Анализ основных российских и зарубежных нормативных документов в области информационной безопасности. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных


 
Руслан Рахметов, Security Vision

В предыдущей публикации читатели могли познакомиться с базовыми принципами и основами защиты персональных данных. Кроме основного документа в данной области - Федерального Закона №152 - есть и другие подзаконные акты, которые конкретизируют правила обработки и способы защиты ПДн. Рассмотрим эти документы далее.

В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить уровни защищенности ПДн, установленные Постановлением Правительства №1119 от 01.11.2012, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности. Для моделирования этих угроз, т.е. построения модели угроз (далее - МУ) и модели нарушителя, следует опираться на следующие нормативные правовые акты:

Кроме этого, ФСТЭК России в 2015 году разработала проект «Методики определения угроз безопасности информации в ИС», которой после её утверждения смогут руководствоваться как операторы ГосИС, так и частные компании.

Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые модели угроз (далее - МУ) в зоне их ответственности. Такие МУ были разработаны, например, в ЦБ РФ (сначала в виде РС БР ИББС-2.4, затем в виде Указания Банка России №3889-У), Министерством связи и массовых коммуникаций РФ («Модель угроз и нарушителя безопасности ПДн, обрабатываемых в типовых ИСПДн отрасли» и «Модель угроз и нарушителя безопасности ПДн, обрабатываемых в специальных ИСПДн отрасли») , Министерством здравоохранения РФ («Модель угроз типовой медицинской ИС типового лечебно-профилактического учреждения»).

В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее - ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»). В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня зависит от категории обрабатываемых ПДн (т.е. типа ИСПДн), категории и количества субъектов ПДн и типа актуальных угроз.

Категории ПДн могут быть специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения), биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности), общедоступными (ПДн получены из общедоступных источников), иными.

Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).

Таблица ниже иллюстрирует правила выбора уровня защищенности (далее - УЗ):

Категории персональных данных

Категория субъектов

Количество субъектов

Тип актуальных угроз

1 тип

2 тип

3 тип

Специальные

не сотрудников оператора

более 100000

УЗ1

УЗ1

УЗ2

менее 100000

УЗ1

УЗ2

УЗ3

сотрудников оператора

любое

УЗ1

УЗ2

УЗ3

Биометрические

не сотрудников оператора

более 100000

УЗ1

УЗ2

УЗ3

менее 100000

УЗ1

УЗ2

УЗ3

сотрудников оператора

любое

УЗ1

УЗ2

УЗ3

Иные

не сотрудников оператора

более 100000

УЗ1

УЗ2

УЗ3

менее 100000

УЗ1

УЗ3

УЗ4

сотрудников оператора

любое

УЗ1

УЗ3

УЗ4

Общедоступные

не сотрудников оператора

более 100000

УЗ2

УЗ2

УЗ4

менее 100000

УЗ2

УЗ3

УЗ4

сотрудников оператора

любое

УЗ2

УЗ3

УЗ4

 

ПП-1119 предлагает достаточно сжатый перечень мер защиты ПДн, поскольку детальные меры безопасности определяет ФСТЭК России: Приказ №21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн, а Приказ №17 от 11.02.2013 регламентирует требования по защите информации в ГосИС, включая защиту ПДн в них. Кроме этого, ФСБ РФ также выпустила Приказ №378 от 10.07.2014, который содержит описание мер защиты ПДн при использовании средств криптографической защиты информации (далее - СКЗИ).

Рассмотрим сначала Приказ №21. Данный документ посвящен мерам защиты ПДн для негосударственных ИС и содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн. В п.4 операторам негосударственных ИС дается послабление в виде разрешения не использовать сертифицированные СЗИ в случае отсутствия закрываемых ими актуальных угроз, а п.6 документа устанавливает трехлетний интервал проведения оценки эффективности реализованных мер. Приказ №21, равно как и Приказ №17, предлагает одинаковый алгоритм выбора и применения мер для обеспечения безопасности: сначала осуществляется выбор базовых мер на основании положений соответствующего Приказа, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных «базовых» мер в зависимости от особенностей информационных систем и использующихся технологий, затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.

Приказ №21 в п.10 содержит важное замечание о возможности оператора применять компенсирующие меры при невозможности технической реализации или экономической нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности ПДн. В случае, если оператор использует сертифицированные СЗИ, то регулятор в п.12 Приказа предъявляет требования к классам применяемых СЗИ и к средствам вычислительной техники (далее - СВТ).

