Защита персональных данных

• Технология
• Этапы проекта
• Проекты

В последнее время развитие рынка информационной безопасности во многом проходит под эгидой вступления в силу требований Закона «О защите персональных данных», устанавливающего порядок обработки информации, по которой можно идентифицировать личность.  

В этой связи начал активно формироваться сегмент услуг по приведению информационных корпоративных систем в соответствие с новой нормативно-правовой базой. Многие операторы персональных данных, к которым относятся страховые, телекоммуникационные, финансовые и другие компании, начали активно адаптировать информационные системы персональных данных (ИСПД) к требованиям государства в части обеспечения их информационной безопасности, приобретать и внедрять решения по защите ИСПД.  Реализовать требования регуляторов необходимо до 1 января 2011 года.  

Реализация проекта  по защите персональных данных подразумевает выполнение следующих видов работ: 

• комплексный аудит информационных систем на предмет соответствия требованиям стандартов, 
• внедрение комплекса средств защиты информации, 
• проведение аттестации системы информационной безопасности по требованиям ФСТЭК. 

У компании «АСТ» полностью сформирована лицензионная база, которая позволяет  осуществлять полный цикл работ по защите персональных данных, проводить аттестацию по требованиям ФСТЭК. В том числе компанией получена . 

Технология работ

Для того чтобы выполнить требований регуляторов, необходимо решить следующие задачи: 

Провести комплекс организационных мероприятий. 

Комплекс организационных мероприятий может включать работы по уведомлению уполномоченного органа о намерении осуществлять обработку персональных данных и включению в реестр операторов персональных данных; пересмотру договоров с клиентами с целью получения от них письменного согласия на обработку данных и пр. 

Сформировать требования к системе защиты персональных данных на основе классификации ИС организации и модели угроз безопасности. 

Класс ИС определяется на основе анализа категорий обрабатываемых данных и количества субъектов, данные которых обрабатываются в ИС. Требования по защите персональных данных формируются, исходя из частной модели угроз, которая создается на основании документа «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» с использованием «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». 

Создать/модернизировать систему защиты персональных данных (СЗПДн). 

Следует учитывать, что для последующей аттестации СЗПДн при ее создании необходимо использовать сертифицированные по требованиям ФСТЭК и ФСБ России средства защиты.  

Необходимо разработать пакет внутренних организационно-распорядительных и нормативных документов по защите персональных данных. 

Провести аттестацию системы обработки персональных данных по требованиям безопасности информации ФСТЭК России. 

Согласно нормативным документам ФСТЭК России, обязательна аттестация информационных  классов 1 и 2.   Использование средств криптографической защиты информации (СКЗИ) в технологических процессах обмена и обработки информации организации накладывает дополнительные требования по аттестации средств обработки информации, используемых для осуществления деятельности по распространению, техническому обслуживанию шифровальных (криптографических) средств и предоставлению клиентам организации  услуг в области шифрования. 

Провести лицензирование организации в системе ФСТЭК России деятельности по технической защите конфиденциальной информации. 

По требованиям регуляторов проектные работы по созданию/модернизации СЗПДн, а также дальнейшее сопровождение СЗПДн должно осуществляться лицензиатом ФСТЭК. Таким образом, кредитно-финансовые организации должны либо лицензироваться в системе ФСТЭК России, либо отдавать сопровождение СЗПДн на аутсорсинг соответствующим лицензиатам. 

Выполнение требований законодательства должно подтверждаться наличием у организации  следующих документов: 

• выписки из приказа о внесении в Реестр операторов или выписки из этого Реестра; 
• аттестатов соответствия на АИС, обрабатывающие персональные данные, и на средства обработки информации; 
• пакета внутренних организационно-распорядительных и нормативных документов по защите персональных данных.  

Требования по защите персональных данных затрагивают все аспекты функционирования информационного комплекса организации, поэтому их реализация требует серьезных усилий. Это связано, в том числе, с ограниченными финансовыми, людскими и временными ресурсами, а также с отсутствием универсального решения для построения информационной системы, отвечающей всем требованиям регуляторов.  

При сохранении единой (недекомпозированной) архитектуры АИС основной проблемой становится также необходимость классификации АИС организации по высшему классу защищенности (ИСПДн 1-го класса).   

