Защита персональных данных службой информационной безопасности

Содержание
  1. Пять ФЗ о защите информации, которые стоит знать | Блог Mail.Ru Cloud Solutions
  2. 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  3. 152-ФЗ «О персональных данных»
  4. 98-ФЗ «О коммерческой тайне»
  5. 63-ФЗ «Об электронной подписи»
  6. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
  7. Защита персональных данных в облаке: как сделать все по закону 152-ФЗ
  8. Операторы персональных данных и типы данных
  9. Требования к оператору персональных данных
  10. Обеспечить защиту персональных данных
  11. Зарегистрироваться в Роскомнадзоре
  12. Спрашивать согласие на обработку персональных данных
  13. Облако в законе: можно ли передавать провайдеру персональные данные
  14. Как защищены персональные данные при хранении в облаке
  15. Как работать с персональными данными в облаке по закону
  16. Выполнение требований 152-ФЗ, инструкция
  17. Нормативная база
  18. Гис или не гис
  19. Актуальные угрозы ИБ
  20. Уровень защищенности ИСПДн
  21. Класс ГИС
  22. Базовый набор мер
  23. Адаптированный набор мер
  24. Дополненный набор мер
  25. Система защиты информации
  26. Аттестация
  27. Что в итоге
  28. А что потом?
  29. Техническая защита информации по требованиям ФСТЭК, меры по информационной безопасности ФСТЭК
  30. Требования ФСТЭК по защите информации
  31. Меры по защите информации ФСТЭК
  32. Рекомендации ФСТЭК по защите информации
  33. Методические документы и приказы ФСТЭК по защите информации
  34. Сертифицированные средства защиты ФСТЭК
  35. Классы средств защиты информации ФСТЭК
  36. Госреестр средств защиты информации ФСТЭК России
  37. Лицензирование деятельности по технической защите информации ФСТЭК

Пять ФЗ о защите информации, которые стоит знать | Блог Mail.Ru Cloud Solutions

Защита персональных данных службой информационной безопасности

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

  1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
  2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
  3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
  4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
  5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
  6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
  7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

  1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
  2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
  3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
  4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
  5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

  1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
  2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
  3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
  4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
  5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

  1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
  2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
  3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
  4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

  1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
  2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
  3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
  4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
  5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
  6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
  7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.

Источник: https://mcs.mail.ru/blog/zakonodatelstvo-ob-informatsionnoy-bezopasnosti

Защита персональных данных в облаке: как сделать все по закону 152-ФЗ

Защита персональных данных службой информационной безопасности

По российскому законодательству компании обязаны обеспечить безопасность персональных данных сотрудников и клиентов: хранить и обрабатывать их так, чтобы они не попали в руки злоумышленников или общий доступ. При этом не запрещено доверять хранение и обработку таких данных третьей стороне — облаку. Расскажем, как в этом случае соблюсти требования закона.

Операторы персональных данных и типы данных

В России действует 152-ФЗ «О персональных данных». В нем сказано, что лицо, которое собирает и обрабатывает персональные данные, обязано обеспечить их защиту, чтобы данные российских граждан не попали не в те руки.

По закону персональные данные — любые данные, относящиеся к конкретному физическому лицу, то есть субъекту персональных данных.

Например, данные анонимных опросов о политических убеждениях или предпочтениях в еде не будут персональными данными, под действие 152-ФЗ они не попадают. А вот если вы узнаете политические убеждения конкретных людей и запишете эту информацию в базу вместе с ФИО человека — это уже персональные данные.

По закону выделяют четыре типа персональных данных, это нужно для определения уровня защиты:

  1. Специальные: раса, национальность, политические, религиозные и философские убеждения, состояние здоровья.
  2. Биометрические: фото, отпечатки пальцев.
  3. Общедоступные: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии.
  4. Иные: прочие данные о конкретном человеке, такие как имя домашнего питомца или предпочтения в еде.

