Обеспечение защиты персональных данных с необходимыми согласованиями и аттестацией
В последнее время развитие рынка информационной безопасности во многом проходит под эгидой вступления в силу требований Закона «О защите персональных данных», устанавливающего порядок обработки информации, по которой можно идентифицировать личность.
Реализация проекта по защите персональных данных подразумевает выполнение следующих видов работ:
- комплексный аудит информационных систем на предмет соответствия требованиям стандартов,
- внедрение комплекса средств защиты информации,
- проведение аттестации системы информационной безопасности по требованиям ФСТЭК.
У компании «АСТ» полностью сформирована лицензионная база, которая позволяет осуществлять полный цикл работ по защите персональных данных, проводить аттестацию по требованиям ФСТЭК. В том числе компанией получена лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Компания АСТ накопила огромный опыт в сфере защиты персональных данных. Нашими клиентами стали компании из самых разных сфер деятельности - подразделения ОАО «Ростелеком», ФСКН России, ООО «А 3», Комитет экономического развития, промышленной политики и торговли Cанкт-Петербурга и другие.
Как мы это делаем?
Для того чтобы выполнить требований регуляторов, необходимо решить следующие задачи:
Провести комплекс организационных мероприятий.
Комплекс организационных мероприятий может включать работы по уведомлению уполномоченного органа о намерении осуществлять обработку персональных данных и включению в реестр операторов персональных данных; пересмотру договоров с клиентами с целью получения от них письменного согласия на обработку данных и пр.
Сформировать требования к системе защиты персональных данных на основе классификации ИС организации и модели угроз безопасности.
Класс ИС определяется на основе анализа категорий обрабатываемых данных и количества субъектов, данные которых обрабатываются в ИС. Требования по защите персональных данных формируются, исходя из частной модели угроз, которая создается на основании документа «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» с использованием «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
Создать/модернизировать систему защиты персональных данных (СЗПДн).
Следует учитывать, что для последующей аттестации СЗПДн при ее создании необходимо использовать сертифицированные по требованиям ФСТЭК и ФСБ России средства защиты.
Необходимо разработать пакет внутренних организационно-распорядительных и нормативных документов по защите персональных данных.
Провести аттестацию системы обработки персональных данных по требованиям безопасности информации ФСТЭК России.
Согласно нормативным документам ФСТЭК России, обязательна аттестация информационных классов 1 и 2. Использование средств криптографической защиты информации (СКЗИ) в технологических процессах обмена и обработки информации организации накладывает дополнительные требования по аттестации средств обработки информации, используемых для осуществления деятельности по распространению, техническому обслуживанию шифровальных (криптографических) средств и предоставлению клиентам организации услуг в области шифрования.
Провести лицензирование организации в системе ФСТЭК России деятельности по технической защите конфиденциальной информации.
По требованиям регуляторов проектные работы по созданию/модернизации СЗПДн, а также дальнейшее сопровождение СЗПДн должно осуществляться лицензиатом ФСТЭК. Таким образом, кредитно-финансовые организации должны либо лицензироваться в системе ФСТЭК России, либо отдавать сопровождение СЗПДн на аутсорсинг соответствующим лицензиатам.
Выполнение требований законодательства должно подтверждаться наличием у организации следующих документов:
- выписки из приказа о внесении в Реестр операторов или выписки из этого Реестра;
- аттестатов соответствия на АИС, обрабатывающие персональные данные, и на средства обработки информации;
- пакета внутренних организационно-распорядительных и нормативных документов по защите персональных данных.
Требования по защите персональных данных затрагивают все аспекты функционирования информационного комплекса организации, поэтому их реализация требует серьезных усилий. Это связано, в том числе, с ограниченными финансовыми, людскими и временными ресурсами, а также с отсутствием универсального решения для построения информационной системы, отвечающей всем требованиям регуляторов.
При сохранении единой (недекомпозированной) архитектуры АИС основной проблемой становится также необходимость классификации АИС организации по высшему классу защищенности (ИСПДн 1-го класса).
