Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Публикации

Новая технология контроля и разграничения прав доступа к данным в информационных системах  / 
К.А. Щеглов, А.Ю. Щеглов //  ИСПДн.ру. -  2014 -  сентябрь

Сертификация средств защиты персональных данных: революция или эволюция?  / 
А.С.Марков, М.Ю.Никулин, В.Л.Цирлов //  Защита информации. Инсайд. -  2008. -  №5.

Проблемы и решения по защите персональных данных в информационных системах персональных данных  / 
А.Марков и Б.Сухинин //  Улан-Уде: ВСГТУ (ТиПВСИТ-2009, 20-27 июля) . -  2009. -  Ч.II. - C.241-244.

Защита персональных данных: откладывать больше нельзя  / 
В.Левцов, И.Новиков //  CNews.ru. -  2009. -  15 мая.

Персональные данные. Будни банковской безопасности  / 
Е.Царев //  Интеллектуальный банк. -  2009 -  13 июля.

Защита персональных данных в кредитно-финансовых организациях  / 
В.Сердюк  //  Интеллектуальный банк. -  2009. -  13 июля.

Обработка персональных данных в информационных системах: как обеспечить безопасность  / 
А.Бажанов, И.Назаров, Ю.Язов //  Connect! Мир Связи. -  2009. -  №1.

Информационные системы персональных данных  / 
М.Емельянников //  CIO. -  2008. -  15 октября.

Постатейный комментарий к Федеральному закону "О персональных данных"  / 
М.И.Петров //  ЮД "Юстицинформ". -  2007. -  65с.

Защита персональных данных  / 
О.Слепов //  Jet Info. -  2009. -  5 (192).

Защита персональных данных: проблемы и решения  / 
В.Коржов //  www.osp.ru. -  2009. -  7 сентября.

Защита персональных данных от вредоносных программ  / 
А.Ю.Щеглов //  ИСПДн.ру. -  2009 -  5 августа

Сетевая безопасность персональных данных  / 
С.Рябко  //  Connect! Мир Связи. -  2009. -  7.

Обработка персональных данных в медицинских организациях  / 
А.Столбов //  PCWeek/RE. -  2009. -  6 октября.

Как защитить персональные данные. Подборка статей LETA IT-company  / 
О.Губка, Н.Зенин, Н.Конопкин В. Левцов, И.Новиков, Е.Царев //  www.leta.ru. -  2009. -  октябрь.

Обеспечение гарантированной анонимности персональных данных с использованием биометрического профиля пользователя  / 
А.Иванов, И.Назаров, Ю.Язов, Е.Остроухова //  Информация и Безопасность. -  2009. -  №1.

Защита персональных данных: если наступит завтра  / 
А.Сабанов, Н.Комарова, О.Плотников //  cnews.ru. -  2009. -  ноябрь.

В противовес "ленивым"  / 
А.Марков //  Защита информации. Инсайд.. -  2009. -  6.

Рекомендации по выполнению требований Федерального закона №152-ФЗ “О персональных данных“  / 
LETA IT-company //  www.leta.ru. -  2010. -  C. 80.

Почему не заработал закон "О персональных данных"?  / 
М.Ю.Емельянников //  Финансовые известия. -  2010 -  22.04.2010

Защита конфиденциальности персональных данных с помощью обезличивания  / 
И.Ю.Кучин //  Вестник АГТУ. -  2010. -  №2.

Лицензирование как продукт осознанной необходимости: Лицензирование деятельности операторов персональных данных  / 
И.Шахалов //  Защита информации. Инсайд. -  2010. -  2.

Ветер перемен: и регулятор может ошибаться  / 
Е.Царев, А.Санин //  IT Manager . -  2010. -  апрель.

Защита персональных данных: пригодится ли нам британский опыт?  / 
А.Волков, Е.Царев //  cnews.ru. -  2010 -  июль

Двадцать популярных заблуждений операторов персональных данных  / 
П.Шмелев //  fz152.ru. -  2010. -  часть 1, 2.

Готовность к силе закона  / 
О.Седов //  Директор ИС. -  2010 -  11.

Процедура обезличивания персональных данных  / 
Е. А.Саксонов, Р. В.Шередин //  Наука и образование: электронное научно-техническое издание. -  2011 -  №3 (март).

О подходах по минимизации выполнения требований закона «О персональных данных»  / 
В.Омаров //  ИСПДн.ру. -  2011. -  июль.