Компания, которая собирает и обрабатывает эти данные, считается оператором персональных данных.

Требования к оператору персональных данных

Согласно закону 152-ФЗ, чтобы собирать и обрабатывать персональные данные, вы должны:

  1. Обеспечить защиту ПДн в соответствии с требованиями закона.
  2. Зарегистрироваться в Роскомнадзоре как оператор персональных данных.
  3. Спрашивать у людей согласие на сбор и обработку персональных данных.

Рассмотрим каждый пункт реализации требований 152-ФЗ подробно.

Обеспечить защиту персональных данных

При хранении и обработке данных нужно обеспечить им уровень защищенности в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.

Необходимый уровень защищенности зависит от четырех факторов:

  • Типа данных: специальные, биометрические, общедоступные или иные.
  • Отношений с субъектами персональных данных: это ваши сотрудники или люди, с которыми у вас нет трудового договора, например клиенты.
  • Количества субъектов персональных данных: больше 100 000 или меньше 100 000.
  • Типа актуальных угроз: 1, 2 или 3 тип.

Типы данных, отношения с субъектами и количество субъектов легко определить самостоятельно, а вот с типами угроз сложнее. Согласно документу «Методика определения актуальных угроз безопасности ПДн при их обработке», угрозами называются условия и факторы, которые могут обеспечить несанкционированный доступ к персональным данным и привести к их утечке или порче.

В законе они классифицируются так:

  • 1 тип — самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
  • 2 тип — угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
  • 3 тип — угрозы, не связанные с ПО, например уязвимости в оборудовании.

Универсального способа определить тип угроз, актуальных для вашей системы, нет.

Принято считать, что если вы используете ПО, сертифицированное ФСТЭК, то недокументированных возможностей в нем нет, так что угрозы 1 и 2 типа можно считать неактуальными.

А вот если сертификатов у ПО нет, уровень угроз может определить только специалист по технической безопасности. Если такого нет в штате, его можно нанять для консультации.

Как только определен тип данных, отношение с субъектами, количество субъектов и тип актуальных угроз, вы сможете понять, система какого уровня защищенности необходима.

Всего существует 4 уровня защищенности (доверия):

  1. 4 УЗ. Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.
  2. 3 УЗ. Кроме общедоступных и иных данных позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы. Именно этот уровень подходит для большинства компаний.
  3. 2 УЗ. Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
  4. 1 УЗ. Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически самый сложный, к примеру, требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.

Точные технические требования к каждому уровню прописаны в приложении к 21 приказу ФСТЭК. Если вы передаете данные в облако, часть этих требований соблюдаются на стороне облачного провайдера — например, именно он собирает информацию о событиях безопасности и контролирует физический доступ к серверам.

Всего в приложении к приказу 109 мер, для каждого УЗ отмечены обязательные меры. Например, при 1 уровне защищенности нужно выполнить 69 требований.

Чтобы было проще понять, какой уровень защищенности нужен вашим данным, мы составили таблицу на основе Постановления Правительства РФ N 1119:

Как определить уровень защищенности персональных данных

Например, вы собираете общедоступные данные о клиентах. Клиентов менее 100 000, а тип актуальных угроз вы определили как 3.

Тогда для соблюдения норм законодательства нужно обеспечить 4 уровень защищенности персональных данных, то есть минимальный.

Если среди информации о клиентах есть фотографии, это уже биометрические данные — нужно обеспечить 3 уровень защищенности.

Подтвердить уровень защищенности данных можно несколькими способами. Самый сложный — пройти аттестацию в контролирующих органах и получить сертификат. По закону это необязательно, достаточно в любой форме подтвердить соответствие средств защиты требованиям, например с помощью технической документации.

Если вы хотите пройти аттестацию, эксперты Mail.ru Cloud Solutions проконсультируют по всем вопросам, помогут в сертификации комплекса технических и программных средств и построении системы защиты данных по требованиям ФСТЭК.

