Требования законодательства к средствам защиты ПД
В соответствии с Законом персональные данные - любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПД). К персональным данным в связи с этим могут относиться
Ø фамилия, имя, отчество,
Ø год, месяц, дата и место рождения,
Ø адрес, семейное, социальное, имущественное положение,
Ø образование, профессия, доходы,
Ø другая информация, принадлежащая субъекту ПД.
Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Информационная система персональных данных (далее ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (Федеральный закон от 27.07.2006 №152 “О персональных данных”).
Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона.
В ФЗ "О персональных данных" установлены три регулятора:
Ø Роскомнадзор (защита прав субъектов персональных данных)
Ø ФСБ (требования в области криптографии)
ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналамВажным моментом при построении СЗПД (системы защиты персональных данных) является пункт 5 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного Постановлением Правительства Российской Федерации от 17.11.2007 № 781, которое гласит,
что средства защиты информации, используемые в ИСПД, должны в установленном порядке проходить процедуру соответствия (сертификацию). Порядок сертификации устанавливается уполномоченными органами, которыми в случае защиты ПД являются ФСТЭК и ФСБ России. Сертификации подлежат системы, продукты и услуги защиты информации от ПД.
В рамках систем обязательной сертификации организации должны сертифицировать средства и продукты. Например, в руководящих документах Гостехкомиссии России продуктом может выступать средство вычислительной техники (СВТ), средство защиты информации (СЗИ), межсетевой экран (МЭ), программное обеспечение (ПО) и др.
Система – это объект информатизации, где обрабатывается реальная информация. По этой причине к системам предъявляются дополнительные требования, касающиеся в том числе организационных мер и физической защиты.
Программное обеспечение СЗПД для защиты от угроз конфиденциальности, целостности и доступности, применяемое в ИСПД 1 класса, подлежит сертификации на отсутствие недекларированных возможностей согласно п.2.12 Приказа ФСТЭК России №58. В соответствии с Руководящим документом Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей", утвержденным приказом Председателя Гостехкомиссии от 04.06.1999 № 114,
недекларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Порядок классификации по уровню контроля отсутствия недекларированных возможностей определен указанным выше руководящим документом Гостехкомисии. Данное требование обусловлено тем, что большинство современных атак использует уязвимости в программном обеспечении системы. Основной метод нахождения уязвимостей в программе – детальное изучение программного кода. Данное требование может привести к выводу из эксплуатации в ИСПД зарубежных средств защиты информации, так как для сертификации необходимо предоставить код в открытом виде.
При просмотре сертификата к средству защиты информации необходимо обратить внимание, на соответствие каким документам проводились сертификационные испытания.
Что касаемо ФСТЭК России, то это может быть:
Ø руководящие документы Гостехкомиссии России по защите от несанкционированного доступа к информации (для АС, СВТ или МЭ),
Ø руководящий документ Гостехкомиссии России по контролю отсутствия недекларированных возможностей,
Ø техническое условие или формуляр,
Ø задание по безопасности (по требованиям ГОСТ ИСО/МЭК 15408-2002).
Необходимо отметить, что нормативные документы ФСТЭК на настоящее время не охватывают требования ко всем средствам технической защиты информации в области ПД.
Рекомендации и требования предусмотрены для межсетевых экранов (МЭ) и систем обнаружения вторжений(IDS).
Ø для ИСПД 1 класса – МЭ 3 класса, в IDS должны использоваться аномальные и сигнатурные методы обнаружения вторжений;
Ø для ИСПД 2 класса – МЭ 4 класса, в IDS должны использоваться аномальные и сигнатурные методы обнаружения вторжений;
Ø для ИСПД 3 класса – МЭ 5 класса, в IDS должен использоваться сигнатурный метод обнаружения вторжений;
Ø для ИСПД 4 класса – МЭ 5 класса, в IDS должен использоваться сигнатурный метод обнаружения вторжений.
Требования к средствам защиты ИСПД частично совпадают с требованиями к автоматизированным системам, которые были разработаны ранее в руководящих документах Гостехкомиссии России, в целях преемственности и совместимости.
