Защита персональных данных Реализация системы защиты персональных данных с учетом последних изменений в нормативно-правовой базе Обязанности оператора ФЗ «О персональных данных» — Статья 19. Меры по обеспечению безопасности персональных данных при их обработке Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем. ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 2 Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее — уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе. 3 С чего начать? Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. N 781 4 Меры по защиты ПДн Мероприятия по защите ПДн должны сочетать реализацию правовых, организационных и технических мер защиты Правовые распределение полномочий между субъектами; нормативно-правовой контроль использования ПДн; установление ответственности за нарушения; правовая регламентация порядка сбора, использования, предоставления и уничтожения ПДн. Организационно-административные формирование системы управления ПДн; регламентация деятельности персонала по использованию ПДн; регламентация порядка взаимодействия пользователей и администраторов ИС; контроль над деятельностью персонала. Технические системы защиты от вредоносных программ и средства защиты от вторжений; идентификация и аутентификация пользователей; разграничение и контроль доступа к ПДн; обеспечение целостности ПДн; регистрация событий безопасности; защита каналов передачи ПДн. Все мероприятия одинаково значимы, а невыполнение одних сводит на нет результаты реализации других. 5 Порядок организации защиты персональных данных в ИСПДн Назначить ответственного за проведение необходимых мероприятий Изучить нормативную базу При недостатке ресурсов для самостоятельной разработки — найти специализированную компанию Провести обследование ИС с целью оценки текущего состояния ИБ и определения необходимых ИД для создания СЗПДн. Провести классификацию ИСПДн (цели, состав, объем, наличие документов). Разработать организационно-распорядительную документацию, включая модель угроз безопасности ПДн. Обосновать требования по обеспечению безопасности ПДн и спроектировать систему защиты ПДн, включая выбор целесообразных способов (мер и средств) защиты ПДн. Организовать и провести работы по созданию системы защиты персональных данных (СЗПДн), включая разработку документов по организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн. Провести обучение ответственных лиц и сотрудников правилам работы с СЗИ (для получения лицензий ФСБ и ФСТЭК Провести оценку соответствия ИСПДн требованиям. Ввести в строй систему защиты и оформить результаты испытаний. Организовать контроль соблюдения использования СЗИ и обеспечить управление обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты, включая учет применяемых СЗИ и носителей ПДн и учет лиц, допущенных к работе с ПДн. Постановление Правительства РФ от 17.11.2007 № 781 6 Классификация системы защиты персональных данных в ИСПДн Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее — оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации. ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 7 Порядок классификации системы защиты персональных данных в ИСПДн Класс системы (требования ФСТЭК + ФСБ) Требования к средствам защиты Выбор мер и средств защиты Планирование внедрения защитных мер по обеспечению безопасности ПД Лицензирование деятельности по защите ПД 8 Порядок организации защиты персональных данных в ИСПДн При недостатке ресурсов для самостоятельной разработки организационных мер — найти специализированную компанию Выбранный исполнитель должен иметь необходимые лицензии на проведение работ. Исполнитель должен обеспечить проведение: мини-аудита ИС заказчика предпроектного обследования классификацию ИСПДн обоснования требований и внедряемых технических решений разработку всей необходимой эксплуатационной и организационнораспорядительной документации. проведение специальных исследований закупаемых технических средств и оборудования (для ИСПДн К1) внедрение проекта по защите ПДн в ИС заказчика сопровождение ИС, включая периодическое проведение аудита ИСПДн и доработку документации при изменении состава технических средства и оборудования ИС, защищаемых помещений, либо иных внешних условий, способных повлиять на защищённость информации. Итогом выполненных исполнителем работ должны быть положительные результаты и материалы опытной эксплуатации и итоговых испытаний. 9 Порядок классификации системы защиты персональных данных в ИСПДн Системы информации организации Идентификация систем обработки персональных данных Определение характеристик ПДн Первичная классификация систем обработки ПДн Система обработки ПДн с использованием средств автоматизации Система обработки ПДн без использования средств автоматизации 10 Порядок классификации системы защиты персональных данных в ИСПДн Система обработки ПДн с использованием средств автоматизации Определение типа системы обработки ПДн Типовая ИСПДн (ФСТЭК) Специальная ИСПДн (ФСТЭК) Автоматизированная информационная система (ФСБ) 11 Классификация системы защиты персональных данных в ИСПДн «Типовых» ИС практически нет, классы «специальных» не определены. Любая «специальная» ИСПДн обладает признаками «типовой». В соответствии с «Положением о методах и способах защиты информации…» выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых угроз безопасности и в зависимости от класса информационной системы: Для любой «специальной» ИС выбираются соответствующие ее условиям функционирования «типовые» признаки. Формируется номенклатура требований, в соответствии с выбранными «типовыми» признаками. Для «специальной» ИС проводится анализ уязвимых звеньев, возможных угроз и формирование модели актуальных угроз. Анализ необходимости (обоснование) и дополнение номенклатуры требований, на основании сведений из сформированной модели актуальных угроз. Выбор способов, мер, механизмов защиты в соответствии с дополненной номенклатурой и обоснование их эффективности. 12 Порядок классификации системы защиты персональных данных в ИСПДн Типовая ИСПДн (ФСТЭК) Требования ФСТЭК и ФСБ к ИСПДн Классификация ИСПДн Документальное оформление Специальные требования к системе защиты информации 13 Порядок классификации системы защиты персональных данных в ИСПДн Специальная ИСПДн (ФСТЭК) Требования ФСТЭК и ФСБ к ИСПДн Классификация ИСПДн Определение актуальных угроз Документальное оформление Специальные требования к системе защиты информации 14 Порядок классификации системы защиты персональных данных в ИСПДн Автоматизированная информационная система (ФСБ) Требования ФСБ к ИСПДн и АИС («К») Разработка модели нарушителя АИС Классификация АИС 15 Порядок классификации системы защиты персональных данных в ИСПДн Система обработки ПДн без использования средств автоматизации Определение перечня «материальных носителей» для хранения ПДн Требования законодательства РФ, ФСТЭК и ФСБ (Постановление Правительства РФ № 687) Определение угроз «материальным носителям» и ПДн Выработка требований оператора по защите ПДн 16 Классификация ИСПДн Категория обрабатываемых в информационной системе персональных данных. Объем обрабатываемых персональных данных. Заданные оператором характеристики безопасности персональных данных. Структура информационной системы. Наличие подключений информационной системы к сетям связи общего пользования. Режим обработки персональных данных. Режим разграничения прав доступа пользователей информационной системы. Местонахождение