Этапы проекта по защите персональных данных

Наши специалисты выполняют полный цикл работ по проекту, который можно разбить на следующие этапы:

Этап 1. Обследование информационного комплекса организации

Цели проведения:

• определение видов и категорий защищаемой информации; 
• выявление в информационной системе подсистем, которые обрабатывают персональные данные (ИСПДн), предварительная классификация информационных систем в соответствии с «Порядком проведения классификации информационных систем персональных данных» и по требованиям руководящих документов ФСТЭК к аттестуемым объектам информатизации; 
• определение необходимости корректировки внутренней нормативной базы организации и договоров с физическими и юридическими лицами в части обработки персональных данных и их передачи третьим лицам; 
• получение исходных данных для формирования модели угроз безопасности АИС организации; 
• определение уровня исходной защищенности и степени соответствия информационного комплекса организации требованиям нормативных документов. 

Состав работ по этапу: 

• согласование и утверждение Регламента проведения обследования, включая разработку и согласование Программы и методики обследования; 
• информационное обследование (включает анализ документации, относящейся к обеспечению ИБ, анализ договорной работы, интервьюирование специалистов Заказчика, заполнение опросных листов); 
• инструментальное обследование (включает анализ конфигураций и сканирование элементов сетевой инфраструктуры организации на предмет наличия уязвимостей технологического характера); 
• разработка отчета о проведенном обследовании. 

Результаты работ по этапу:

1. Отчет о результатах обследования информационных систем организации, содержащий: 

• выводы по классификации информационных активов организации  (перечень персональных данных, обрабатываемых в АИС Заказчика, предварительная классификация ИСПДн); 
• выводы о текущем уровне защищенности АИС и выполнении Политики информационной безопасности организации; 
• перечень уязвимостей технологического характера с рекомендациями по их устранению. 

2. Рекомендации по обеспечению безопасности персональных данных, обрабатываемых в ИС организации, включающие: 

• детальный план работ по приведению информационного комплекса организации в соответствие с требованиями нормативных документов; 
• оценку затрат на проведение работ по созданию СЗПДн.
  

Этап 2. Проектные работы по созданию/модернизации СЗПДн в соответствии с РД ФСТЭК/ФСБ России и проведение аттестационных испытаний системы обработки

Этот этап можно разбить на несколько подэтапов. Каждый из них может рассматриваться как отдельное мероприятие по защите информации. 

2.1. Техническое проектирование СЗПДн 

В рамках данного подэтапа осуществляется: 

• разработка модели угроз безопасности персональных данных, обрабатываемых в ИС организации; 
• разработка проектных решений по системе в целом и ее частям и выбор средств защиты;  
• разработка и согласование ТЗ (частного ТЗ) на создание СЗПДн; 
• разработка спецификации на закупку оборудования и программного обеспечения. 

Результаты работ по подэтапу: 

• Модель угроз безопасности персональных данных, обрабатываемых в организации   (модель нарушителя, описание актуальных для ИС Заказчика угроз безопасности, способы реализации данных угроз злоумышленником). 
• ТЗ (частное ТЗ) на создание  системы защиты персональных данных, включающее спецификацию требований к СЗПДн. 
• Технический проект СЗПДн, включающий:  
  • состав и сроки проведения работ по внедрению СЗПДн;  
  • описание выбранных технических решений, перечень предполагаемых к использованию средств защиты и обоснование их выбора;  
  • спецификацию на закупку оборудования и программного обеспечения. 

2.2. Разработка (доработка) пакета организационно-распорядительных и нормативных документов 

На данном подэтапе производится корректировка нормативной базы организации по обеспечению безопасности информации ограниченного доступа, с включением в нее документации, необходимой для установления и поддержания режима защиты персональных данных в соответствии с требованиями регуляторов.  

Результаты работ могут содержать рекомендации по доработке существующих документов, шаблоны документов либо готовые документы по следующему перечню: 

• акт(ы) классификации ИСПДн 
• уведомление об обработке персональных данных 
• положение об обеспечении безопасности персональных данных при их обработке 
• перечень персональных данных (приложение к «Положению об обеспечении безопасности персональных данных при их обработке») 
• положение об обработке персональных данных работника 
• регламенты обработки персональных данных 
• инструкции администраторов безопасности и пользователей в части обеспечения безопасности персональных данных 
• перечень лиц, допущенных к обработке персональных данных, и пр. 

