Защита персональных данных
Новости
23.08.2010 - АСТ защитит персональные данные в ФСКН РФ
15.08.2010 - Компания АСТ провела сертификацию продуктов InterSystems
13.07.2010 - Новые направления деятельности компании АСТ в Центральном Черноземье
В последнее время развитие рынка информационной безопасности во многом проходит под эгидой вступления в силу требований Закона «О защите персональных данных», устанавливающего порядок обработки информации, по которой можно идентифицировать личность.
В этой связи начал активно формироваться сегмент услуг по приведению информационных корпоративных систем в соответствие с новой нормативно-правовой базой. Многие операторы персональных данных, к которым относятся страховые, телекоммуникационные, финансовые и другие компании, начали активно адаптировать информационные системы персональных данных (ИСПД) к требованиям государства в части обеспечения их информационной безопасности, приобретать и внедрять решения по защите ИСПД. Реализовать требования регуляторов необходимо до 1 января 2011 года.
Реализация проекта по защите персональных данных подразумевает выполнение следующих видов работ:
- комплексный аудит информационных систем на предмет соответствия требованиям стандартов,
- внедрение комплекса средств защиты информации,
- проведение аттестации системы информационной безопасности по требованиям ФСТЭК.
У компании «АСТ» полностью сформирована лицензионная база, которая позволяет осуществлять полный цикл работ по защите персональных данных, проводить аттестацию по требованиям ФСТЭК. В том числе компанией получена .
Технология работ
Для того чтобы выполнить требований регуляторов, необходимо решить следующие задачи:
Провести комплекс организационных мероприятий.
Комплекс организационных мероприятий может включать работы по уведомлению уполномоченного органа о намерении осуществлять обработку персональных данных и включению в реестр операторов персональных данных; пересмотру договоров с клиентами с целью получения от них письменного согласия на обработку данных и пр.
Сформировать требования к системе защиты персональных данных на основе классификации ИС организации и модели угроз безопасности.
Класс ИС определяется на основе анализа категорий обрабатываемых данных и количества субъектов, данные которых обрабатываются в ИС. Требования по защите персональных данных формируются, исходя из частной модели угроз, которая создается на основании документа «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» с использованием «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
Создать/модернизировать систему защиты персональных данных (СЗПДн).
Следует учитывать, что для последующей аттестации СЗПДн при ее создании необходимо использовать сертифицированные по требованиям ФСТЭК и ФСБ России средства защиты.
Необходимо разработать пакет внутренних организационно-распорядительных и нормативных документов по защите персональных данных.
Провести аттестацию системы обработки персональных данных по требованиям безопасности информации ФСТЭК России.
Согласно нормативным документам ФСТЭК России, обязательна аттестация информационных классов 1 и 2. Использование средств криптографической защиты информации (СКЗИ) в технологических процессах обмена и обработки информации организации накладывает дополнительные требования по аттестации средств обработки информации, используемых для осуществления деятельности по распространению, техническому обслуживанию шифровальных (криптографических) средств и предоставлению клиентам организации услуг в области шифрования.
Провести лицензирование организации в системе ФСТЭК России деятельности по технической защите конфиденциальной информации.
По требованиям регуляторов проектные работы по созданию/модернизации СЗПДн, а также дальнейшее сопровождение СЗПДн должно осуществляться лицензиатом ФСТЭК. Таким образом, кредитно-финансовые организации должны либо лицензироваться в системе ФСТЭК России, либо отдавать сопровождение СЗПДн на аутсорсинг соответствующим лицензиатам.
Выполнение требований законодательства должно подтверждаться наличием у организации следующих документов:
- выписки из приказа о внесении в Реестр операторов или выписки из этого Реестра;
- аттестатов соответствия на АИС, обрабатывающие персональные данные, и на средства обработки информации;
- пакета внутренних организационно-распорядительных и нормативных документов по защите персональных данных.
Требования по защите персональных данных затрагивают все аспекты функционирования информационного комплекса организации, поэтому их реализация требует серьезных усилий. Это связано, в том числе, с ограниченными финансовыми, людскими и временными ресурсами, а также с отсутствием универсального решения для построения информационной системы, отвечающей всем требованиям регуляторов.
