УправлениеБезопасность

Долгожданные меры

Игорь Мялковский | 01.07.2013

Долгожданные меры

Делай что должно, и будь что будет. 
Бхагавад-гита. Из беседы принца Арджуны с Кришной

Отслеживаемая как регуляторами, так и многочисленными операторами, попросту коммерческими компаниями и государственными учреждениями, история защиты персональных данных в конце 2012 и начале 2013 года пополнилась сразу четырьмя ключевыми событиями. 

Во-первых, введенное в действие 01.11.13 Постановление Правительства России № 1119 автоматически отменило предыдущее Постановление № 781, составлявшее нормативную базу проектов защиты персональных данных. На какое-то время в подвешенном состоянии оказались приказ ФСТЭК 58, регламентирующий применение конкретных методов и способов защиты информации, и известный «приказ трех» №55/86/20 о классификации информационных систем. При этом стало непонятно, как поступать тем, кто уже проделал часть мероприятий по отмененным нормативно-правовым актам. 

Во-вторых, для таких случаев на время «смуты» ФСТЭК распространил разъяснительное письмо № 240/22/4920 от 05.12.12, согласно которому разрешено в уже начатых, утвержденных технических проектах оставить прежнюю проведенную однажды на объекте классификацию информационных систем персональных данных. Оставалось самим порассуждать, каким образом поступать потом, когда потребуется обновление структуры этих самых информационных систем. 22 ноября 2012 года состоялась III международная конференция, посвященная защите персональных данных. Статус конференции, вопросы из зала и ответы на них поставили ее почти в ранг законодательной. Предложено было объединяться в подаче замечаний и предложений с целью совершенствования существующего законодательства о защите персональных данных. Обещано издать вскоре новые нормативно-правовые акты, всё всем разъясняющие. Естественно, «с учетом обобщения предыдущих поступивших» (вероятно, от операторов) замечаний. 
В-третьих, 7 мая 2013 года издан Федеральный закон № 99-ФЗ «О внесении изменений в отдельные законодательные акты российской федерации в связи с принятием федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных». Новый закон неожиданно изменил условия обработки персональных данных вкладчиков, страхователей, застрахованных лиц, усилил ответственность за безопасность персональных данных, в частности персональных данных госслужащих.

Долгожданное начало

Обещанный в 2012 году, четвертый в данном историческом списке и самый долгожданный приказ все-таки появился. Здесь уместна известная поговорка: «Лучше поздно, чем никогда». Появился он утром 18.05.13 (хотя издан в феврале), затем на какое-то время снова исчез. Напугал... Потом документ окончательно заиграл на сайте ФСТЭК, как брильянт. Таким тщательнейшим образом общественность ИТ и ОБИ следила за его появлением. «Революция», о которой говорили уважаемые должностные лица, свершилась... И, надо сказать, неплохо получилась: смута закончилась. По крайней мере видна последовательность, и теперь всем стало понятно, как и какие меры безопасности следует применять для защиты конфиденциальной информации и персональных данных. Наверное, важно, что впервые такая защита конфиденциальной информации и персональных данных документально и долгожданно снова «засуществовали» рядом. В одних и тех же проектах. Важно потому, что в противном случае исполнители и заказчики были вынуждены дублировать немалую часть работ для защиты (как писали сокращенно) КИ и ПДн. Второе долгожданное и объяснимое новшество: по пунктам 4 и 12 долгожданного документа впервые за много лет средства защиты, «прошедшие установленным порядком» по статье 19 Федерального закона 152-ФЗ, законно, наконец, соединились с сертифицированными средствами защиты. Теперь не надо спрашивать, как и произошло на конференции, о том, что это одно и то же. Впрочем, все-таки запись об этом в разных пунктах приказа и без указания «оного» тождества. Придраться желающим все же можно. 

Что теперь делать?

В соответствии с Постановлением Правительства России № 1119 от 01.11.12 и приказом ФСТЭК № 21 от 18.02.13 операторам персональных данных требуется разработать и применять на защищаемых объектах организационно-технические меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. Состав мер и способ выбора базового набора мер определен названным приказом. Порядок выбора и применения таких мер изображен на рис. 1. 
                        img
 
Рис. 1. Порядок выбора и применения мер обеспечения безопасности конфиденциальной информации и персональных данных

Как выбрать средства?  

