- Защита персональных данных согласно приказу ФСТЭК
- Средства защиты персональных данных
- Разработка технического задания на систему защиты ПДн
ГК «Интегрус» оказывает полный комплекс услуг по построению системы технической защиты персональных данных (ПДн). Нами предлагается выбор адекватных угрозам средств защиты, предотвращающих:
- неправомерный доступ к персональной информации сотрудников, клиентов, поставщиков, пользователей информационных систем (ИС);
- ее несанкционированное использование, модификацию, распространение;
- утечку при хранении, обработке и в момент передачи по каналам связи.
Техническая защита персональных данных в информационных системах в организациях и на предприятиях бывает активной, пассивной и организационной. Пассивные методы технической защиты, как правило, требуют больших капиталовложений и серьезной доработки помещений любого центра обработки данных (ЦОД):
- отделка помещений звукоизоляционными материалами;
- установка решеток на окна, металлических входных дверей, турникетов, запорной арматуры на межкомнатные двери и т.д.;
- использование железобетонных конструкций с повышенным содержанием металла (в качестве дополнительного экрана от электромагнитных помех и повышенной надежности от взлома) для возведения зданий ЦОДов (альтернатива – отделка помещений листовой сталью).
На практике пассивные методы в системах технической защиты персональных данных используются редко и (или) частично. С одной стороны, это очень дорого. С другой, часто невозможно технически (экономически нецелесообразно) или требует проведения строительно-монтажных работ «с нуля».
Почти всегда доступны для использования следующие пассивные средства технической защиты информации и персональных данных:
- фильтры для электрических сетей (в том числе слаботочных);
- разделительные и распределительные электрощиты;
- замена запорной аппаратуры
Одновременно пассивными и активными методами технической защиты информации в организациях и на предприятиях являются:
- антижучки, подавители, генераторы шума, устройства обнаружения скрытых видеокамер, детекторы радиокоммуникаций, индикаторы магнитного поля;
- звукоизоляционная и звукоусилительная аппаратура, колонки и микрофоны, пульты управления оборудованием в защищенном исполнении;
- специализированные средства для защиты речевой информации от утечки по акустическом, виброакустическим каналам, цепям заземления, электропитания;
- сетевые помехоподавляющие фильтры для защиты от высокочастотных наводок.
Активные методы защиты ПДн применяются, когда контролируемая зона информационной системы превышает площадь объекта или когда использование пассивных средств нецелесообразно экономически или невозможно технически. К активным методам относятся:
- пространственное зашумление для создания маскирующих помех в окружающем пространстве (затрудняет считывание и дешифровку электромагнитных полей, возникающих при работе мониторов, системных блоков, соединительных кабелей);
- линейное зашумление линий электропитания;
- генераторы шума для защиты акустической информации (в кабинетах, переговорных, офисах, включая open space, при использовании гарнитуры);
- генераторы импульсов для уничтожения закладных устройств (жучков);
- электромагнитное или ультразвуковое подавление диктофонов.
К организационным методами технической защиты персональных данных можно отнести:
- проведение специальных проверок и исследований защищенности информационных систем;
- проверки каналов и линий связи, носителей информации на внедрение электронных средств перехвата (уничтожения) информации (этот метод является одновременно и организационным и пассивным)
Технические методы защиты персональных данных разделяются на:
- физические, ограничивающие доступ к носителям информации, например, замки на дверях, решетки на окнах, и даже использование при отделке помещений звукоизоляционных материалов для предотвращения прослушки;
- аппаратные – активные (зашумление электромагнитных генераторов, виброакустическая защита) и пассивные (экраны и фильтры, дополнительные системы заземления);
- программные – антивирусные программы, программное обеспечение для шифрования данных (криптографическое ПО), межсетевые экраны (брандмауэры и файрволы) между локальной и глобальной сетями, VPN, прокси-сервера.