При сохранении единой (недекомпозированной) архитектуры АИС основной проблемой становится также необходимость классификации АИС организации по высшему классу защищенности (ИСПДн 1-го класса).
Этапы проекта по защите персональных данных
Наши специалисты выполняют полный цикл работ по проекту,
который можно разбить на следующие этапы:
Этап 1. Обследование информационного комплекса организации
Цели проведения:
- определение видов и категорий защищаемой информации;
- выявление в информационной системе подсистем, которые обрабатывают персональные данные (ИСПДн), предварительная классификация информационных систем в соответствии с «Порядком проведения классификации информационных систем персональных данных» и по требованиям руководящих документов ФСТЭК к аттестуемым объектам информатизации;
- определение необходимости корректировки внутренней нормативной базы организации и договоров с физическими и юридическими лицами в части обработки персональных данных и их передачи третьим лицам;
- получение исходных данных для формирования модели угроз безопасности АИС организации;
- определение уровня исходной защищенности и степени соответствия информационного комплекса организации требованиям нормативных документов.
Состав работ по этапу:
- согласование и утверждение Регламента проведения обследования, включая разработку и согласование Программы и методики обследования;
- информационное обследование (включает анализ документации, относящейся к обеспечению ИБ, анализ договорной работы, интервьюирование специалистов Заказчика, заполнение опросных листов);
- инструментальное обследование (включает анализ конфигураций и сканирование элементов сетевой инфраструктуры организации на предмет наличия уязвимостей технологического характера);
- разработка отчета о проведенном обследовании.
Результаты работ по этапу:
1. Отчет о результатах обследования информационных систем организации, содержащий:
- выводы по классификации информационных активов организации (перечень персональных данных, обрабатываемых в АИС Заказчика, предварительная классификация ИСПДн);
- выводы о текущем уровне защищенности АИС и выполнении Политики информационной безопасности организации;
- перечень уязвимостей технологического характера с рекомендациями по их устранению.
2. Рекомендации по обеспечению безопасности персональных данных, обрабатываемых в ИС организации, включающие:
- детальный план работ по приведению информационного комплекса организации в соответствие с требованиями нормативных документов;
- оценку затрат на проведение работ по созданию
СЗПДн.
Этап 2. Проектные работы по созданию/модернизации СЗПДн в соответствии с РД ФСТЭК/ФСБ России и проведение аттестационных испытаний системы обработки
Этот этап можно разбить на несколько подэтапов. Каждый из них может рассматриваться как отдельное мероприятие по защите информации.
2.1. Техническое проектирование СЗПДн
В рамках данного подэтапа осуществляется:
- разработка модели угроз безопасности персональных данных, обрабатываемых в ИС организации;
- разработка проектных решений по системе в целом и ее частям и выбор средств защиты;
- разработка и согласование ТЗ (частного ТЗ) на создание СЗПДн;
- разработка спецификации на закупку оборудования и программного обеспечения.
Результаты работ по подэтапу:
- Модель угроз безопасности персональных данных, обрабатываемых в организации (модель нарушителя, описание актуальных для ИС Заказчика угроз безопасности, способы реализации данных угроз злоумышленником).
- ТЗ (частное ТЗ) на создание системы защиты персональных данных, включающее спецификацию требований к СЗПДн.
- Технический проект СЗПДн, включающий:
- состав и сроки проведения работ по внедрению СЗПДн;
- описание выбранных технических решений, перечень предполагаемых к использованию средств защиты и обоснование их выбора;
- спецификацию на закупку оборудования и программного обеспечения.
2.2. Разработка (доработка) пакета организационно-распорядительных и нормативных документов
На данном подэтапе производится корректировка нормативной базы организации по обеспечению безопасности информации ограниченного доступа, с включением в нее документации, необходимой для установления и поддержания режима защиты персональных данных в соответствии с требованиями регуляторов.
Результаты работ могут содержать рекомендации по доработке существующих документов, шаблоны документов либо готовые документы по следующему перечню:
- акт(ы) классификации ИСПДн
- уведомление об обработке персональных данных
- положение об обеспечении безопасности персональных данных при их обработке
- перечень персональных данных (приложение к «Положению об обеспечении безопасности персональных данных при их обработке»)
- положение об обработке персональных данных работника
- регламенты обработки персональных данных
- инструкции администраторов безопасности и пользователей в части обеспечения безопасности персональных данных
- перечень лиц, допущенных к обработке персональных данных, и пр.