Зарегистрироваться в Роскомнадзоре

После того как вы обеспечили защиту данных, нужно зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре. Это делается через интернет.

В форме необходимо указать, какие меры вы предприняли для защиты персональных данных, какие именно данные и где будете хранить.

Чтобы правильно заполнить форму, лучше делать это с юристом, который специализируется на персональных данных.

Роскомнадзор иногда проверяет организации — смотрит, зарегистрировались ли они в качестве операторов. Если не зарегистрируетесь, можете получить штраф — от 1000 рублей для физлица и ИП, от 30 000 рублей для юрлица. Все штрафы прописаны в статье 13.11 КоАП.

Даже если у вас небольшая компания, к примеру, маленький интернет-магазин с базой на 100–200 клиентов, вы должны зарегистрироваться в Роскомнадзоре и соблюсти требования безопасности. Даже если клиент всего один, регистрироваться все равно придется.

Спрашивать согласие на обработку персональных данных

При сборе персональных данных нужно спрашивать разрешение у пользователя. Это делается двумя способами:

  • Лично через подписание договора, например с сотрудником.
  • На сайте, через чекбокс о согласии на сбор и обработку персональных данных.

Перед подписанием согласия нужно рассказать пользователю, что вы будете делать с его персональными данными, как хранить и кому передавать. Обычно для этого на сайте добавляют страницу с политикой конфиденциальности.

«Если бизнес хранит информацию в облаке, он не обязан предупреждать об этом своих клиентов или сотрудников. Люди также дают согласие на обработку персональных данных, отмечая галочкой соответствующее поле на сайте или при заполнении анкеты офлайн. Потом предприниматель может передавать эти данные в облако, не спрашивая дополнительного согласия».
Андрей Андреев, адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

Облако в законе: можно ли передавать провайдеру персональные данные

В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — дата-центр выбранного облачного провайдера должен находиться в России. По разъяснениям Минкомсвязи данные можно передавать и за рубеж, например для обработки. Но первый раз их нужно записать на сервер, который физически находится на территории РФ.

Облачный провайдер — это не оператор персональных данных, оператором остается предприниматель. Если данные попадут в руки злоумышленников, перед Роскомнадзором отвечать будет не провайдер, а оператор, то есть бизнес.

Чтобы такого не случилось, предусмотрена надежная защита ПДн в облаке, однако компании нужно ими правильно управлять, грамотно организовать доступ к информации внутри организации. Провайдер не может решать, кому и на каких условиях открывать данные компании, поэтому владелец данных и инфраструктуры должен внимательно подойти к настройкам доступа.

Можно сравнить облако с флэшкой — вы просто записываете туда информацию, но сами отвечаете за ее сохранность, например, следите, чтобы флэшка не потерялась или не попала не в те руки.

У облачного провайдера есть определенные обязательства перед компанией в рамках заключенного договора, то есть он не может никому просто так отдать данные с флэшки и должен их защищать. Однако провайдер не может ничего сделать, если вы сами разрешите любому желающему брать флэшку и скачивать данные.

При передаче персональных данных в облако предприниматель не снимает с себя ответственность за их сохранность. Поэтому он обязан убедиться в надежности провайдера.

Как защищены персональные данные при хранении в облаке

Единственный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат выдают контролирующие органы, он гарантирует, что инфраструктура облака построена в соответствии с требованиями приказов ФСТЭК, а данные там надежно защищены.

«При выборе облака стоит отдавать предпочтение провайдерам, имеющим аттестацию ФСТЭК и ФСБ. Ее наличие гарантирует, что провайдер исполняет требования приказа № 21 ФСТЭК, в котором прописаны технические требования к обеспечению безопасности. Главный плюс аттестации облака в том, что при проверке компании у Роскомнадзора возникает меньше вопросов: данные в облаке, облако аттестовано, значит, все надежно и безопасно».
Андрей Андреев — адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

Аттестат соответствия 152-ФЗ позволяет хранить в облаке данные, которые требуют 3 и 4 уровня защищенности.