технических средств ИС. 17 Построение моделей актуальных угроз и потенциального нарушителя Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 Итог работы — документ «Модель угроз и нарушителей» 18 Информационные системы, обрабатывающие персональные данные Бухгалтерские программы Программы кадрового учета Справочные системы CRM-системы с информацией о действующих и потенциальных клиентах Системы биллинга ERP-системы, обрабатывающие персональные данные … 19 Определение актуальных угроз Составление перечня информационных систем Анализ текущего состояния Формирование модели нарушителя Определение уязвимостей и возможных угроз Определение актуальности угроз Формирование частной модели угроз Разрабатываемые документы: Частная модель угроз безопасности ПДн, Проект распоряжения о классификации ИСПДн (для специальной ИСПДн) 20 Анализ состояния Анализ информационных ресурсов Анализ уязвимых звеньев и возможных угроз безопасности ПДн Оценка ущерба от реализации угроз Анализ имеющихся мер и средств защиты ПДн 21 Внедрение защитных мер в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с персональными данными в информационной системе; ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 Итог работы — документы «Приказы по компании», «Акты приемки работ»… 22 Проектирование системы защиты 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; к) описание системы защиты персональных данных. ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 Итог работы — документы «Техническое задание на СЗПДн», «Описание системы защиты ПДН» 23 Внедрение защитных мер в ИСПДн Внедрение защитных мер Решение основных вопросов обеспечения защиты Программно-технические меры Управление доступом Управление и учет Организационные меры Разработка документов Обеспечение целостности Подготовка персонала Антивирусная и криптографическая системы Защита от утечки по техническим каналам Защита от утечки по аудио- и видеоканалам Средства анализа защищенности Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации. Средства обнаружения вторжений 24 Внедрение защитных мер в ИСПДн Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных 25 Порядок формирования замысла защиты ПДн Определение основных направлений по защите ПДн Выбор способов защиты ПДн Решение основных вопросов управления защитой ПДн Решение основных вопросов обеспечения защиты ПДн Разрабатываемые документы: «Требования к СЗПДн», «Перечень мероприятий по созданию СЗПДн», «Требования к ОРД», «Перечень СрЗИ», «Концепция построения СЗПДн». 26 Внедрение защитных мер в ИСПДн Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 Итог работы — документы «Акт...», «Приказ о…» 27 Мероприятия по техническому обеспечению безопасности ПДн Мероприятия по размещению, специальному оборудованию средств обработки ПДн. Охрана и организация режима допуска в помещение, где ведется работа с ПДн. Мероприятия по защите ПДн от НСД. Мероприятия по закрытию технических каналов утечки ПДн. 28 Средства защиты информации Интернет Средства защиты речевой информации: Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105… Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей: Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б МП-2, МП-3, МП-5, ЛФС-10-1Ф… Межсетевые экраны Cisco, Z-2, WatchGuard Firebox… Шифровальные (криптографические) средства защиты информации Средства защиты информации от несанкционированного доступа: Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0, Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT Средства защиты носителей информации на бумажной, магнитной, магнитоопрической и иной основе: eToken PRO 64K и eToken NG-OTP, Secret Disk 4… Используемые в информационной системе информационные технологии 1. Защищенные ОС: Red Hat Enterprise Linux, QNX, МСВС 3.0... 2. Системы обнаружения вторжений и компьютерных атак: ФОРПОСТ, Proventia Network… 3. Шлюзы безопасности: CSP VPN Gate, CSP RVPN… Защита от программно-технических воздействий на технические средства обработки персональных данных 1. Антивирусные средства: Dr.Web 2. Программное обеспечение, сертифицированное на отсутствие НДВ. Подсистемы, требуемые к созданию согласно 152ФЗ Организационнотехнические меры и средства защиты Резервное копирование Изолирование участков оперативной памяти Уничтожение остаточных данных Контроль целостности данных и программ Смена паролей Ограничения на использование сетевых сервисов, служб, сетевых протоколов, сценариев Технические меры защиты Программные средства ОС Средства блокирования исследования, модификации и несанкционированного запуска Средства предупреждения пользователей о выполнении опасных действий Программные средства администрирования (разграничения полномочий, регистрации и контроля) Программные средства идентификации и аутентификации Программные средства резервного копирования Дополнительные программные средства Криптографические средства Средства защиты от ПМВ Другие средства защиты Абонентского Средства Средства шифрования контроля тестирования Пакетного целостности сетей и шифрования Средства программ Шифрования обнаружения паролей вредоносных Средства обнаружения Стеганографи программ и Средства атак ЭЦП тестирования Межсетевые VPNУтилиты для экраны технологии восстановления информации 30 Внедрение защитных мер в ИСПДн Согласно п. 11 «Положения…» при обработке персональных данных в информационной системе должно быть обеспечено: Проведение мероприятий, направленных на предотвращение НСД к ПДн. Недопущение воздействий на технические средства автоматизированной обработки ПДн. Своевременное обнаружение фактов НСД к ПДн. Постоянный контроль уровня защищенности ПДн. Возможность незамедлительного восстановления ПДн. 31 Когда применять криптографию? В системах, где АРМ или ЛВС объединены средствами связи, необходимость криптографической защиты возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю (незащищенные от НСД средства хранения информации, каналы связи). В системах, в которых в соответствии с моделью угроз возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами, решение о необходимости защиты ПДн с использованием криптографических средств принимается оператором. 32 Порядок применения криптографических средств При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных с использованием криптосредств оператор должен осуществлять: установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией на эти средства; проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации; обучение лиц, использующих криптосредства, работе с ними; поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним; учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационной системе (пользователей криптосредств); контроль над соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним; разбирательство и составление заключений по фактам нарушения условий хранения и использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений. 33 О сертификации средств защиты п. 5 Постановления Правительства РФ № 781 Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. п. 2.1 «Положения о методах и способах защиты информации…» Методами и способами защиты информации от несанкционированного доступа являются: - использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. п. 2.12 «Положения о методах и способах защиты информации…» Программное обеспечение СЗИ, применяемых в ИС 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость контроля отсутствия НДВ программного обеспечения СЗИ, применяемых в ИС 2 и 3 классов, определяется оператором. п. 6 Постановления Правительства РФ № 330 Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). 