2.3. Внедрение технических решений 

Работы подэтапа включают в себя: 

• поставку, установку и монтаж средств защиты персональных данных, сертифицированных в системе сертификации ФСТЭК и ФСБ России, 
• первоначальную настройку и/или корректировку существующих настроек уже приобретенных Заказчиком программно-технических СЗИ, 
• сдачу системы в эксплуатацию. 

Результаты работ оформляются Актом внедрения СЗПДн.  

2.4. Аттестация информационных систем 

Работы подэтапа включают в себя: 

• подготовку организации к аттестации: разработку пакета подготовительной аттестационной документации (акты категорирования и классификации,  технический(е) паспорт(а), инструкции для АС, схемы размещения, схемы линий и коммуникаций). 
• аттестацию в соответствии с выбранным классом защищенности. 

Результаты работ по подэтапу: 

• заключения по результатам аттестационных испытаний; 
• протоколы аттестационных испытаний; 
• предписания на использование технических средств; 
• аттестаты соответствия на средства обработки информации, используемые для осуществления деятельности по распространению, техническому обслуживанию шифровальных (криптографических) средств и предоставления услуг в области шифрования информации;  
• аттестаты соответствия на систему обработки персональных данных. Именно аттестатом соответствия подтверждается, что система обработки персональных данных организации соответствует требованиям нормативно-технических документов по безопасности информации ФСТЭК/ФСБ России.

Наш опыт

Заказчик
Управление Федеральной регистрационной службы по Самарской области

Решение
аудит состояния защищенности информационно-телекоммуникационной системы на предмет соответствия требованиям законодательства РФ в области защиты информации, в том числе в области защиты персональных данных

РЕЗУЛЬТАТ:

в ходе аудита был определен текущий уровень безопасности и  выявлены основные угрозы безопасности, разработаны рекомендации  по устранению существующих недостатков системы.  Аудит проводился в том числе и с помощью инструментальных методов:  применялись сканеры XSpider, Shadow Database Scanner, также  разработанная компанией «АСТ» система анализа настроек ОС Windows, позволяющая собрать данные о сотнях параметров настройки операционной системы и сформировать отчет, содержащий количественные и качественные оценки обнаруженных уязвимостей и недостатков в настройке операционных систем. На основе данных аудита были разработаны рекомендации по приведению существующей подсистемы защиты информации в соответствие  к требованиям законодательства, в том числе нормативных документов по защите персональных данных, а именно: выделены ИСПДн, проведена их классификация, разработаны рекомендации по построению систем защиты ПДн. Также был разработан пакет организационно-распорядительной информации  обеспечения защиты персональных данных в соответствии с требованиями законодательства.  

Заказчик
Связьинвест

Решение
создание системы защиты персональных данных

«АСТ» совместно с ОАО «АйСиЭл–КПО ВС» реализует проект по созданию системы защиты персональных данных для телекоммуникационного холдинга «Связьинвест». 

В рамках проекта осуществляется проектирование, разработка и внедрение как организационных, так и технических мер по защите персональных данных физических лиц. Все меры соответствуют требованиям регуляторов – ФСБ, ФСТЭК России и Роскомнадзора. В настоящее время специалисты «АСТ» проводят обследование четырех межрегиональных компаний, входящих в холдинг: ОАО «Южная телекоммуникационная компания», ОАО «Уралсвязьинформ», ОАО «Северо-Западный Телеком», ОАО «Дагсвязьинформ». В ходе проекта: выделены все ИСПдн, проведена классификация ИСПДн, разработаны модели угроз, разработаны Технические задания на создание систем защиты ИСПДн, разработаны Технические проекты систем защиты ИСПДн. 

При выборе технических решений и разработке систем защиты ИСПДн учитывалось текущее состояние информационных систем Заказчика, а также максимально использовались уже внедренные системы защиты информации.

В дальнейшем планируется аттестация систем обработки персональных данных во всех перечисленных подразделениях холдинга. 

• Услуги АСТ
• Анализ защищенности ИТ-ресурсов от актуальных угроз
• Разработка концепции и политики информационной безопасности
• Проектирование и внедрение комплексной системы защиты информации
• Сопровождение и поддержка созданной КСЗИ

• Решения АСТ
• Защита баз данных
• Защита персональных данных
• Системы мониторинга и управления инцидентами
• Системы сетевой безопасности
• Системы защиты от утечки информации (DLP-системы)