Большинство компаний работают именно с такими общедоступными или иными данными: контактами, ФИО, информацией о работе и месте проживания, составе семьи.

В этом случае делать практически ничего не нужно — просто пользуйтесь сертифицированным ПО, обновляйте программы и антивирус и защищайте паролями компьютеры с доступом в облако.

https://www.youtube.com/watch?v=24QQXONSClc

Иногда у бизнеса или государственных компаний возникает потребность хранить данные 1 и 2 уровня доверия. В публичном облаке организовать такой уровень защиты не получится, за исключением отдельных узкоспециализированных продуктов, например, ГЕОП (государственная единая облачная платформа), где могут работать только государственные ведомства.

Если требуется хранить такие данные в облаке, можно развернуть частное облако на собственной инфраструктуре, обеспечить ее защищенность, при необходимости получить нужные сертификаты. В MCS также есть возможность сертификации по УЗ-1 и УЗ-2, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

Как работать с персональными данными в облаке по закону

  1. Если вы собираете данные о клиентах или сотрудниках — вы оператор персональных данных. Это значит, что вы обязаны соответствовать требованиям 152-ФЗ и обеспечить защиту данных.
  2. Чтобы собирать и обрабатывать персональные данные, нужно обеспечить их защиту в соответствии с 21 приказом ФСТЭК, зарегистрироваться в Роскомнадзоре и спрашивать у людей согласие на сбор и обработку данных.
  3. Передавать данные в облако можно. Данные там надежно защищены, однако вы должны правильно настроить доступ к ним.
  4. С точки зрения закона, передавать данные можно только облачным провайдерам, которые аттестованы на соответствие 152-ФЗ.

Елена Шпрингер

Источник: https://mcs.mail.ru/blog/zashchita-personalnyh-dannyh-v-oblake-kak-sdelat-vse-po-zakonu

Источник: https://zen.yandex.ru/media/mcs/zascita-personalnyh-dannyh-v-oblake-kak-sdelat-vse-po-zakonu-152fz-5e2fed7cc31e4900b03bf3e5

Выполнение требований 152-ФЗ, инструкция

Защита персональных данных службой информационной безопасности

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся.

Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается.

Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью.

Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной.

Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

Гис или не гис

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.

Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

  1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
  3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
  5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  • связанные с наличием недекларированных возможностей в системном программном обеспечении;
  • связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  • не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

  • до 100 тысяч;
  • более 100 тысяч;
  • ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

  1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге  получаем адаптированный базовый набор мер.

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые  внедряются в процессы обработки информации.

Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги.

При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

Заказать услугу

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.

Заказать услугу

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим,  привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы.

 Возможно,   через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны.

Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.  

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Источник: https://kontur.ru/articles/1763

Техническая защита информации по требованиям ФСТЭК, меры по информационной безопасности ФСТЭК

Защита персональных данных службой информационной безопасности

ГК «Интегрус» помогает реализовать требования защиты информации ФСТЭК с учетом последних реальных моделей угроз.

Сегодня информация является ценнейшим товаром, а множество массивов данных охраняются на законодательном уровне.

На рынке информационной безопасности представлено большое количество программных и аппаратно-программных средств защиты данных (СЗИ) – отечественного и зарубежного производства.

Вопросы в области технической защиты информации в России регулирует Федеральная служба по техническому и экспортному контролю (ФСТЭК). Служба определяет классы защиты информации, разрабатывает рекомендации и требования по защите данных от несанкционированного доступа, проводит сертификацию средств по обеспечению безопасности сведений в информационных системах.  

Ведется государственный реестр сертифицированных средств защиты информации ФСТЭК России за № РОСС RU.0001.01БИ00.