Соответствие выбираемых сертифицированных средств защиты персональных данных требуемым уровням защищенности персональных данных (ПДн) удобнее, чем из текста приказа, определить при помощи таблицы:

Требуемый уровень защищенности по ПП РФ 1119

Требуемые технические средства и программное обеспечение для защиты конфиденциальной информации и персональных данных

Класс

средств/уровень контроля НДВ

не ниже

1 и 2

 

Средства вычислительной техники

5

Подсистемы обнаружения вторжений

4

 

Средства антивирусной защиты

Межсетевые экраны (МСЭ)

Актуальны угрозы 1-го и 2-го типов

или

ИСПДн взаимодействует с информационно-телекоммуникационными сетями международного информационного обмена (ИТСМИО)

3

Актуальны угрозы 3-го типа и

отсутствует взаимодействие с ИТСМИО

4

 

Технические средства защиты и ПО проверено по уровню контроля отсутствия недекларированных возможностей (НДВ)

Актуальны угрозы 2-го типа

3

Средства вычислительной техники

5

Подсистемы обнаружения вторжений

Актуальны угрозы 2-го типа

или

ИСПДн взаимодействует с ИТСМИО

4

Средства антивирусной защиты

Подсистемы обнаружения вторжений

Актуальны угрозы 3-го типа и

отсутствует взаимодействие с ИТСМИО

5

Средства антивирусной защиты

МСЭ

Актуальны угрозы 2-го типа

или

ИСПДн взаимодействует с ИТСМИО

3

Актуальны угрозы 3-го типа и

отсутствует взаимодействие с ИТСМИО

4

 

Технические средства защиты и ПО проверено по уровню контроля отсутствия недекларированных возможностей (НДВ)

Актуальны угрозы 2-го типа

4

Средства вычислительной техники

6

Подсистемы обнаружения вторжений

5

Средства антивирусной защиты

МСЭ


Компенсирующие и дополнительные 

При использовании в ИСПДн новых ИТ и выявлении дополнительных угроз безопасности ПДн, для которых не определены меры обеспечения безопасности, требуется разрабатывать и применять иные компенсирующие меры с обязательным требованием их обоснования. 

Перечень требуемых дополнительных мер при актуальных угрозах 1-го и 2-го типов:
1. Проверка ПО, включая код, на отсутствие НДВ.
2. Тестирование ИСПДн на проникновения.
3. Использование в ИСПДн ПО, разработанного с применением методов защищенного программирования.

Состав организационно-технических мер безопасности конфиденциальной информации и ПДн:
1. идентификация и аутентификация субъектов и объектов доступа;
2. управление доступом субъектов доступа к объектам доступа;
3. ограничение программной среды;
4. защита машинных носителей информации, на которых хранятся и (или) обрабатываются ПДн;
5. регистрация событий безопасности;
6. антивирусная защита;
7. обнаружение (предотвращение) вторжений;
8. контроль (анализ) защищенности ПДн;
9. обеспечение целостности информационной системы и ПДн;
10. обеспечение доступности ПДн;
11. защита виртуальной среды;
12. защита технических средств;
13. защита информационной системы, ее средств, систем связи и передачи данных;
14. выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности ПДн (инцидентов) и реагирование на них;
15. управление конфигурацией информационной системы и системы защиты ПДн.

Для выбора конкретных мер в условиях заданного объекта, действуя по предложенному порядку, изображенному на рис. 1, необходимо пользоваться Приложением к Приказу ФСТЭК № 21 от 18.02.13. 

Резюме

Вне сомнений, данный приказ очень востребован и сильно облегчит информационно-технологическую жизнь ответственных уполномоченных и обычных сотрудников — рядовых пользователей, права которых, кстати, приходится так интенсивно и настойчиво защищать в том числе. Невозможно применять изложенную здесь методику, созданную для упрощенного понимания приказа и Постановления, без известного единственного приложения к этому приказу и без известного самого Постановления Правительства России № 1119. Они теперь должны быть под рукой. Однако структурированный вид предложенной методики, надеюсь, поможет не одному исполнителю такого проекта. Проблема только в том, что мы (люди) склонны действовать так, словно исключений из правил не существует, так как нам удобно. 


Безопасность, Внешние угрозы, Защита периметра

Журнал: Журнал IT-Manager [№ 06/2013], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Как бизнес и учебные заведения адаптируют образование к новым реалиям экономики?
Попробуйте представить ощущения, когда ты занимаешься, вроде бы, прорывными вещами, а тебе объясняют "это, парень, тенденция вчерашнего дня".
Возникает понятное желание поразбираться, иногда на это нужны несколько лет.
Как культура поведения удаленных пользователей влияет на кибербезопасность организации

Компании сообщают

Мероприятия