Согласно п. 5 ч. 1 ст. 12 ФЗ от 04.05.2011 г. №99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации подлежит лицензированию. И хотя обработка персональных данных не является лицензируемым видом деятельности, на оператора ПДн накладываются обязательства по принятию технических мер для защиты персональных данных (ч. 1 ст. 19 ФЗ от 27.07. 2006 г. N 152-ФЗ «О персональных данных»).
При разработке мер по технической защите ПДн необходимо учитывать требования Приказа по обеспечению технической защиты информации персональных данных ФСТЭК России от 23.03.2017 №49.
Защита персональных данных согласно приказу ФСТЭК
Защитные меры устанавливаются нормативными актами ФСТЭК и Роскомнадзора. Документов множество, но содержащиеся в них формулировки размыты, а также содержат отсылки на иные правовые акты. К базовым следует отнести:
- Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных». Описывает правовые основания обработки ПДн (цель, сроки хранения, наличие политики, согласие не обработку).
- Постановление Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (требования к защите персональных данных).
- Приказ ФСТЭК от 11.02.2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (защита информации, не составляющей гостайну).
- Приказ ФСТЭК от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (перечень технических средств), определяет уровни угроз и конкретизирует меры защиты.
- Приказ ФСБ РФ от 10.07.2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Рекомендации ФСТЭК определяют 15 групп мероприятий технического характера, каждая из которых имеет четко прописанные базовые и рекомендуемые позиции. Оператор имеет право использовать рекомендуемые меры по своему усмотрению, основываясь на актуальных моделях угроз и экономической целесообразности.
Правильность применяемых решений по защите трижды в год проверяется оператором, а в рамках выездных или документарных проверок контролируется ФСТЭК по заранее определенному плану.
Исполнение законодательства о персональных данных делегировано Роскомнадзору. ФСБ и ФСТЭК разрабатывают требования по методологии, отвечают за организацию и техническую сторону защиты ИСПДн. Требования постоянно обновляются с учетом вновь появляющихся угроз, хотя и не всегда успевают за действиями хакеров.
Средства защиты персональных данных
Технические средства защищают конфиденциальную информацию и ПДн от:
- Проникновения. В качестве превентивных мер используют системы:
- разграничивающие доступ к информации;
- криптографические, ограничивающие вывод информации за пределы защищаемого контура;
- антивирусы;
- межсетевые экраны;
- блокираторы вывода-ввода информации.
- Технических утечек по каналам связи. В целях безопасности используются экранированные кабели, высокочастотные фильтры, шумогенераторы.
Выбор технических средств определяется классом безопасности. На этом этапе важны основные характеристики систем обработки данных, конфигурации, необходимость использования электронной подписи, установление антивирусной/криптографической защиты. Важно соблюдать баланс между оценкой угроз и финансовой целесообразностью.
Защищенность ПДн имеет 4 класса (самый первый класс – самый «высокий» по степени необходимой защиты):
- Здоровье, личная жизнь, политические/религиозные взгляды.
- Данные о человеке, позволяющие извлечь дополнительную информацию о нем.
- Идентификация субъекта ПДн.
- Сведения общие, обезличенные, не имеющие привязки к конкретным людям.
Чем выше класс, тем больше должно быть вложено средств и усилий. Привлечение сторонней специализированной фирмы, занимающейся организацией защитной системы персональной информации, возможно только при наличии у нее лицензии на оказание подобной услуги.
Специальные технические средства защиты необходимы при работе с данными первой категории. Все остальные классы защищаются по базовому сценарию. Чем больше обрабатываемых данных хранится и используется, тем жестче требования к охране информации.
Технические меры по защите ПДн
Создание технической защиты – трудоемкий процесс, приводящий механизмы обработки ПДн в соответствие с подзаконными актами. Организационные и технические меры по защите персональных данных имеют последовательность этапов:
- Получение лицензии на выполнение работ по техзащите информации.