Также существует добровольная сертификация средств технической защиты информации, например, Certified by AM Test Lab, сертификатами которых отмечены такие продукты как Kaspersky Industrial CyberSecurity for Networks, Solar Dozor UBA, Indeed PAM, DLP-система СёрчИнформ КИБ и многие другие.

Требования ФСТЭК по защите информации

Документация государственного регулирования устанавливает минимальные требования защиты от несанкционированного доступа к данным. Для противодействия киберугрозам ФСТЭК регулярно обновляет базу уязвимостей, вносит новые рекомендации в аттестацию, сертификацию оборудования, программного обеспечения.

Выполнение требований регулятора по технической защите информации обязательно при:

  • оказании услуг информационной безопасности (ТЗКИ, СКЗИ);
  • проведении работ по обеспечению государственной и банковской тайн;
  • выполнении обязанностей оператора персональных данных (ПНд);
  • передаче информации посредством сети Интернет.

Требования ФСТЭК по технической защите информации распространяются на:

  • программное обеспечения и оборудование;
  • внешние носители;
  • средства связи и шифровки/дешифровки данных;
  • операционные системы;
  • прочие технические средства хранения, обработки, передачи сведений;
  • персональные данные;
  • специалистов по обеспечению информационной безопасности.

Так, в состав мер по защите персональных данных согласно требованиям ФСТЭК входят:

  • использование системы идентификации и аутентификации (авторизации) субъектов, имеющих доступ к ПНд, и объектов ПНд;
  • возможность ограничения и управления правами доступа к персональной информации;
  • физическая и программная защита носителей информации;
  • регистрация событий безопасности и ведение их журнала;
  • применение средств антивирусной защиты;
  • регулярный контроль защищенности ПНд;
  • обнаружение и предотвращение вторжений, несанкционированного доступа;
  • обеспечение доступности хранимых сведений, их и информационной системы, базы данных доступности;
  • соблюдение требований по защите среды виртуализации, технических средств, информационной системы (ИС), ее средств, каналов и линий связи и передачи данных.

Также требованиями ФСТЭК России по защите персональных данных предусмотрено наличие возможности управления конфигурацией ИС, своевременного выявления инцидентов, способных привести к сбоям в работе ИС, возникновению угроз безопасности ПНд.

Требования ФСТЭК к специалистам по защите информации включают в себя понимание:

  • основных законодательных и нормативных актов в области информационной безопасности и защиты персональных данных;
  • в области сертификации средств защиты информации;
  • о государственной системе противодействия иностранным техническим разведкам.

К профессиональным знаниям специалистов относится:

  • подготовка в части работы с каналами и линиями связи (предотвращение утечки информации);
  • ориентация в сфере комплексных СЗИ;
  • понимание основ методологии построения СЗИ;
  • умение работать со средствами контроля защищенности баз данных (БД) и т.д.

С полным перечнем требований к профессиональной подготовке специалистов в сфере защиты информации можно ознакомиться здесь.

Требования ФСТЭК по защите конфиденциальной информации направлены на исключение неправомерного доступа, копирования, передачи или распространения сведений. Для обеспечения требований по безопасности конфиденциальной информации проводится оценка возможных уязвимостей ИС для внешних и внутренних нарушителей, возможных средств реализации этих уязвимостей.

Меры по защите информации ФСТЭК

Меры защиты информации в информационных системах согласно требованиям ФСТЭК должны обеспечивать необходимый уровень безопасности при взаимодействии защищаемых ИС с другими ИС, при обработке и хранении информации. При этом предлагаемые на этапе проектирования меры должны быть реализуемы в конкретной ИС.

Методы и средства технической защиты информации подбираются с учетом структуры СЗИ, состава и мест размещения ее элементов. Если защищаемая ИС проектируется в составе центра обработки данных (ЦОД) рекомендуется использовать уже имеющиеся в ЦОД средства, меры защиты данных.

