| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
В предыдущей публикации читатели могли познакомиться с базовыми принципами и основами защиты персональных данных. Кроме основного документа в данной области - Федерального Закона №152 - есть и другие подзаконные акты, которые конкретизируют правила обработки и способы защиты ПДн. Рассмотрим эти документы далее.
В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить уровни защищенности ПДн, установленные Постановлением Правительства №1119 от 01.11.2012, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности. Для моделирования этих угроз, т.е. построения модели угроз (далее - МУ) и модели нарушителя, следует опираться на следующие нормативные правовые акты:
-
документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», который был разработан и утвержден ФСТЭК России в 2008 году;
-
Методические рекомендации ФСБ РФ от 2015 года для определения угроз безопасности ПДн, предназначенные для государственных органов и операторов, использующих СКЗИ и разрабатывающих соответствующие МУ.
Кроме этого, ФСТЭК России в 2015 году разработала проект «Методики определения угроз безопасности информации в ИС», которой после её утверждения смогут руководствоваться как операторы ГосИС, так и частные компании.
Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые модели угроз (далее - МУ) в зоне их ответственности. Такие МУ были разработаны, например, в ЦБ РФ (сначала в виде РС БР ИББС-2.4, затем в виде Указания Банка России №3889-У), Министерством связи и массовых коммуникаций РФ («Модель угроз и нарушителя безопасности ПДн, обрабатываемых в типовых ИСПДн отрасли» и «Модель угроз и нарушителя безопасности ПДн, обрабатываемых в специальных ИСПДн отрасли») , Министерством здравоохранения РФ («Модель угроз типовой медицинской ИС типового лечебно-профилактического учреждения»).
В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее - ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»). В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня зависит от категории обрабатываемых ПДн (т.е. типа ИСПДн), категории и количества субъектов ПДн и типа актуальных угроз.
Категории ПДн могут быть специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения), биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности), общедоступными (ПДн получены из общедоступных источников), иными.
Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).
Таблица ниже иллюстрирует правила выбора уровня защищенности (далее - УЗ):
|
Категории персональных данных |
Категория субъектов |
Количество субъектов |
Тип актуальных угроз |
||
|
1 тип |
2 тип |
3 тип |
|||
|
Специальные |
не сотрудников оператора |
более 100000 |
УЗ1 |
УЗ1 |
УЗ2 |
|
менее 100000 |
УЗ1 |
УЗ2 |
УЗ3 |
||
|
сотрудников оператора |
любое |
УЗ1 |
УЗ2 |
УЗ3 |
|
|
Биометрические |
не сотрудников оператора |
более 100000 |
УЗ1 |
УЗ2 |
УЗ3 |
|
менее 100000 |
УЗ1 |
УЗ2 |
УЗ3 |
||
|
сотрудников оператора |
любое |
УЗ1 |
УЗ2 |
УЗ3 |
|
|
Иные |
не сотрудников оператора |
более 100000 |
УЗ1 |
УЗ2 |
УЗ3 |
|
менее 100000 |
УЗ1 |
УЗ3 |
УЗ4 |
||
|
сотрудников оператора |
любое |
УЗ1 |
УЗ3 |
УЗ4 |
|
|
Общедоступные |
не сотрудников оператора |
более 100000 |
УЗ2 |
УЗ2 |
УЗ4 |
|
менее 100000 |
УЗ2 |
УЗ3 |
УЗ4 |
||
|
сотрудников оператора |
любое |
УЗ2 |
УЗ3 |
УЗ4 |
|
ПП-1119 предлагает достаточно сжатый перечень мер защиты ПДн, поскольку детальные меры безопасности определяет ФСТЭК России: Приказ №21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн, а Приказ №17 от 11.02.2013 регламентирует требования по защите информации в ГосИС, включая защиту ПДн в них. Кроме этого, ФСБ РФ также выпустила Приказ №378 от 10.07.2014, который содержит описание мер защиты ПДн при использовании средств криптографической защиты информации (далее - СКЗИ).
Рассмотрим сначала Приказ №21. Данный документ посвящен мерам защиты ПДн для негосударственных ИС и содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн. В п.4 операторам негосударственных ИС дается послабление в виде разрешения не использовать сертифицированные СЗИ в случае отсутствия закрываемых ими актуальных угроз, а п.6 документа устанавливает трехлетний интервал проведения оценки эффективности реализованных мер. Приказ №21, равно как и Приказ №17, предлагает одинаковый алгоритм выбора и применения мер для обеспечения безопасности: сначала осуществляется выбор базовых мер на основании положений соответствующего Приказа, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных «базовых» мер в зависимости от особенностей информационных систем и использующихся технологий, затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.
Приказ №21 в п.10 содержит важное замечание о возможности оператора применять компенсирующие меры при невозможности технической реализации или экономической нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности ПДн. В случае, если оператор использует сертифицированные СЗИ, то регулятор в п.12 Приказа предъявляет требования к классам применяемых СЗИ и к средствам вычислительной техники (далее - СВТ).