Таблица 1. Корреляция требований к средствам защиты в
ИСПД с документами по АС
| Класс ИСПД | Класс АС | ||
| Без подключения к СОД | С подключением к СОД | ||
| K1, однопользовательскаяя | 3A | ||
| K1, многопользовательская с одинаковыми правами | 2A | ||
| K1, многопользовательская с разными правами | 1B | ||
| K2, однопользовательская | 3B+ | ||
| K2, многопользовательская с одинаковыми правами | 2B+ | ||
| K2, многопользовательская с разными правами | 1Г | ||
| K3, однопользовательская | 3Б | ||
| K3, многопользовательская с одинаковыми правами | 2Б | ||
| K3, многопользовательская с разными правами | 1Д | ||
| K4 | Определяется оператором |
До февраля 2010 года проведение аттестации ИСПД было обязательным этапом построения системы защиты. После введения Приказа ФСТЭК №58 ситуация изменилась, так как документ отменил обязательность аттестации, предоставив операторам самим решать, проводить ее или нет. Тем не менее, это не отменяет необходимости проведения оценки соответствия принятых мер по обеспечению безопасности требованиям законодательства, о чем говорят в частности – постановление Правительства РФ № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке и ИСПДн" и 184-ФЗ "О техническом регулировании".
Аттестация ИСПД предназначена для официального подтверждения эффективности и достаточности мер по обеспечению безопасности ПД в данной ИСПД. Аттестация должна предшествовать началу обработки данных. Порядок проведения аттестации регламентирован "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 г.
Результатом аттестации является документ, называемый "Аттестат соответствия", который подтверждает, что ИСПД удовлетворяет требованиям стандартов и нормативно-технических документов по безопасности ПД ФСТЭК и Гостехкомиссии России.
Этапы аттестации включают в себя:
- разработка программы и методики аттестационных испытаний.
- подачу и рассмотрение заявки на аттестацию;
- предварительное ознакомление с аттестуемым объектом;
- испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
- разработка программы и методики аттестационных испытаний;
- заключение договоров на аттестацию;
- проведение аттестационных испытаний объекта информатизации;
- оформление, регистрация и выдача "Аттестата соответствия";
- осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
- рассмотрение апелляций.
Аттестационные испытания предполагают проведение следующих проверок:
Ø проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПД;
Ø проверка ИСПД на соответствие организационно-техническим требованиям по защите информации;
Ø испытания ИСПД на соответствие требованиям по защите информации от несанкционированного доступа.
Результатом аттестации являются:
Ø Протокол аттестационных испытаний;
Ø Заключение по результатам аттестационных испытаний;
Ø Аттестат соответствия на ИСПД (выдается в случае положительного Заключения);
Ø Акт о переводе СЗПД в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПД).
Следует указать, что если заявитель пожелает только аттестовать ИСПД как объект информатизации, то пока действуют традиционные нормативные требования по аттестации объектов информатизации (СТР-К), в которых обрабатывается конфиденциальная информация.
Таблица 2. Перечень подсистем СЗПД в зависимости от класса и типа ИСПД
| Класс и тип ИСПД | Антивирусная защита | Подсистема управления доступом, регистрации и учета | Подсистема обеспечения целостности | Анализ защищенности | Подсистема обнаружения вторжений | Подсистема безопасности межсетевого взаимодействия | Подсистема криптогра-фической защиты информации | ||
| ИСПД 1кл. | распред. | + | + | + | + | + | + | ||
| ИСПД 1 кл. | локальная | + | + | + | - | - | + | ||
| ИСПД 2 кл. | распред. | + | + | + | + | + | - | ||
| ИСПД 2 кл. | локальная | + | + | + | - | - | - | ||
| ИСПД 3 кл. | распред. | + | + | + | + | + | - | ||
| ИСПД 3 кл. | локальная | + | + | + | - | - | - | ||
В таблице 2 приведена информация о подсистемах, которые должны быть внедрены в зависимости от класса ИСПД в соответствии с руководящими документами ФСТЭК. Рассмотрим функции, которые должна выполнять каждая из перечисленных в таблице подсистем:
1.подсистема управления доступом, регистрации и учета предназначена для защиты от несанкционированного доступа и реализуется с помощью средств блокирования НСД, регистрации попыток доступа и сигнализации. Средства данной группы могут быть программными или программно-аппаратными. Функция регистрации реализуется журналированием действий и операций в ИСПД, сигнализации - извещение в случае выявления нарушения нормального режима функционирования ИСПД или попыток НСД к ИСПД.