34 О сертификации средств защиты Постановление Правительства РФ № 330 Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора) К принципам подтверждения соответствия относится "ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера", что подразумевает возможность использования ведомственных документов, описывающих принципы ограничения доступа – и сертификацию в соответствии с ними О постановлении: Не опубликовано и имеет статус ДСП Наименование: Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие гостайну… Область применения. Только государственные информационные ресурсы и персональные данные 35 Классификация по уровню контроля отсутствия недекларированных возможностей 1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа. 1.2. Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований. … 1.5 Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации. 36 О сертификации средств криптографической защиты «Типовые требования … » ФСБ России 2.1 …Обеспечение безопасности персональных данных с использованием криптосредств должно осуществляться в соответствии с: Приказом ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации». (Положение ПКЗ-2005) Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) 12. Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации. «Методические рекомендации … » ФСБ России 3.1, п.7. Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться средства защиты, сертифицированные в системе сертификации ФСБ России… Оператор по согласованию с ФСТЭК России может принимать решение о применении СЗИ в ИСПДн без мероприятий по оценке отсутствия НДВ. http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls 37 Методические рекомендации Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы). Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России. Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России. Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России. 38 Получение необходимых лицензий Лицензия ФСТЭК на право деятельности по технической защите конфиденциальной информации (Порядок лицензирования деятельности по технической защите информации определяется постановлением Правительства РФ 2006 г. № 504) Лицензия ФСБ на право деятельности по техническому обслуживанию шифровальных (криптографических) средств Лицензия на ФСБ право деятельности по предоставлению услуг в области шифрования информации (в случае организации криптографической защиты с удаленными клиентами (абонентами) ИСПДн) Лицензия ФСБ на право деятельности по распространению шифровальных (криптографических) средств Лицензирование деятельности, связанной с шифровальными (криптографическими) средствами, осуществляется в соответствии с постановлением Правительства РФ 2007 г. № 957. 39 Получение необходимых лицензий Статья 16, часть 6 ФЗ-149 «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.: Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. Статья 17, часть 1, п.11 ФЗ-128 «О лицензировании отдельных видов деятельности» от 8 августа 2001 г.: В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: деятельность по технической защите конфиденциальной информации. Постановление Правительства РФ № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» от 15 августа 2006 г. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. 40 Получение необходимых лицензий Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 и распределенных системах 3 классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. 41 Получение необходимых лицензий Порядок предоставления лицензии на осуществление деятельности по технической защите конфиденциальной информации определен «Положением о лицензировании деятельности по технической защите конфиденциальной информации» (утверждено постановлением Правительства РФ от 15 августа 2006 г. № 504). Требования для получения лицензии: а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании; в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию; г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации; д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем; е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю . 42 Получение необходимых лицензий Порядок получения лицензии Подготовка пакета документов. Подготовка выделенного помещения и АРМ. Выполнение аттестации помещения и АС. Подготовка и направление уведомления во ФСТЭК. 43 Мероприятия, требующие лицензии ФСТЭК России Проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации. Установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией. 44 Ввод в действие системы защиты ИСПДн Установка (монтаж) необходимых технических и программных средств: средств защиты от НСД; средств специальной защиты от утечек за счёт ПЭМИН (для ИСПДн К1). Проведение специальных исследований (для ИСПДн К1). Инструментальная оценка эффективности технических средств защиты (ПЭМИН) (для ИСПДн К1). Проведение опытной эксплуатации и итоговых испытаний. Необходимые документы: «Программа и методика стендовых испытаний», «Протоколы и заключение по результатам стендовых испытаний», «Основная эксплуатационная документация». 45 Контроль работы системы защиты Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: з) контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 46 Контроль работы системы защиты Согласно специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К) контроль состояния (эффективности) защиты информации должен проводиться периодически (не реже одного раза в год), а также в случаях изменения условий и технологии обработки защищаемой информации. 47 Контроль работы системы защиты Периодический контроль эффективности защиты информации предусматривает: проверку состава и размещения основных технических средств и систем (ОТСС) на объектах информатизации в соответствии с техническим паспортом на данный объект информатизации; проверку состава и размещения вспомогательных технических средств и систем (ВТСС) на объектах информатизации в соответствии с техническим паспортом на данный объект информатизации; проверку наличия средств защиты информации на объекте информатизации и их работоспособности; проверку уровня знаний и соблюдения требований нормативнометодических и руководящих документов ФСТЭК России; проверку соблюдения инструкций, порядка ведения журналов учета; оценку эффективности выполняемых мероприятий по защите информации на объекте информатизации. 48 Анализ защищенности, обнаружение вторжений Внедрение защитных мер Мониторинг Аудит 49 Результат работ по созданию системы защиты Информационная система, оснащенная необходимыми средствами защиты и соответствующая требованиям законодательства. Модель актуальных угроз и модель нарушителя, соответствующие условиям функционирования информационной системы. Требуемая организационно-распорядительная и эксплуатационная документация. Описание концепции создания системы защиты ПДн. Итог работ: аттестат соответствия 50 Аттестация ИСПДн Оценка соответствия (аттестация) ИСПДн по требованиям безопасности. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект информатизации соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации, утвержденных ФСТЭК России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем конфиденциальности на период времени, установленный в "Аттестате соответствия". Преимущества аттестации: Делегирование рисков несоответствия действующему законодательства органу по аттестации, выдавшему аттестат соответствия. Упрощение процедуры проверки со стороны регуляторов. Необходимые документы: «Требования к проведению оценки соответствия (аттестации)», «Порядок подготовки к проведению аттестации», «Положение по аттестации объектов информатизации по требованиям безопасности информации», «Исходные данные по аттестуемому объекту информатизации» 51 Аттестация ИСПДн Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации в связи с необходимостью подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Обязательной аттестации подлежат объекты информатизации, предназначенные для: обработки информации, составляющей государственную тайну; обработки конфиденциальной информации, в том числе персональных данных; управления критически важными объектами; ведения переговоров по вопросам, содержащим сведения, составляющие государственную тайну или служебную информацию ограниченного распространения. Аттестации также подлежат объекты информатизации, наличие которых у Заказчика обусловлено требованиями Постановлений Правительства Российской Федерации от 15.08.2006 г № 504, от 31.08.2006г. №532, от 29.12.2007 г № 957. 52 Оценка защиты Обязательно: для ИСПДн 1 и 2 класса и специальных ИСПДн – сертификация (аттестация) По решению оператора: для ИСПДн 3 класса – декларирование соответствия или сертификация (аттестация) По решению оператора: для ИСПДн 4 класса – оценка соответствия При изменении состава или структуры ИСПДн, технических особенностей ее построения, изменении состава угроз безопасности ПДн в ИСПДн, класса ИСПДн последовательность мероприятий повторяется. 53 Разработка пакета документов Должны быть регламентированы все организационные меры обеспечения безопасности и вопросы применения средств защиты при эксплуатации ИСПДн. В связи с этим должна быть разработана организационно-распорядительная документация, включая: должностные инструкции персоналу ИСПДн по вопросам обеспечения безопасности ПДн; документы разрешительной системы допуска пользователей к обрабатываемой в ИСПДн информации; документы организации учета лиц, допущенных к работе с ПДн; … 54 Документация системы защиты (СЗПДн) Уведомление об обработке ПДн. Положение о порядке обработки ПДн. Положение о подразделении, осуществляющем функции по организации защиты ПДн. Приказ о назначении ответственных лиц по работе с ПДн. Должностные регламенты лиц, осуществляющих обработку ПДн. Типовые формы документов, содержащих ПДн. Договоры с субъектами ПДн, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных. Приказы об утверждении мест хранения материальных носителей ПДн. Письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма). Справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка ПДн. Журналы (реестры, книги) содержащие ПДн, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях. Заключения экспертизы (сертификаты) ФСБ России, ФСТЭК России на СЗИ. Приказ о создании комиссии и акты проведения классификации ИСПДн. Акты об уничтожении ПДн субъекта(ов) (в случае достижения цели обработки). Планы мероприятий по защите ПДн и внутренних проверок состояния защиты ПДн. 55 Документация системы защиты (СЗПДн) Журналы (книги) учета обращений граждан (субъектов ПДн). Журнал учета проверок (Приказ Минэкономразвития России №141 от 30.4.2009). Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн. Модель угроз безопасности персональных данных. Акт классификации ИСПДн. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Описание системы защиты персональных данных. Перечень применяемых средств защиты информации. Заключение о возможности эксплуатации средств защиты информации (разрабатывается по результатам проверки готовности к использованию СЗИ, аналог приемо-сдаточной документация на СЗИ). Правила пользования средствами защиты информации, предназначенными для обеспечения безопасности персональных данных. Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации. Список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей (утверждается оператором или уполномоченным лицом). Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн. 56 Документация системы защиты (СЗПДн) Для специальных ИС «Базовая модель угроз безопасности ПД при их обработке в ИС ПД» «Методика определения угроз безопасности ПД при их обработке в ИС ПД» Для типовых ИС, согласно классу (К1-К4) Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Приказ ФСТЭК России от 5 февраля 2010 г. № 58 57 Документация системы защиты (СЗПДн) Цели и содержание обработки персональных данных Перечень сведений конфиденциального характера Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) Приказ об утверждении сведений конфиденциального характера 58 Документация системы защиты (СЗПДн) Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) (Приказ Гостехкомиссии от 30 августа 2002 г. № 282) 59 Документация системы защиты (СЗПДн) Уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке ПДн ст. 22 Федерального закона «О персональных данных» № 152-ФЗ 60 Документация системы защиты (СЗПДн) Акт классификации ИСПДн Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» 61 Документация системы защиты (СЗПДн) 62 Документация системы защиты (СЗПДн) Модель угроз безопасности ПДн при их обработке в ИСПДн Рекомендации по обеспечению безопасности ПД при их обработке в ИСПДн. Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПДн. Базовая модель угроз безопасности ПД при их обработке в ИСПДн. Методика определения актуальных угроз безопасности ПД при их обработке в ИСПДн. 63 Документация системы защиты (СЗПДн) 64 Документация системы защиты (СЗПДн) Об установлении границ контролируемой зоны Нормативно-методический документ ФСТЭК России «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн» Технический паспорт ИСПДн Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) (Приказ Гостехкомиссии от 30 августа 2002 г. № 282) Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 65 Документация системы защиты (СЗПДн) Регламент разграничения прав доступа Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) (Приказ Гостехкомиссии от 30 августа 2002 г. № 282) Приказ о назначении администратора безопасности ИСПДн Руководство администратора ИСПДн Рекомендации по обеспечению безопасности ПД при их обработке в ИСПДн 66 Документация системы защиты (СЗПДн) Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей. Руководство пользователя ИСПДн. Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 67 Документация системы защиты (СЗПДн) Перечень применяемых средств защиты информации (СЗИ) Перечень эксплуатационной и технической документации применяемых СЗИ Заключение о готовности СЗИ к эксплуатации Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 68 Документация системы защиты (СЗПДн) Документы, регламентирующие обработку персональных данных в учреждении: Положение о защите персональных данных в компании. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования по обеспечению безопасности ПДн при обработке в ИСПДн. Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн. Рекомендации по использованию программных и аппаратных средств защиты. Положение по организации контроля эффективности защиты информации в компании. 