Сертифицированные межсетевые экраны, системы обнаружения вторжений, средств антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы в соответствии с недавно (в 2011-2016 гг.) введенными классификаторами ФСТЭК России могут иметь классы от 1 (максимальный уровень обеспечения защиты) до 6 (минимальный уровень). СВТ могут быть классифицированы по семи уровням в соответствии с руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия недекларированных возможностей в ПО СЗИ - существует четыре уровня контроля. Актуальный список сертифицированных СЗИ содержится в государственном реестре сертифицированных средств защиты информации.
В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны быть применены в зависимости от требуемого уровня защищенности ПДн:
-
Идентификация и аутентификация субъектов доступа и объектов доступа
-
Управление доступом субъектов доступа к объектам доступа
-
Ограничение программной среды
-
Защита машинных носителей ПДн
-
Регистрация событий безопасности
-
Антивирусная защита
-
Обнаружение вторжений
-
Контроль (анализ) защищенности ПДн
-
Обеспечение целостности ИС и ПДн
-
Обеспечение доступности ПДн
-
Защита среды виртуализации
-
Защита технических средств
-
Защита ИС, ее средств, систем связи и передачи данных
-
Выявление инцидентов и реагирование на них
-
Управление конфигурацией ИС и системы защиты ПДн.
Приказ №17 устанавливает требования к обеспечению безопасности информации ограниченного доступа в ГосИС, при этом в п.5 подчеркивается, что при обработке ПДн в ГосИС следует руководствоваться и ПП-1119. Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации. Данный документ предполагает выполнение операторами следующих мероприятий для обеспечения защиты информации (далее - ЗИ): формирование требований к ЗИ; разработка, внедрение и аттестация системы ЗИ ИС; обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации. Пункт 14.3 Приказа говорит о необходимости создания модели угроз и предлагает использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России, о котором мы говорили в одной из предыдущих публикаций. Для ГосИС устанавливается класс защищенности (от 1 до 3), который зависит от уровня значимости обрабатываемой информации и масштаба системы, где уровень значимости зависит от степени возможного ущерба свойствам безопасности (конфиденциальность, целостность, доступность) обрабатываемой в ГосИС информации, а масштаб системы может быть федеральным, региональным или объектовым.
Таблица ниже иллюстрирует правило выбора класса (К) защищенности ГосИС:
|
Уровень |
Масштаб информационной системы |
||
|
Федеральный |
Региональный |
Объектовый |
|
|
УЗ 1 |
К1 |
К1 |
К1 |
|
УЗ 2 |
К1 |
К2 |
К2 |
|
УЗ 3 |
К2 |
К3 |
К3 |
В ГосИС 1-го класса защищенности должна быть обеспечена защита от действий нарушителей с высоким потенциалом, в ГосИС 2-го класса - от нарушителей с потенциалом не ниже усиленного базового (в БДУ их потенциал называется «средним», а в проекте «Методики определения угроз безопасности информации в ИС» он называется «базовым повышенным»), в ГосИС 3-го класса - от нарушителей с потенциалом не ниже базового (в БДУ этот потенциал называется «низким»). Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные СЗИ, в п.26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля отсутствия НДВ, в зависимости от класса ГосИС. В п.27 проводится связь между классом защищенности ГосИС и уровнями защищенности ПДн, обрабатываемыми в ней: выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн, для 2-го класса - 2, 3 и 4 УЗ, для 3-го класса - 3 и 4 УЗ.
Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа №21, описанными выше, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией. Эти действия выполняются уже после построения системы защиты, на этапе эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты информации и контролем за обеспечением уровня защищенности информации в ГосИС.
Кроме Приказа №17 при реализации соответствующих мер ЗИ можно также руководствоваться и методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», в котором более детально раскрываются состав и содержание всех мер.
Приказ ФСБ РФ №378 устанавливает нормы по применению одного из шести классов СКЗИ: КС1 (минимальный), КС2, КС3, КВ1, КВ2, КА1 (максимальный). Класс СКЗИ выбирается в зависимости от требуемого уровня защищенности ПДн и от типа актуальных угроз. Несмотря на то, что классы СКЗИ нейтрализуют угрозы, источником которых является нарушитель определенного типа с тем или иным уровнем потенциала (типов нарушителей всего 6, от Н1 до Н6, они определяются в модели нарушителя), данный Приказ привязывает класс СКЗИ именно к уровню защищенности ПДн, а не к возможностям злоумышленников. Кроме описания необходимых классов СКЗИ, указанный документ содержит административные требования к оператору, такие как организация режима доступа в помещения (физическая безопасность - установка замков, решеток), обеспечение сохранности носителей ПДн, утверждение перечня лиц, которые имеют доступ к ПДн.