Применение решений Oracle по информационной безопасности для выполнения требований Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных”
| Требование закона | Реализация с помощью решений Oracle |
| Статья 5 п.5 (Недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных) | Использование DatabaseVault позволяет разделить массивы различных данных на основе создания защищенных областей (realms). |
| Статья 6 п.3 (Обезличивание персональных данных) | Использование AdvancedSecurityOptions (ASO) позволяет обезличить персональные данные путем зашифрования колонок данных, идентифицирующих субъекта персональных данных. |
| Статья 7 (Конфиденциальность персональных данных) |
Использование решений DatabaseVault, AuditVaultLabelSecurity, IdentityandAccessManagementSuite (IAMS), ASO, SecureBackup обеспечивает конфиденциальность персональных
данных за счет использования следующих технологий Oracle:
|
| Статья 10 (Специальные категории персональных данных) | IAMS позволяет разграничить права доступа к персональным данным из различных приложений, DatabaseVaultиLabelSecurity обеспечивают гарантию этого доступа на уровне базы данных. |
| Статья 11 (Биометрические персональные данные) | IAMS, DatabaseVaultиLabelSecurity обеспечивают сквозной ролевой контроль доступа к биометрическим данным на уровне приложений и уровне базы данных. |
| Статья 14 п.4 (получение информации, касающейся обработки персональных данных) |
IAMS позвляет ответить на вопрос о том, кто именно,
когда, и на основании каких документов имел право доступа к персональным
данным. Audit Vault позволяет определить, кто и когда обращался к персональным данным. |
| Статья 19 (Меры по обеспечению безопасности персональных данных при их обработке) | AdvancedSecurityOptions обеспечивает усиленную аутентификацию и шифрование трафика и самих данных, SecureBackup усиленную защиту резервных копий, DatabaseVault защиту данных от администраторов и разработчиков, IAMS разграничение прав и привилегий со стороны приложений, сервисов и пользователей. |
| Статья 20 п.3 (Возможность ознакомления субъекта с персональными данными) | IAMS позволяет обеспечить доступ только к персональным данным, относящимся к субъекту. DatabaseVaultиLabelSecurity обеспечивают гарантию защиты этого доступа на уровне базы данных. |
| Статья 21 пп. 1, 2 (блокирование и разблокирование персональных данных) | Блокирование на уровне приложений может быть гарантировано на уровне базы данных с помощью Label SecurityиDatabase Vault. |
| Статья 21 п.3 (Выявление неправомерных действий с персональными данными) | AuditVault позволяет оперативно обнаружить неправомерные действия с перснональными данными и оповестить о необходимых действиях персонал оператора. |
Наш опыт
Заказчик
Связьинвест
Решение
создание системы защиты персональных данных
«АСТ» совместно с ОАО «АйСиЭл–КПО ВС» реализует проект по созданию системы защиты персональных данных для телекоммуникационного холдинга «Связьинвест».
В рамках проекта осуществляется проектирование, разработка и внедрение как организационных, так и технических мер по защите персональных данных физических лиц. Все меры соответствуют требованиям регуляторов – ФСБ, ФСТЭК России и Роскомнадзора. В настоящее время специалисты «АСТ» проводят обследование четырех межрегиональных компаний, входящих в холдинг: ОАО «Южная телекоммуникационная компания», ОАО «Уралсвязьинформ», ОАО «Северо-Западный Телеком», ОАО «Дагсвязьинформ». В ходе проекта: выделены все ИСПдн, проведена классификация ИСПДн, разработаны модели угроз, разработаны Технические задания на создание систем защиты ИСПДн, разработаны Технические проекты систем защиты ИСПДн.
При выборе технических решений и разработке систем защиты
ИСПДн учитывалось текущее состояние информационных систем Заказчика, а также
максимально использовались уже внедренные системы защиты информации.
В дальнейшем планируется аттестация систем обработки персональных данных во всех перечисленных подразделениях холдинга.