69 Документация системы защиты (СЗПДн) Защита помещений и носителей ПДн Положение об организации режима безопасности помещений, где осуществляется работа с ПДн: Положение о порядке хранения и уничтожения носителей ПДн. Перечень носителей ПДн. Журнал учета носителей ПДн. 70 Документация системы защиты (СЗПДн) 71 Типичные ошибки и связанные с ними риски Искусственное занижение класса информационной системы, обусловленное недостаточностью финансирования. Бездействие, основанное на двусмысленности некоторых положений «регулирующих» нормативно-правовых актов и методических документов. «Если мы не подадим уведомление, нас не проверят». «Нам не нужна лицензия на право осуществления деятельности по технической защите информации». 72 Как удешевить систему защиты? Максимальное использование возможностей уже имеющихся в ИС средств защиты информации, возможностей ОС и прикладного ПО. Принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены. Сокращение количества АРМ, обрабатывающих ПДн, разделение функций пользователей, минимизирование одновременной обработки ПДн из разных систем. Обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т. п.). Разделение ИС межсетевыми экранами на отдельные сегменты (ИСПДн), классификация каждого сегмента и снижения требований к ним. Организация терминального доступа к ИСПДн. Исключение из ИСПДн части ПДн, хранение их на бумажных или иных носителях. 73 Как удешевить систему защиты? Обезличивание ПДн - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту ст.3 ФЗ-152 «О персональных данных», NIST SP800-122, Стандарт ISO 25237-2008 Абстрагирование ПДн – сделать их менее точными - например, путем группирования общих или непрерывных характеристик Скрытие ПДн – удалить всю или часть записи ПДн - ПДн не должны быть избыточными по отношению к цели Внесение шума в ПДн – добавить небольшое количество посторонней информации в ПДн Замена ПДн – переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи Разделение ПДн на части – использование таблиц перекрестных ссылок Например, две таблицы – одна с ФИО и идентификатором субъекта ПДн, вторая – с тем же идентификатором субъекта ПДн и остальной частью ПДн Использование специальных алгоритмов - например, маскирование ПДн или подмена отдельных символов другими. Идеальным вариантом является использование алгоритмов криптографического хэширования Псевдонимизация – удаление ассоциации с субъектом ПДн и добавляет ассоциацию между набором особенностей, касающихся субъекта ПДн и одним или более псевдонимами 74 Программно-технические меры При рассмотрении информационной системы на начальном уровне детализации она может быть рассмотрена как совокупность информационных сервисов. Классификация мер безопасности (совокупности информационных систем и технологий направленных на обеспечение задач по защите информации) на основе сервисов безопасности и их места в общей архитектуре ИС: Превентивные Меры обнаружения нарушений Локализующие зону воздействия Меры по выявлению нарушений Меры восстановления режима безопасности 75 Как удешевить систему защиты Сегмент для обработки персональных данных Сегмент, не обрабатывающий ПД Выделение отдельного сегмента сети для обработки ПД 76 Как удешевить систему защиты Сегмент для обработки обезличенных персональных данных Сервер, обрабатывающий персональные данные БД персональных данных Синхронизация Сокращение списка обрабатываемых данных Обезличивание персональных данных БД обезличенных данных 77 Как удешевить систему защиты Сегмент для обработки обезличенных персональных данных Сервер, обрабатывающий персональные данные Сокращение списка обрабатываемых данных Обезличивание персональных данных БД ограниченное количество записей и данных БД персональных данных Синхронизация БД обезличенных данных 78 Как удешевить систему защиты , Принтер для вывода ПДн Межсетевой Терминальный сервер экран Сегмент пользователей, работающих с ПДн Файловый сервер для обмена ПДн внутри сегмента Сегмент терминального доступа к персональным данным Использование для доступа терминальных решений 79 Обезличивание. Стандартный вид хранения данных Паспортные (персональные) данные Код ФИО Адрес … … … … … Медицинские данные БД Результаты анализов Код Показатель 1 … … Показатель n … … … Результаты обследований Код Диагноз Заключение … … … … … 80 Обезличивание. Разделение данных Паспортные (персональные) данные БД1 Код ФИО Адрес … … … … … Медицинские обезличенные данные Результаты анализов БД2 Хеш кода Показатель 1 … Показатель n … … … … … Результаты обследований Хеш кода Диагноз Заключение … … … … … 81 Необходимость реализации единого и комплексного подхода к защите ИС Для построения системы защиты необходимо учитывать и другие стандарты, так как не существует ИС, предназначенных только для обработки ПДн. Для реальных ИС используются требования РД ФСТЭК России по классу 1Г, СТР-К, ГОСТ Р 52448-2005 (для операторов связи), требования по защите ПДн. 82 Уведомление об обработке персональных данных ФЗ «О персональных данных». Статья 22. Уведомление об обработке персональных данных 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. 83 ФЗ «О персональных данных» Уведомление об обработке ПД Уведомление должно содержать: наименование и адрес оператора, сведения об удостоверяющем документе; цель обработки персональных данных; категории персональных данных и субъектов; правовое основание обработки; перечень действий с ПДн, общее описание используемых способов обработки; описание мер по обеспечению безопасности; дата начала обработки персональных данных; срок и условия прекращения обработки. В случае предоставления неполных или недостоверных сведений уполномоченный орган вправе требовать от оператора уточнения предоставленных сведений. В случае изменения сведений оператор обязан уведомить об изменениях уполномоченный орган в течение десяти рабочих дней. 84 Положение о методах и способах защиты информации в ИСПДн Методы и способы технической защиты Защита от НСД, включая обеспечение целостности и управление доступом. Использование сертифицированных средств, в том числе ОС. Антивирусная защита и межсетевое экранирование. Защита от информационных атак. Защита от утечек по техническим каналам (только К1 и K2). Защита от утечек аудио- и видеоинформации (только К1). Криптографическая защита ПДн в процессе их хранения и передачи по сети (только К1). Средства контроля и анализа защищенности. Средства резервирования. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы… (п. 1.4 Приказа ФСТЭК № 58 ) 85 Методы и способы технической защиты Требования по антивирусной защите Согласно закону требуется обеспечить: разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам; предотвращение внедрения в информационные системы вредоносных программ; использование средств антивирусной защиты при взаимодействии с сетью Интернет; централизованное управление системой защиты персональных данных информационной системы. 86 Контроль доступа Ограничение доступа к ресурсам 87 Разграничение доступа и фильтрация сетевого трафика Межсетевой экран (firewall) позволяет предотвратить несанкционированный доступ к информационным системам компании из открытых сетей и Интернета, а также разграничить доступ к различным локальным сетям компании. В первом случае он ставится на стыке локальной сети и Интернета, во втором - между различными участками внутренней сети компании. Межсетевой экран (firewall) обеспечивает: Контроль сетевой активности необходим в различных случаях: учет корпоративного подключения к Интернету настройка сетей и их сегментов при оптимизации внутрисетевого трафика для обеспечения информационной безопасности компьютерной сети организации. В межсетевом экране может быть реализована: фильтрация сетевых пакетов средства идентификации и аутентификации пользователей средства оповещения и сигнализации о выявленных нарушениях ... 