Публикации 1 - 28 из 28
Начало | Пред. | 1 | След. | Конец Все

 

Проблемы и решения по защите персональных данных в информационных системах персональных данных


Тип публикации:  Статья
Текст публикации: 

ПРОБЛЕМЫ И РЕШЕНИЯ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

А.С.МАРКОВ, Б.М.СУХИНИН

ЗАО "НПО "Эшелон", mail@npo-echelon.ru

Введение

     Со вступлением в силу Федерального закона РФ 2006 г. N 152-ФЗ "О персональных данных"  миллионы информационных систем, касающихся сбора, хранения, обработки или передачи идентификационных данных физических лиц, стали подлежать модернизации в строгом соответствии с совершенно новыми требованиями к концу текущего года!

     Эти требования в настоящее время сформулированы в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (см. Постановление Правительства РФ 2007 г. N 781), совместном Приказе ФСТЭК России, ФСБ России, Мининформсвязи России 2008 г. N 55/86/20, а также в методических документах ФСТЭК России и ФСБ России. В чем особенность требований? Во-первых, требования к системам стали обязательными для любых организаций, независимо от формы собственности. Во-вторых, требования в ряде случаев более жесткие, чем ранее практикуемые при защите конфиденциальной информации. В-третьих, требования сформулированы для новых сервисов, средств и мер защиты ресурсов информационных систем. И последнее, нормативно-методические документы только начали практическую апробацию [1,2,3].

В докладе рассмотрены некоторые проблемные вопросы и возможные пути решения, касающиеся внедрения механизмов защиты в информационных системах персональных данных (ИСПДн).

Проблемные вопросы защиты персональных данных

     Обеспечение безопасности персональных данных (ПДн) связано с целым рядом организационно-технических проблем.

     Во-первых, поскольку ПДн (на основании Указа Президента РФ 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера») относятся к категории конфиденциальной информации, для осуществления мероприятий по их защите необходимо получение лицензии ФСТЭК России на деятельность в области технической защиты конфиденциальной информации. Это же требование содержится в «Основных мероприятиях…» ФСТЭК России для операторов информационных систем 1, 2 классов и распределенных систем 3 класса, к которым и относится большинство организаций. При использовании средств криптографической защиты информации также необходимо наличие лицензий ФСБ России. При этом получение указанных лицензий требует от организации наличия высококвалифицированного персонала, специального оборудования и помещений, что часто является непомерной дополнительной нагрузкой для малых предприятий, особенно в условиях финансового кризиса [2].

     Второй проблемой являются беспрецедентно высокие требования, предъявляемые к системе защиты. Так, например, уровень защиты для ИСПДн 1 класса соответствует уровню защиты государственной тайны. В частности, обязательным является обеспечение защиты информации от утечек за счет электромагнитных излучений и наводок от средств вычислительной техники и линий связи. При этом следует учитывать, что к 1 классу относятся системы многих крупных организаций, в которых обрабатывается большое количество информации, а также системы, в которых обрабатываются специальные категории ПДн. Сами документы ФСТЭК России, в которых сформулированы требования, носят пометку «для служебного пользования» и не доступны для свободного ознакомления. Рассылка документов осуществляется по письменному запросу операторам ПДн и лицензиатам ФСТЭК России.

     Средства защиты информации, применяемые для обеспечения безопасности ПДн, должны быть сертифицированы по требованиям безопасности информации [1]. Поскольку требования по защите ПДн появились относительно недавно, на рынке практически отсутствуют подобные средства, либо обеспечиваемый ими функционал недостаточен для применения в ИСПДн высоких классов. Так, например, сертифицированные средства защиты для СУБД с открытым исходным кодом MySQL попросту отсутствуют, а сертифицированная по требованиям безопасности информации версия ОС Microsoft Windows XP может применяться только в информационных системах до 2 класса включительно; отдельно стоит вопрос защиты 64-разрядных операционных систем и операционных систем семейств Unix и Linux. Кроме того, существующие сертифицированные средства защиты, соответствующие всем требованиям, зачастую не рассчитаны на применение в современных сложных гетерогенных информационных системах, и их использование в ряде случаев не представляется возможным по чисто техническим причинам. Например, система защиты Secret Net требует использования дополнительных аппаратных компонент, установка которых в blade-серверы невозможна.

     Более того, программное обеспечение, используемое для обработки ПДн, должно пройти проверку на отсутствие недекларированных возможностей (НДВ). Такая проверка требует предоставления исходных кодов программного продукта, к чему готовы далеко не все, особенно зарубежные производители ПО [1].

     До начала обработки информации соответствие систем защиты для ИСПДн 1, 2 и 3 классов предъявленным требованиям должно быть подтверждено в процессе аттестации по требованиям безопасности информации. Ранее подобная процедура являлась обязательной только для государственных систем. При этом аттестат выдается на 3 года, а внесение любых изменений в состав аттестованной системы (даже установка дополнительного программного обеспечения или перемещение компьютера из одного помещения в другое) может лишить аттестат силы и требует согласования с органом по аттестации.