2.подсистема обеспечения целостности может быть реализована с помощью средств операционной системы, СУБД или с помощью специальных программных средств. Функция контроля целостности основывается, как правило, на вычислении контрольных сумм, хэш-функциях или ЭЦП.
3.подсистема обеспечения безопасности межсетевого взаимодействия ИСПД предназначена для разграничения доступа к компонентам ИСПД и обрабатываемым ПД при межсетевом взаимодействии. Функционал подсистемы реализуется с помощью программных и программно-аппаратных межсетевых экранов (МЭ).
4.подсистема анализа защищенности предназначена для контроля настроек операционных систем на рабочих станциях и серверах, средств защиты и сетевого оборудования. Функционал данной подсистемы реализуется с помощью специальных программ – сканеров. Сканеры обследуют сеть и ведут поиск "слабых" мест, таких как:
Ø слабые пароли и механизмы аутентификации в целом;
Ø "люки" в программах;
Ø неправильная настройка межсетевых экранов, операционных систем, баз данных и пр.;
Ø использование сетевых протоколов, имеющих уязвимости.
Ø открытые порты.
Сканеры находят только известные уязвимости, детальным образом описанные в их базе данных. Функционировать они могут на сетевом уровне, уровне операционной системы и уровне приложения. Поимо выявления уязвимостей средства анализа защищенности могут помочь построить топологию сети: выявить узлы корпоративной сети, протоколы и сервисы, приложения и пр. Как правило, эти средства также дают рекомендации и пошаговые инструкции для устранения выявленных уязвимостей.
5.подсистема обнаружения вторженийпредназначена для выявления попыток НСД к ИСПД. Реализуется с помощью систем обнаружения вторжений – IDS, строящихся на основе информации об этапах проведения атак, поведении злоумышленника и пр. Выделяют два класса систем – узловые (HIDS) и сетевые (NIDS). HIDS располагается на узле и отслеживает атаки только на этот узел, NIDS контролирует весь сетевой трафик на наличие признаков атак.
6. подсистема криптографической защиты информации. Как правило, предназначена защиты ПД при передаче по открытым каналам связи или в несегментированной сети. Криптографические средства также могут применяться при хранении, обработке ПД, при аутентификации пользователей. Данное требование выдвигается только к ИСПД 1 класса.
В ряде случаев необходима также подсистема защиты от утечки по техническим каналам. Данная подсистема предназначена для защиты акустической, видовой информации, а также от утечек информации через ПЭМИН. При этом выделяются пассивные и активные меры защиты.
7. подсистема антивирусной защитыпредназначена для защиты информационной системы от вирусов (вредоносных программ) и реализуется с помощью антивирусных программ. Для обнаружения вирусов антивирус использует 2 метода: сигнатурный, эвристический.
8. подсистема обнаружения вторженийпредназначена для обнаружения несанкционированных попыток доступа к системе. Системы обнаружения вторжений (IDS) работают наподобие сигнализации здания. Существует два типа IDS- узловые (HIDS) и сетевые (NIDS). HIDS располагается на отдельном узле и отслеживает признаки атак на этот узел. Узловые IDS представляют собой систему датчиков, которые отслеживают различные события в системе на предмет аномальной активности. NIDS располагается на отдельной системе и анализирует весь трафик сети на признаки атак. В данные систем встроена база данных признаков атак, на которые система анализирует сетевой трафик.. В случае обнаружения атаки IDS может принимать пассивные или активные действия. Пассивные действия заключаются в уведомлении соответствующего должностного лица, например, администратора безопасности, о факте атаки. Активная обработка событий заключается в попытке остановить атаку – завершить подозрительный процесс, прервать соединение или сеанс.