2.3. Внедрение технических решений
Работы подэтапа включают в себя:
- поставку, установку и монтаж средств защиты персональных данных, сертифицированных в системе сертификации ФСТЭК и ФСБ России,
- первоначальную настройку и/или корректировку существующих настроек уже приобретенных Заказчиком программно-технических СЗИ,
- сдачу системы в эксплуатацию.
Результаты работ оформляются Актом внедрения СЗПДн.
2.4. Аттестация информационных систем
Работы подэтапа включают в себя:
- подготовку организации к аттестации: разработку пакета подготовительной аттестационной документации (акты категорирования и классификации, технический(е) паспорт(а), инструкции для АС, схемы размещения, схемы линий и коммуникаций).
- аттестацию в соответствии с выбранным классом защищенности.
Результаты работ по подэтапу:
- заключения по результатам аттестационных испытаний;
- протоколы аттестационных испытаний;
- предписания на использование технических средств;
- аттестаты соответствия на средства обработки информации, используемые для осуществления деятельности по распространению, техническому обслуживанию шифровальных (криптографических) средств и предоставления услуг в области шифрования информации;
- аттестаты соответствия на систему обработки персональных данных. Именно аттестатом соответствия подтверждается, что система обработки персональных данных организации соответствует требованиям нормативно-технических документов по безопасности информации ФСТЭК/ФСБ России.
Наш опыт
Заказчик
Управление Федеральной регистрационной службы по Самарской области
Решение
аудит состояния защищенности информационно-телекоммуникационной системы на предмет соответствия требованиям законодательства РФ в области защиты информации, в том числе в области защиты персональных данных
РЕЗУЛЬТАТ:
в ходе аудита был определен текущий уровень безопасности и выявлены основные угрозы безопасности, разработаны рекомендации по устранению существующих недостатков системы. Аудит проводился в том числе и с помощью инструментальных методов: применялись сканеры XSpider, Shadow Database Scanner, также разработанная компанией «АСТ» система анализа настроек ОС Windows, позволяющая собрать данные о сотнях параметров настройки операционной системы и сформировать отчет, содержащий количественные и качественные оценки обнаруженных уязвимостей и недостатков в настройке операционных систем. На основе данных аудита были разработаны рекомендации по приведению существующей подсистемы защиты информации в соответствие к требованиям законодательства, в том числе нормативных документов по защите персональных данных, а именно: выделены ИСПДн, проведена их классификация, разработаны рекомендации по построению систем защиты ПДн. Также был разработан пакет организационно-распорядительной информации обеспечения защиты персональных данных в соответствии с требованиями законодательства.
Заказчик
Связьинвест
Решение
создание системы защиты персональных данных
«АСТ» совместно с ОАО «АйСиЭл–КПО ВС» реализует проект по созданию системы защиты персональных данных для телекоммуникационного холдинга «Связьинвест».
В рамках проекта осуществляется проектирование, разработка и внедрение как организационных, так и технических мер по защите персональных данных физических лиц. Все меры соответствуют требованиям регуляторов – ФСБ, ФСТЭК России и Роскомнадзора. В настоящее время специалисты «АСТ» проводят обследование четырех межрегиональных компаний, входящих в холдинг: ОАО «Южная телекоммуникационная компания», ОАО «Уралсвязьинформ», ОАО «Северо-Западный Телеком», ОАО «Дагсвязьинформ». В ходе проекта: выделены все ИСПдн, проведена классификация ИСПДн, разработаны модели угроз, разработаны Технические задания на создание систем защиты ИСПДн, разработаны Технические проекты систем защиты ИСПДн.
При выборе технических решений и разработке систем защиты
ИСПДн учитывалось текущее состояние информационных систем Заказчика, а также
максимально использовались уже внедренные системы защиты информации.
В дальнейшем планируется аттестация систем обработки персональных данных во всех перечисленных подразделениях холдинга.





