     Наконец, законом установлен предельный срок, до которого все существующие информационные системы должны быть приведены в соответствие предъявленным требованиям – 1 января 2010 года. Присутствующие на рынке компании, специализирующиеся на обеспечении технической защиты информации и имеющие соответствующие лицензии, попросту не способны справиться с появившимся объемом работ, а система лицензирования не готова к появлению огромного числа новых лицензиатов из числа операторов ПДн.

Возможные организационно-технические решения

     Несмотря на обилие проблем, на самом деле ситуация не является безвыходной. Существует ряд подходов, позволяющих обеспечить защиту ПДн в соответствии с предъявленными требованиями ценой разумных затрат.

      В первую очередь, снизить затраты на построение системы защиты можно путем выбора архитектуры самой информационной системы на этапе ее проектирования. Например, разделение крупной федеральной ИСПДн на несколько территориальных позволяет сократить количество обрабатываемых в каждой системе персональных данных и понизить их класс, а использование условных идентификаторов часто позволяет обезличить обрабатываемые данные.

     Особую привлекательность с точки зрения архитектуры построения систем приобретает технология терминального доступа, при которой вся обработка данных осуществляется на сервере, а рабочие станции используются только для отображения информации и получения данных от пользователя. При правильном использовании подобный подход позволяет снизить класс конечных рабочих станций до третьего и значительно сэкономить на средствах защиты и аттестации по требованиям безопасности. Кроме того, сокращаются затраты на управление информационной инфраструктурой и закупки средств вычислительной техники за счет централизации системы и снижения требований к аппаратным характеристикам компьютеров пользователей.

     При проектировании новых систем изначальное применение программного обеспечения со встроенными сертифицированными средствами защиты, прошедшего сертификацию по требованиям безопасности информации и проверку на отсутствие недекларированных возможностей, позволяет в дальнейшем сэкономить на закупке средств защиты и обучении персонала. Кроме того, в ряде особых случаев возможно использование ПО, не прошедшего проверку на отсутствие НДВ, по согласованию со ФСТЭК России.

     Также следует определиться с тем, кто будет обеспечивать безопасность ПДн. Для крупных организаций, имеющих собственную службу безопасности и набор необходимых лицензий, предпочтительным будет самостоятельное построение и сопровождение системы защиты информации. В то же время, для большинства мелких и средних компаний оптимальным вариантом является заключение договора со сторонними специализированными организациями на разработку и внедрение системы защиты и последующий аутсорсинг обеспечения информационной безопасности. Такой подход позволяет как сократить расходы на обучение и содержание штатного персонала, так и переложить большинство рисков, связанных с безопасностью информации.

При формировании требований к системе защиты следует исходить из того, что практически любая система является специальной: кроме конфиденциальности в большинстве случаев необходимо обеспечить целостность данных и их доступность. Для специальных систем требования по защите не являются жесткими и определяются на основании частной модели угроз. С одной стороны, такой подход требует высокой квалификации разработчика и накладывает на него дополнительную ответственность за полноту и актуальность модели. С другой стороны, модель угроз позволяет значительно снизить требования по сравнению с типовыми системами за счет отсеивания неактуальных угроз. При этом необходимо отметить, что построение защиты на основе модели угроз является принципиально новым для российского государственного регулирования в области технической защиты информации. Несомненно, ранее существовали модели нарушителя или модели иностранных технических разведок, но они использовались исключительно для выработки четких нормативных требований к защите, которые находили свое отражение в соответствующих документах уполномоченных органов. Теперь же такой подход может быть применен любым оператором ПДн при построении защиты конкретной системы с учетом ее специфики.

Заключение

     В заключении следует указать, что организация защиты ИСПДн происходит в весьма жесткие сроки и требует анализа и выполнения новых требований, предъявляемых к мерам, сервисам и средствам защиты информации. Решение проблемы защиты персональных данных кроется в тесном взаимодействии операторов персональных данных, производителей программного обеспечения и средств защиты информации, организаций, специализирующихся на защите информации, и государственных органов на всех этапах жизненного цикла информационных систем.

Список литературы

     1. Марков А.С., Никулин М.Ю., Цирлов В.Л. Сертификация средств защиты персональных данных: революция или эволюция? - «Защита информации. Инсайд». - 2008.- №5.

     2. Сухинин Б.М. Проблемные вопросы защиты персональных данных – Тез.докладов XI Международной конференции РусКрипто'2009. – Москва, 2-5 апреля 2009 г.

     3. Левиев Д.О. Практический опыт защиты персональных данных в кредитно-финансовых организациях – Тез.докладов V Международной специализированная выставка-конференция Infosecurity Russia 2008, - Москва, 7–9 октября 2008 г.