88 Защита систем электронной почты Предотвращение проникновения в корпоративную сеть вирусов Защита от несанкционированного использования почты для личных целей. Защита от пересылка конфиденциальной или иной информации пользователями, которые не имеют на это права Защита от спама и нежелательной корреспонденции. 89 Защита систем электронной почты Системы мониторинга почтовых сообщений - контроля за содержанием почтовых сообщений. Мониторингу подвергается внутренняя и внешняя корреспонденция, как входящая, так и исходящая. Во время проверки производится анализ сообщений, заголовков, вложений. Во время контроля производится анализ текста на наличие определенных последовательностей слов. Завершением проверки является выполнение определенных действий отправка почты получателю, задержка отправки для обеспечения возможности дополнительного контроля сообщений администратором системы или иными системами безопасности, отказ от отправки или получения определенных сообщений. Системы архивирования почтовых сообщений. В процессе архивирования для каждого сообщения заводится специальная учетная карточка, в которую заносятся его основные данные и описание структуры сообщения. При экспорте из почтового архива набор писем выполняется запроса к архиву. Отобранные письма помещаются в файл в формате стандартного почтового ящика, пригодный для работы любого почтового клиента Использование криптозащиты в системах электронной почты позволяет обеспечивать использование электронно-цифровой подписи. 90 Методы и способы технической защиты Средства антивирусной защиты Централизованная антивирусная защита рабочих станций (Windows/Linux/Mac); серверов (Windows/Unix/Mac); каналов передачи данных (почта, шлюз сети Интернет) для почтовых серверов. 91 Методы и способы технической защиты Средства антивирусной защиты Возможность использования в сетях, имеющих высший уровень защиты благодаря наличию сертификатов ФСБ, ФСТЭК и МО РФ 92 Методы и способы технической защиты Способы организации антивирусной защиты Интернет Вирусы Шлюз сети интернет Межсетевой экран SMTP-шлюз Антивирусная защита, соответствующая требованиям закона о персональных данных, должна включать защиту всех узлов локальной сети: рабочих станций; файловых и терминальных серверов; шлюзов сети Интернет; почтовых серверов. Использование демилитаризованной зоны и средств проверки почтового трафика на уровне SMTP-шлюза повышает уровень защиты. 93 Защита трафика 94 Методы и способы технической защиты Криптографическая защита Прозрачное шифрование любого необходимого раздела – в том числе системного. Шифрование съемных носителей. Поддержка работы в различных операционных системах. Многопользовательская работа. Для применения в сетях 1-го уровня — наличие сертификатов ФСТЭК и заключения ФСБ. 95 Методы и способы технической защиты Использование закрытых каналов связи Криптошлюз 1 ЛВС 2 Интернет ЛВС 1 Криптошлюз 2 96 Методы и способы технической защиты Защита от НСД Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя: определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера; ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля над соблюдением такого порядка; учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана; регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; применение мер технической защиты информации. Меры по охране конфиденциальности персональных данных понимаются разумно достаточными, когда: исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя; обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты. 97 Методы и способы технической защиты Защита от НСД. Аутентификация, авторизация и управление доступом Для выполнения идентификации могут использоваться PIN-код - произвольный набор цифр. Сотрудник, перед тем как пройти мимо пункта контроля или открыть электронный замок двери, должен ввести присвоенный ему PIN-код. карточные системы основанные на использовании: штрих-код; магнитная карта; смарт-карта. Для реализации такого варианта защиты каждому зарегистрированному пользователю необходимо напечатать специальную карточку. На персональной карточке возможно размещение фотографии владельца, что позволяет использовать карточки в качестве обычных пропусков Биометрические данные. Считывание данных при помощи устройства, подключаемого к обычному персональному компьютеру с помощью некоторого интерфейса (RS232, USB) и/или и автономных приборов они должны периодически подключаться к ПК, чтобы обменяться данными с центральной базой данных : Отпечатки пальцев Сетчатка и роговица глаза Геометрия руки и лица Голос и распознавание речи Подпись и работа с клавиатурой 98 Методы и способы технической защиты Системы обнаружения сетевых атак Выявление сетевых атак, направленных на нарушение информационной безопасности автоматизированных систем. Мониторинг сетевого трафика, включающий анализ информационных потоков, используемых сетевых протоколов и т. д. Выявление аномалий сетевого трафика автоматизированных систем. Выявление распределенных атак типа «отказ в обслуживании» (DDoS). Оповещение администратора безопасности о выявленных информационных атаках. Для ИСПДн классов К3 и К4 должны использоваться системы обнаружения сетевых атак, использующие сигнатурные методы анализа. Для ИСПДн классов К2 и К1 должны также использоваться методы выявления аномалий. Для ИСПДн классов К3 и К4 должны использоваться межсетевые экраны 5го уровня защищенности МЭ. Для ИСПДн класса К2 должны использоваться межсетевые экраны 4го уровня защищенности МЭ. Для ИСПДн класса К1 должны использоваться межсетевые экраны 3го уровня защищенности МЭ. 99 Методы и способы технической защиты Анализ уязвимостей Имитация информационных атак с целью проверки устойчивости системы к воздействиям злоумышленников. Анализ конфигурационных файлов на предмет выявления ошибок. 100 Методы и способы технической защиты Обработка ПД производится на АРМ без подключением к сетям общего пользования Идентификация пользователя при входе в ОС (пароль условно-постоянного действия, длиной не менее шести символов), аутентификационная информация субъектов доступа должна быть защищена от НСД нарушителя (биометрическое средство контроля способа, электронный замок). Средство защиты от программно-математических воздействий (установка антивируса Dr.Web на всех узлах сети). При наличии многопользовательского доступа – средство криптографической защиты, средства разделения доступа. 101 Методы и способы технической защиты Обработка ПД производится на АРМ с подключением к сетям общего пользования Идентификация пользователя при входе в ОС (пароль условнопостоянного действия, длиной не менее шести символов), аутентификационная информация субъектов доступа должна быть защищена от НСД нарушителя (биометрическое средство контроля способа, электронный замок). Средство защиты от программно-математических воздействий (установка антивируса Dr.Web на всех узлах сети). Персональный межсетевой экран не ниже 3-го уровня защищенности (ViPNet, CSP STerra). При наличии многопользовательского доступа – средство криптографической защиты, средства разделения доступа (Крипто Про). 