Выстраивание защиты в государственных информационных системах (ГИС) предполагает ряд нюансов:

  1. К работе допускаются только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации;
  2. Требования по охране данных и информации базируются на ряде ГОСТов.
  3. Структурирование классов защиты информации для государственных учреждений – жесткое (всего три класса из семи возможных, используемых в работе частных операторов персональных данных).
  4. Модели угроз основываются на документах и баз ФСТЭК.

Организационные мероприятия предотвращают неправомерные:

  • доступ, хищение и распространение закрытых данных;
  • уничтожение/изменение целостности данных;
  • препятствие получению информации, нарушающее права пользователей.
  • Важное значение имеет разработка пакета организационных и распорядительных документов для:
  • регламентации процесса безопасности хранения данных;
  • порядка выявления инцидентов безопасности;
  • регламентации управления конфигурированием информационных систем по защите данных;
  • установления методов мониторинга информсистем.

Существует регламентация разработки систем и введения их в эксплуатацию, разграничения уровней доступности, проведения проверок и анализ реакций, ответственных за организацию защиты специалистов. Лишь после проведения совокупности мероприятий информационная система аттестуется, вводясь в эксплуатацию.

Технические меры защиты обязывают госструктуры использовать сертифицированные средства, соответствующие классу защиты с функциями:

  • идентификации, аутентификации;
  • управления доступом к данным с возможностью контроля;
  • ограничений по использованию программ;
  • защиты всех информационных носителей;
  • ведение регистрационного учета инцидентов в сфере безопасности;
  • отслеживания вторжений извне;
  • обеспечения целостности находящейся на хранении и обрабатываемой информации;
  • защиты в облачной среде.

Для частных компаний это допустимо с более урезанным функционалом, используемым при обработке массива персональных данных.

Рекомендации ФСТЭК по защите информации

Методические рекомендации ФСТЭК по защите данных предусматривают использование:

  • межсетевых экранов, фильтрующих информацию по установленным критериям;
  • средств, направленных на обнаружение, нейтрализацию и анализ вторжений;
  • антивирусных программ, выявляющих, блокирующих и нейтрализующих несанкционированные действия;
  • доверенной загрузки;
  • контроля за съемными носителями.

ФСТЭК рекомендует использовать такие методы по защите информации как контроль доступа к носителям данных и ИС (физический, аппаратный, программный и т.д.), шифрование передаваемых сведений.

Методические документы и приказы ФСТЭК по защите информации

Существует огромный перечень подзаконных актов и документов, определяющих порядок организации информационной защиты и позволяющих эффективно применять разработанную систему информационной безопасности.

Так, положения о защите технической информации разрабатываются организациями самостоятельно. Отдельные положения выносятся местными органами власти.

ФСТЭК выпускает приказы, уточняющие требования в сфере защиты информации, например, Приказ ФСТЭК России от 23 марта 2017 г. N 49, от 15 февраля 2017 г. N 27 и т.д.

– полный перечень документов ФСТЭК по технической защите информации можно уточнить здесь. Детальнее:

Техническая защита информации затрагивает вопросы сбора, обработки, передачи, хранения, распространения информации с соответствующим классу защищенности обеспечением ее безопасности на предприятиях. Система документов по технической защите информации строится на основополагающих элементах:

  • федеральное законодательство;
  • распоряжения и указы Президента РФ;
  • постановления правительства РФ;
  • документация ФСБ, ФСТЭК, Роскомнадзора;
  • общероссийские стандарты;
  • документы руководящие, нормативно-методические.

Документы ФСТЭК по технической защите информации ложатся в основу проектирования и исполнения информсистем, защищенных от проникновения на любых уровнях. Вся документация размещается по мере обновления на официальном сайте и является обязательной к исполнению.

В нормативных руководящих документах ФСТЭК по защите информации содержатся принципы разноуровневой защиты по шкале важности сведений, степени конфиденциальности, предписаний по оценке защищенности от несанкционированных действий злоумышленников, регламенты работ для сотрудников сферы защиты данных.