Сертифицированные межсетевые экраны, системы обнаружения вторжений, средств антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы в соответствии с недавно (в 2011-2016 гг.) введенными классификаторами ФСТЭК России могут иметь классы от 1 (максимальный уровень обеспечения защиты) до 6 (минимальный уровень). СВТ могут быть классифицированы по семи уровням в соответствии с руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия недекларированных возможностей в ПО СЗИ - существует четыре уровня контроля. Актуальный список сертифицированных СЗИ содержится в государственном реестре сертифицированных средств защиты информации.

В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны быть применены в зависимости от требуемого уровня защищенности ПДн:

  • Идентификация и аутентификация субъектов доступа и объектов доступа

  • Управление доступом субъектов доступа к объектам доступа

  • Ограничение программной среды

  • Защита машинных носителей ПДн

  • Регистрация событий безопасности

  • Антивирусная защита

  • Обнаружение вторжений

  • Контроль (анализ) защищенности ПДн

  • Обеспечение целостности ИС и ПДн

  • Обеспечение доступности ПДн

  • Защита среды виртуализации

  • Защита технических средств

  • Защита ИС, ее средств, систем связи и передачи данных

  • Выявление инцидентов и реагирование на них

  • Управление конфигурацией ИС и системы защиты ПДн.

Приказ №17 устанавливает требования к обеспечению безопасности информации ограниченного доступа в ГосИС, при этом в п.5 подчеркивается, что при обработке ПДн в ГосИС следует руководствоваться и ПП-1119. Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации. Данный документ предполагает выполнение операторами следующих мероприятий для обеспечения защиты информации (далее - ЗИ): формирование требований к ЗИ; разработка, внедрение и аттестация системы ЗИ ИС; обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации. Пункт 14.3 Приказа говорит о необходимости создания модели угроз и предлагает использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России, о котором мы говорили в одной из предыдущих публикаций. Для ГосИС устанавливается класс защищенности (от 1 до 3), который зависит от уровня значимости обрабатываемой информации и масштаба системы, где уровень значимости зависит от степени возможного ущерба свойствам безопасности (конфиденциальность, целостность, доступность) обрабатываемой в ГосИС информации, а масштаб системы может быть федеральным, региональным или объектовым.

Таблица ниже иллюстрирует правило выбора класса (К) защищенности ГосИС:

Уровень
значимости
информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К1

К1

К1

УЗ 2

К1

К2

К2

УЗ 3

К2

К3

К3

 

В ГосИС 1-го класса защищенности должна быть обеспечена защита от действий нарушителей с высоким потенциалом, в ГосИС 2-го класса - от нарушителей с потенциалом не ниже усиленного базового (в БДУ их потенциал называется «средним», а в проекте «Методики определения угроз безопасности информации в ИС» он называется «базовым повышенным»), в ГосИС 3-го класса - от нарушителей с потенциалом не ниже базового (в БДУ этот потенциал называется «низким»). Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные СЗИ, в п.26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля отсутствия НДВ, в зависимости от класса ГосИС. В п.27 проводится связь между классом защищенности ГосИС и уровнями защищенности ПДн, обрабатываемыми в ней: выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн, для 2-го класса - 2, 3 и 4 УЗ, для 3-го класса - 3 и 4 УЗ.

Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа №21, описанными выше, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией. Эти действия выполняются уже после построения системы защиты, на этапе эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты информации и контролем за обеспечением уровня защищенности информации в ГосИС.

Кроме Приказа №17 при реализации соответствующих мер ЗИ можно также руководствоваться и методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», в котором более детально раскрываются состав и содержание всех мер.

Приказ ФСБ РФ №378 устанавливает нормы по применению одного из шести классов СКЗИ: КС1 (минимальный), КС2, КС3, КВ1, КВ2, КА1 (максимальный). Класс СКЗИ выбирается в зависимости от требуемого уровня защищенности ПДн и от типа актуальных угроз. Несмотря на то, что классы СКЗИ нейтрализуют угрозы, источником которых является нарушитель определенного типа с тем или иным уровнем потенциала (типов нарушителей всего 6, от Н1 до Н6, они определяются в модели нарушителя), данный Приказ привязывает класс СКЗИ именно к уровню защищенности ПДн, а не к возможностям злоумышленников. Кроме описания необходимых классов СКЗИ, указанный документ содержит административные требования к оператору, такие как организация режима доступа в помещения (физическая безопасность - установка замков, решеток), обеспечение сохранности носителей ПДн, утверждение перечня лиц, которые имеют доступ к ПДн.