Заказчик
Управление Федеральной регистрационной службы по Самарской области
Решение
аудит состояния защищенности информационно-телекоммуникационной системы на предмет соответствия требованиям законодательства РФ в области защиты информации, в том числе в области защиты персональных данных
РЕЗУЛЬТАТ:
в ходе аудита был определен текущий уровень безопасности и выявлены основные угрозы безопасности, разработаны рекомендации по устранению существующих недостатков системы. Аудит проводился в том числе и с помощью инструментальных методов: применялись сканеры XSpider, Shadow Database Scanner, также разработанная компанией «АСТ» система анализа настроек ОС Windows, позволяющая собрать данные о сотнях параметров настройки операционной системы и сформировать отчет, содержащий количественные и качественные оценки обнаруженных уязвимостей и недостатков в настройке операционных систем. На основе данных аудита были разработаны рекомендации по приведению существующей подсистемы защиты информации в соответствие к требованиям законодательства, в том числе нормативных документов по защите персональных данных, а именно: выделены ИСПДн, проведена их классификация, разработаны рекомендации по построению систем защиты ПДн. Также был разработан пакет организационно-распорядительной информации обеспечения защиты персональных данных в соответствии с требованиями законодательства.
Заказчик
ФСКН России
Решение
Создание системы защиты персональных данных
Создание системы защиты персональных данных. Объектом защиты от несанкционированного доступа и утечки информации стали сведения, которые обрабатываются в интегрированной системе оперативной идентификации (ИСОИ) ФСКН. Система обеспечивает сбор, анализ, обработку, хранение и передачу дактилоскопической информации отпечатков пальцев, ладоней, рук, а также фотоинформации - фотоизображений и субъективных портретов.
Результат
Выполнен весь комплекс работ по созданию системы защиты персональных данных в соответствии с требованиями ФСТЭК и ФСБ: разработана модель угроз персональным данным, подготовлен весь необходимый комплект организационно-распорядительной документации, осуществлена поставка и установка средства защиты, а также проведенааттестация системы оперативной идентификации ФСКН на соответствие требованиям по безопасности информации со стороны ФСТЭК и ФСБ.
Реализация проекта потребовала применения высокого уровня предметных компетенций. Проведена корректировка частной модели угроз безопасности персональных данных: она была доработана и согласована в ФСБ РФ. Важным направлением работы стала также организация защиты каналов связи, поскольку система оперативной идентификации является географически распределенной и состоит из федерального и региональных уровней.
Проект по созданию системы защиты персональных данных реализован за 2 месяца.Заказчик
Комитет экономического развития, промышленной политики и торговли Cанкт-Петербурга (КЭРППиТ)
Решение
Создание системы защиты персональных данных
Создание системы защиты персональных данных. Объект защиты - информация, обрабатываемая в информационных системах 1С: Зарплата и Кадры.
Результат
Выполнен весь цикл организационных и технических мер в интересах обеспечения безопасности персональных данных в соответствии с требованиями российского законодательства и руководящих документов ФСТЭК России и ФСБ России. Работы проведены с учетом разработанной Частной моделью угроз безопасности персональных данных КЭРППиТ. Разработан пакет внутренних организационно-распорядительных и нормативных документов, поставлено необходимое программное обеспечение, проведена аттестация информационной системы обработки персональных данных.
Услуги АСТ- Анализ защищенности ИТ-ресурсов от актуальных угроз
- Разработка концепции и политики информационной безопасности
- Проектирование и внедрение комплексной системы защиты информации
- Сопровождение и поддержка созданной КСЗИ
- Приведение информационных систем в соответствие с требованиями регуляторов
- Системы информационной безопасности для банковского сектора
Решения АСТ- Защита от утечек конфиденциальной информации
- Управление корпоративной идентификацией и доступом
- Обеспечение защиты бизнес-приложений, защита от злоупотреблений легальных пользователей и администраторов ИТ систем
- Построение систем управления событиями ИБ
- Построение базовых систем ИБ
- Обеспечение защиты персональных данных с необходимыми согласованиями и аттестацией
- Защита баз данных