Сертифицированные средства защиты ФСТЭК

Функции ФСТЭК в области сертификации средств защиты информации заключаются в:

  • создании системы сертификации средств защиты информации в соответствии с требованиям по обеспечению информационной безопасности;
  • формировании правил проведения сертификации средств защиты данных;
  • аккредитации органов по сертификации и испытательных лабораторий и разработке правил аккредитации;
  • выборе способов подтверждения соответствия СЗИ требования нормативных документов;
  • выдаче сертификатов и лицензий на использование знаков соответствия;
  • ведении государственного реестра участников сертификации и реестра сертифицированных средств защиты информации;
  • осуществлении государственного надзора над соблюдением участниками правил сертификации, инспекционного контроля – над сертифицированными средствами защиты;
  • рассмотрении апелляций по вопросам сертификации;
  • утверждении нормативных документов с требованиями к средствам и системам защиты информации, методических документов по проведению испытаний.

Также ФСТЭК исполняет функции центрального органа системы сертификации средств защиты информации (либо может делегировать их другой организации по необходимости). ФСТЭК может приостанавливать или отменять действие сертификатов.

Система сертификации средств защиты информации ФСТЭК включает в себя органы по сертификации (работающие с определенными видом продукции), испытательные лаборатории. В структуру системы сертификации ФСТЭК также входят заявители (предприятия, организации, компании) и центральный орган, в роли которой выступает сама ФСТЭК.

Классы средств защиты информации ФСТЭК

Регулятор выделил семь классов защищенности, где первый класс соответствует наивысшей степени защиты, а седьмой (для госструктур – третий) является низшей. Комплекс требований по защите средств вычислительной техники и автоматизированных систем формируют градацию классов.

Сертификаты соответствия ФСТЭК России на средства защиты информации подтверждают, что организация соответствует действующим нормативно-правовым актам РФ и имеет высокий уровень защищенности от кибер-угроз.

Выбор оптимального защитного средства зависит напрямую от класса системы.

В ситуациях значительного превышения стоимости программного обеспечения нужного класса допустимо, согласовав с территориальным органом ФСТЭК, устанавливать иные средства защиты.

Госреестр средств защиты информации ФСТЭК России

Государственный реестр сертифицированных средств защиты информации ФСТЭК постоянно обновляется, находясь в открытом доступе. В нем содержится информация об аккредитациях, сертификатах (в т.ч. двойного назначения), лицензиях, разрешениях. Программы и средства информационной защиты в обязательном порядке проходят обязательную регистрацию, с занесением в реестр и выдачей сертификата.

Лицензирование деятельности по технической защите информации ФСТЭК

Лицензия ФСТЭК на техническую защиту конфиденциальной информации включает средства информационной защиты, их установку и эксплуатацию. Выдача предприятию лицензии для работы с конфиденциальными сведениями и по оказанию телематических услуг означает корректную работу системы безопасности данных на основе рекомендаций, требований, положений и приказов ФСТЭК.

Отказ от получения допуска чреват жесткими проверками с возможной приостановкой работы, отзывом разрешительных документов и административным наказанием.

Виды лицензий, связанных с деятельностью:

  • по предотвращению утечек по различным каналам, бесконтрольного проникновения, видоизменения информации как в системах, так и помещениях, где они размещаются;
  • на услуги мониторинга информбезопасности, аттестации на соответствие требованиям защиты информации, проектирования систем информатизации в защищаемых помещениях, монтажа, отладки, проведению испытаний и ремонтных работ;
  • на разработку и производство средств безопасности;
  • на выстраивание мероприятий по сохранности гостайны.

При оформлении лицензии используются только некриптографические методы.

Срок оформления лицензии составляет 30 дней, хотя зачастую готовое разрешение удается получить только спустя два месяца. Действие лицензии бессрочное.

Источник: https://integrus.ru/blog/it-decisions/zashhita-informatsii-i-informatsionnaya-bezopasnost-fstek.html

О бухгалтерии
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: