся более детально на вопросах сертификации средств защиты. Следует отметить, что после передачи лицензирующих подразделений ФАПСИ в ведение ФСБ России основные принципы системы лицензирования и сертификации не изменились. Все ранее выданные ФАПСИ лицензии и сертификаты остались действительными на обозначенный в них срок.

2. 4.1. Сертификация.

Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных уполномоченными федеральными органами исполнительной власти в пределах их компетенции.

Сертификат  соответствия - документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Знак соответствия - зарегистрированный в установленном порядке знак, которым по правилам, установленным в данной системе сертификации, подтверждается соответствие маркированной им продукции установленным требованиям.

Средства защиты информации (СЗИ) - технические, криптографические, программные и другие средства, предназначенные для защиты сведений конфиденциального характера, а также средства контроля эффективности защиты информации.

Руководящий документ ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований. В соответствии с этим руководящим документом возможные показатели защищенности исчерпываются 7-ю классами. По классу защищенности можно судить о номенклатуре используемых механизмов защиты - наиболее защищенным является 1 класс. Выбор класса защищенности зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы. В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса (Рис. 1).

Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который устанавливает классификацию программного обеспечения (отечественного и импортного производства) средств защиты информации по уровню контроля отсутствия в нем недекларированных возможностей.

Недекларированные возможности (НДВ) - функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации (Рис. 2).

Также следует отметить руководящий  документ ФСТЭК России «Средства  вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Межсетевой  экран - локальное (однокомпонентное) пли функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС (Рис. 3).

Отметим в заключение, что применение сертифицированных средств защиты информации является обязательным условием при рассмотрении в судебном порядке спорных вопросов, связанных с удостоверением подлинности электронных документов и идентификацией личности пользователей системы.

2. 5. 2. Аттестация.

При проведении работ со сведениями соответствующей степени конфиденциальности (секретности) системы информатизации должны (могут) быть аттестованы на соответствие требованиям по безопасности информации. Государственная система аттестации объектов информатизации устанавливает основные принципы, организационную структуру, порядок проведения аттестации, а также порядок контроля и надзора за эксплуатацией аттестованных объектов информатизации.

Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой государственной  системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организуют уполномоченные федеральные органы по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных уполномоченными федеральными органами исполнительной власти. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с определенным уровнем конфиденциальности и в указанный в «Аттестате соответствия» период времени. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучении и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации. Аттестация проводится уполномоченными органами по аттестации объектов информатизации, аккредитованными федеральными органами исполнительной власти. Аттестат соответствия утверждается руководителем органа по аттестации объектов информатизации, который и несет юридическую и финансовую ответственность за качество проведенных работ. Аттестация информационных систем может производиться в соответствии с Руководящим документом ФСТЭК России «Автоматизированные системы. Защита от  несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», который вводит в рассмотрение 9 классов защищенности АС, объединенных в три группы (Рис. 4).

Основные признаки группировки в различные классы связаны с:

• наличием в АС информации различного уровня конфиденциальности;
• уровнем полномочий субъектов доступа АС на доступ к конфиденциальной информации;
• режимом обработки данных в АС (коллективный или индивидуальный).

Для каждого класса сформулирован определенный набор требований для подсистем:

• управления доступом;
• регистрации и учета;
• криптографической;
• обеспечения целостности.

Группа 1 классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов: 1Д, 1Г, 1В, 1Б и 1А