- Анализ информационной ресурсной базы предприятия на соответствие методическим рекомендациям ФСТЭК учитывает:
- перечень ПДн, нуждающихся в охране;
- состав и структуру ИСПДн для каждого отдельного случая;
- оценку угроз, анализ «слабых звеньев»;
- оценку вероятного ущерба в случае нарушения безопасности;
- обзор мероприятий и средств защиты.
- Обоснование требований:
- моделирование угроз;
- определение класса ИСПДн;
- определение необходимости в криптографии.
- Проектирование, создание, ввод системы защиты:
- перечень защитных мероприятий исходя из класса;
- написание техзадания;
- развертывание и ввод готовой системы.
- Сертификация ИСПДн по классам безопасности, в т.ч. сертификация всех информационных средств защиты. Использование иных средств должно обосновываться процедурой оценки их достаточности для обеспечения безопасности.
«Защитное поле» персональных данных имеет ряд четко прописанных норм:
- обязательна идентификация/аутентификация всех объектов, нуждающихся в защите, с разграничением прав доступа;
- ограничение перечня прикладного и системного ПО для каждого сотрудника, защищая ИСПДн от случайных действий;
- обработка и хранение персональных данных осуществляется только после отладки оборудования;
- оператор ведет постоянный мониторинг безопасности с одновременной защитой журнала проверок от удаления/модификации;
- антивирусные комплексы являются неотъемлемой частью технической защиты информационной инфраструктуры;
- устанавливаются системы, обнаруживающие и предотвращающие вторжения, выявляющие и анализирующие факты несанкционированного проникновения на уровнях сети или конкретного компьютера, блокируя трафик, сбрасывая соединение при превышении полномочий либо попытке внедрить вредоносное программное обеспечение;
- использование систем обеспечения целостности информации, способных восстанавливать поврежденные компоненты и данные при повреждении системы либо их несанкционированном изменении;
- осуществление регулярных проверок уровня защищенности информационной системы персональных данных;
- обеспечение полноценной, непрерывной защиты за счет внедрения развернутых программных компонентов, аппаратного инструментария и актуальных настроек.
Разработка технического задания на систему защиты ПДн
Техническое задание на проектирование системы защиты персональных данных является первым этапом на выработку системы требований к ИСПДн. Техзадание включает в себя:
- список актуальных угроз, подлежащих нейтрализации;
- описание подсистем защиты;
- базовый набор мер по обеспечению безопасности ПДн на основе Приказа ФСТЭК №21;
- порядок адаптации базовых мер с учетом существующего уровня защищенности ИС и ее конфигурации (например, не требуется защита виртуальных средств, если таковые не используются).
Наиболее трудоемким является адаптация мер безопасности, т.к. на этом этапе составления технического задания нашему специалисту предстоит проанализировать предложенные меры на их достаточность. В некоторых случаях базовые решения ФСТЭК приходится дополнять собственными разработками.
Разработать, а затем внедрить комплекс мер по защите персональных данных трудно без оперирования нормативной базой, умением настраивать технические средства, работать с программным обеспечением, отвечающим требованиям информационной безопасности.
Случайная ошибка на любом из уровней защиты может оказаться фатальной, с потерей клиентуры и штрафными санкциями. Работа начинается с составления технического задания на систему защиты ПДн.
Выложенные в Интернет инструкции позволяют самостоятельно:
- разработать регламент сбора информации;
- уведомить Роскомнадзор о деятельности организации как оператора ПДн;
- определить роли и разграничение доступа.
Этап составления политики и подбора угроз требует глубоких, и, главное, актуальных знаний:
- документации ФСБ и ФСТЭК;
- ориентации в классах СВТ;
- антивирусов, межсетевых экранов;
- обеспечения безотказности и конфиденциальности связи для сегментов ИСПДн.
Крупные организации способны ввести в штат группу специалистов, отвечающих за безопасность информации, которым делегируются полномочия по получению лицензии, созданию и поддержке системы защиты персональных данных.
Небольшие организации чаще привлекают сторонник лицензиатов, профессионально занимающихся информационной защитой, знающих нормативную и правовую базы, имеющих опыт создания систем информационной безопасности.