102 Методы и способы технической защиты Обработка ПД производится в ЛВС без подключения к сетям общего пользования Идентификация пользователя при входе в ОС (пароль условно-постоянного действия, длиной не менее шести символов), аутентификационная информация субъектов доступа должна быть защищена от НСД нарушителя (биометрическое средство контроля способа, электронный замок). Средство защиты от программно-математических воздействий (установка антивируса Dr.Web на всех узлах сети). Средство защиты от НСД и контроля целостности среды (СЗИ Secret Net 5.0.). При наличии многопользовательского доступа – средство криптографической защиты, средства разделения доступа (Крипто Про). 103 Методы и способы уничтожения данных Уничтоже́ние персона́льных да́нных— действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных 104 Методы и способы уничтожения данных «9. При несовместимости целей обработки персональных данных: …при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. 10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.» Постановлении Правительства №687 105 Методы и способы уничтожения данных Классификация шредеров согласно стандарту DIN 32757-1 1 степень секретности шредера - для информации общего назначения (ширина фрагментов больше 7.8 мм и площадь поверхности больше 2000 кв. мм.) 2 степень секретности шредера - для информации служебного назначения (ширина фрагментов менее 6.0 мм и площадь поверхности менее 800 кв. мм.) 3 степень секретности шредера - для конфиденциальной информации (ширина фрагментов менее 2.0 мм и площадь поверхности до 594 м2 или ширина менее 4.0 мм, длина менее 80.0 мм и площадь поверхности до 320 кв. мм.) 4 степень секретности шредера - для секретной информации (ширина фрагментов менее 2.0 мм, длина менее 15.0 мм и площадь поверхности до 30 кв. мм.) 5 степень секретности шредера - для совершено-секретной информации (ширина фрагментов менее 0.8 мм, длина менее 13.0 мм и площадь поверхности до 10 кв. мм.) 6 степень секретности - для уничтожения документов особой важности на фрагменты 0,8х6 мм. 106 Процедура уничтожения документов Создание экспертной комиссии, в состав которых входят сотрудники структурных подразделений под председательством одного из руководящих работников организации, а также представители архивного учреждения. Экспертные комиссии определяют порядок отбора документов на хранение и уничтожение, организуют экспертизу ценности документов и осуществляют контроль за ее проведением, уделяя основное внимание документам, подлежащим уничтожению. Документы, отобранные экспертной комиссией на хранение, описываются. После утверждения описей руководителем разрешается уничтожение документов. Экспертная комиссия должна зафиксировать факт уничтожения всех документов и составить акт об их физическом уничтожении, утверждаемый руководителем организации. Если по каким-либо причинам документы были утрачены – пропали или погибли до истечения срока хранения, то руководителю организации следует принять необходимые меры по их восстановлению Без согласования с органами Росархива происходит уничтожение документов, которые не должны сдаваться в архив и практическая надобность в которых отпала, а сроки хранения документов истекли. Однако если имеется указание органа исполнительной власти о согласовании уничтожения документов с вышестоящей организацией, то акты на документы, подлежащие уничтожению, направляются для рассмотрения в эту организацию. Отобранные к уничтожению документы должны быть утилизированы. Вторичное использование этих документов запрещено. Сдача документов оформляется приемо-сдаточными накладными. 107 Пример построения системы защиты. Здравоохранение Основы законодательства Основы законодательства Российской Федерации об охране здоровья граждан, №5487-1 от 22.07.1993 г. (ред. от 28.09.2010 г.) [в процессе обновления ] Об обязательном медицинском страховании в Российской Федерации, №326ФЗ от 29.11.2010 г. + №313-ФЗ от 29.11.2010 г. !!! Об обращении лекарственных средств, №61-ФЗ от 02.04.2010 г. О санитарно-эпидемиологическом благополучии населения, №52-ФЗ от 30.03.1999 г. (ред. ... от 01.12.07 г. №309-ФЗ) [ АИС, ФИФ СГМ ] Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования, №27-ФЗ от 01.01.1996 г. О государственной социальной помощи,№178-ФЗ от 17.07.1999 г.( в ред. от 25.12.2009 г., *№122-ФЗ от 22.08.2004 г.) Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний, №125-ФЗ от 24.07.1998 г. О донорстве крови и ее компонентов, №142-1 от 09.06.1993 г. О трансплантации органов и(или) тканей человека, № 4180-1 от 22.12.1992 г. О психиатрической помощи и гарантиях прав граждан при ее оказании, N 3185-1 от 02.07.1992 г. Об основах обязательного социального страхования, №165-ФЗ от 16.07.1999 г. 108 Пример построения системы защиты. Здравоохранение В частности: в соответствии с постановлением Правительства РФ № 687 от 15.09.2008 персональные данные, обрабатываемые на бумажных носителях, должны обособляться от иной информации — путём их представления на отдельных листах, в специальных разделах или в полях форм (бланков) документов (п. 4 этого постановления). Кроме того, в типовых формах документов должно быть предусмотрено поле, в котором субъект ПД может поставить отметку о своем согласии на обработку его ПД (подпункт “б” пункта 7) 109 Пример построения системы защиты. Здравоохранение Основы законодательства Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (23.12.2009 г., согласованы с ФСТЭК) Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости (23.12.2009 г., согласованы с ФСТЭК) Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения (согласована с ФСТЭК, письмо от 27.11.09 г. № 240/2/4009) -> К1 но требования по безопасности как к ИС класса К3 Письмо Минздравсоцразвития РФ № 328-29 от 05.03.2010 г. Письмо ФСТЭК, исх. № 240/2/2520 от 18.06.2010 г. (наличие лицензии на ТЗКИ) Письмо ФСТЭК (ЦФО), исх. № 957 от 24.06.2010 г. (аттестация ОИ по ТБИ) Об организации работ по технической защите информации (письмо Федерального фонда ОМС от 22.04.2008 г. № 2170/90-и) Регламент выполнения мероприятий по организации защиты персональных данных в учреждениях здравоохранения города Москвы (письмо ДЗМ от 22.03.2010 г. № 2-11-3993) Письма МГФОМС в СМО от 23.10.2009 г. № 16736, от 15.04.2010 г. №4455 Об организации защиты персональных данных в учреждениях Московской области (письмо МЗ МосОбл. и МОФОМС от 21.07.2009 г. № 1043/477/5831) 110 Пример построения системы защиты. Здравоохранение ИС организаций здравоохранения относятся к следующим классам: 1Г (максимальный гриф обрабатываемой информации “конфиденциально”) — согласно требованиям Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации; класс К1 согласно методике ФСТЭК Согласно Модели угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения медицинские учреждения при классе защиты К1 выполняют требования по безопасности ИС класса К3 если выполняются следующие условия: Сеть не имеет подключения к сетям общего пользования Все технические средства находятся внутри контролируемой территории Все значимые решения принимаются на основе бумажных документов 111 Пример построения системы защиты. Здравоохранение Возможности по снижению стоимости защиты: Обеспечить изоляцию внутренней сети от сети интернет, что снимает большинство рисков и позволяет выполнить часть условий, требуемых для перехода к защите по требованиям К1 Разделить сеть на сегменты, обслуживающие персональные данные клиентов и сотрудников, что позволяет разработать отдельные модели угроз и защитить второй сегмент по требованиям К3 Провести обезличивание и сосредоточить все сервера и компьютеры, обрабатывающие персональные данные на защищаемой территории (что в частности позволяет отказаться от применения криптосредств) … 112 Пример построения системы защиты. Здравоохранение Процедура выполнения требований закона Анализ и обследование ИС, определение состава ИСПДн по следубщм категориям: категории субъектов ПДн, цель обработки, оператор, обрабатывающий конкретные данные, состав и категория ПДн Разработка модели угроз (определение каналов утечки информации и модели нарушителя, оценка актуальности угроз) Оформить акт об отнесении ИСПДн к классу К1 специальная Зарегистрироваться в качестве оператора ПДн Организовать получение, учет и хранение письменного согласия субъекта (пациента) на обработку его ПДн (ст. 6,9,10 Закона) Обеспечить: а) ознакомление пациентов с их ПДн; б) информирование о способах и сроках обработки их ПДн, лицах, имеющих к ним доступ (ст.14) ~ по запросу; в) уведомление об обработке их ПДн, полученных от третьих лиц (ст.18) -> ответ пациенту в течение 10 рабочих дней Уничтожить ПДн в случае отзыва согласия субъектом (ст. 21) Определить меры, способы и состав средств защиты Организовать и поддерживать систему обеспечения безопасности обработки конфиденциальной информации с использованием СЗИ Создать регламенты обработки конфиденциальной информации, назначить ответственных за ОБИ, провести обучение персонала. Подтвердить все приказами Получить лицензию на техническую защиту информации (письмо ФСТЭК №240.2.2520) и при необходимости лицензию ФСБ Аттестовать объект информатизации по требованиям безопасности информации (письмо ФСТЭК №957) 113 Пример построения системы защиты. Здравоохранение Меры по приведению ИС в соответствии требованиям закона включают: Анализ информационных ресурсов - определение состава, содержания и местонахождения защищаемых ПДн. Проведение инвентаризации, идентификации и учета ИР, назначение ответственных Категорирование данных с выделением персональной, конфиденциальной и открытой информации Анализ уязвимых элементов и возможных угроз безопасности ПДн Выявление возможных каналов утечки информации, в том числе технических Анализ возможностей программно-математического, электромагнитного либо иного воздействия на ПДн Оценка возможного ущерба от реализации угроз безопасности ПДн причинения вреда субъекту ПДн или причинения вреда обществу или государству Оценка выполнения требований по обеспечению безопасности ПДн и анализ имеющихся мер и средств защиты ПДн от физического доступа, от утечки по техническим каналам, от несанкционированного доступа, от программно-математических воздействий, от электромагнитных воздействий Определение основных направлений по защите данных - по подразделениям, по уязвимым элементам, по направлениям защиты, по категориям ПДн 114 Пример построения системы защиты. Здравоохранение Меры по приведению ИС в соответствии требованиям закона включают: Выбор способов защиты данных - по направлениям защиты, по актуальным угрозам, по возможности реализации с учётом затрат внедрение системы защиты, включая организацию охраны, организацию служебной связи и сигнализации, организацию взаимодействия, разграничение уровней доступа к ресурсам ИС использование: интеграция ИС разного класса Авторизации и регистрации доступа (включая двухфакторную идентификацию, пароли, карточки, e-Token, биометрические средства), контролю и учету действий с данными (включая контроль копирования, печати, обмена данными по каналам связи) с регистрацией событий в электронных. журналах резервирования программного и аппаратного обеспечения управления системой безопасности, межсетевых экранов, антивирусных средств, ЭЦП и шифрования учет внешних носителей данных путем их маркировки введение мер по мониторингу безопасности 115 Пример построения системы защиты. Здравоохранение В соответствии со статьями 6, 9 и 10 закона О персональных данных (далее Закона) обработка персональных данных может осуществляться только с письменного согласия субъекта персональных данных (пациента). Применительно к медицинским учреждениям: В позиции формы уведомления Цель обработки следует указать медицинский учет В позиции Категории персональных данных - паспортные данные (Ф.И.О., пол и дата рождения, адрес места жительства), данные о состоянии здоровья. В позиции Категории субъектов персональных данных надо указать пациенты - граждане РФ, иностранные граждане, лица без гражданства. В позиции Правовое основание обработки ... - указать Основы законодательства Российской Федерации об охране здоровья граждан, пункты 3, 4 части 2 статьи 10 закона О персональных данных, а также реквизиты лицензии на медицинскую деятельность - как это указано в Рекомендациях В позиции Перечень действий с персональными данными ... надо указать смешанная обработка - ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети. Если в медицинском учреждении формируются массивы персонифицированных данных для передачи во внешние организации (страховые медицинские организации, фонд ОМС и т.п.), то необходимо указать, каким образом они передаются - на машинных носителях, по защищенным каналам связи и т.п. В этом случае в позиции Правовое основание обработки ... в дополнение к перечисленным выше документам следует также указать реквизиты нормативных распорядительных документов (постановлений, приказов и т.п.), на основании которых эти данные передаются. В позиции Описание мер ... по обеспечению безопасности информации ... надо указать разграничение и контроль доступа сотрудников к данным, использование встроенных средств защиты информации, внутренняя сеть без доступа в сети общего пользования и т.п.. При использовании сертифицированных средств защиты информации следует перечислить их официальные названия, как они указаны в сертификатах. При наличии аттестата соответствия ИС требованиям по безопасности информации, следует указать реквизиты этого документа. Если медицинское учреждение имеет несколько территориально удаленных между собой площадок, на которых осуществляется обработка персональных данных пациентов, то указываются их адреса, телефоны и реквизиты - в соответствии с Рекомендациями. При этом предполагается, что сведения о составе, характере обработки и мерах по защите персональных данных, указанные в перечисленных выше позициях формы уведомления, относятся ко всем площадкам. 116 Пример построения системы защиты. Здравоохранение Письменное согласие субъекта не требуется: Для медучреждений, фондов ФМС и страховых медорганизаций для целей обработки и передачи ПДн, в том числе получения их от третьих лиц (закон 326ФЗ) При оказании медпомощи, при обработке в медицинских информационных системах, осуществлении госконтроля качества услуг (проект Основы законодательства Российской Федерации об охране здоровья граждан) 117 Выбор программных решений 1. Заказные разработки – наименее эффективны. 2. Штатные средства ОС, СУБД и традиционные средства защиты – имеют хорошее отношение цена/качество. 3. Организационные меры (аудит, анализ риска, политика, план BCP, процедуры, регламенты) – имеют наилучшее отношение цена/качество. 4. Наиболее дорогие и наиболее эффективные средства защиты – IDS, SSO, PKI, DLP/ILP, КСУИБ. При их внедрении рекомендуется выполнять анализ рисков. Стивен Росс, Deloitte&Touche 118 Внимание! Материалы, изложенные в данной презентации, рассматривают только основные аспекты, связанные с защитой персональных данных. Более подробную информацию можно получить, обратившись в компанию «Доктор Веб» по адресу: [email protected] 119 Вопросы? Благодарим за внимание! Желаем вам процветания и еще больших успехов! www.drweb.com