Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных

Руслан Рахметов, Security Vision

В предыдущей публикации читатели могли познакомиться с базовыми принципами и основами защиты персональных данных. Кроме основного документа в данной области - Федерального Закона №152 - есть и другие подзаконные акты, которые конкретизируют правила обработки и способы защиты ПДн. Рассмотрим эти документы далее.

В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить уровни защищенности ПДн, установленные Постановлением Правительства №1119 от 01.11.2012, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности. Для моделирования этих угроз, т.е. построения модели угроз (далее - МУ) и модели нарушителя, следует опираться на следующие нормативные правовые акты:

• документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», который был разработан и утвержден ФСТЭК России в 2008 году;
• Методические рекомендации ФСБ РФ от 2015 года для определения угроз безопасности ПДн, предназначенные для государственных органов и операторов, использующих СКЗИ и разрабатывающих соответствующие МУ.

Кроме этого, ФСТЭК России в 2015 году разработала проект «Методики определения угроз безопасности информации в ИС», которой после её утверждения смогут руководствоваться как операторы ГосИС, так и частные компании.

Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые модели угроз (далее - МУ) в зоне их ответственности. Такие МУ были разработаны, например, в ЦБ РФ (сначала в виде РС БР ИББС-2.4, затем в виде Указания Банка России №3889-У), Министерством связи и массовых коммуникаций РФ («Модель угроз и нарушителя безопасности ПДн, обрабатываемых в типовых ИСПДн отрасли» и «Модель угроз и нарушителя безопасности ПДн, обрабатываемых в специальных ИСПДн отрасли») , Министерством здравоохранения РФ («Модель угроз типовой медицинской ИС типового лечебно-профилактического учреждения»).

В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее - ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»). В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня зависит от категории обрабатываемых ПДн (т.е. типа ИСПДн), категории и количества субъектов ПДн и типа актуальных угроз.

Категории ПДн могут быть специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения), биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности), общедоступными (ПДн получены из общедоступных источников), иными.

Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).

Таблица ниже иллюстрирует правила выбора уровня защищенности (далее - УЗ):

ПП-1119 предлагает достаточно сжатый перечень мер защиты ПДн, поскольку детальные меры безопасности определяет ФСТЭК России: Приказ №21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн, а Приказ №17 от 11.02.2013 регламентирует требования по защите информации в ГосИС, включая защиту ПДн в них. Кроме этого, ФСБ РФ также выпустила Приказ №378 от 10.07.2014, который содержит описание мер защиты ПДн при использовании средств криптографической защиты информации (далее - СКЗИ).

Рассмотрим сначала Приказ №21. Данный документ посвящен мерам защиты ПДн для негосударственных ИС и содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн. В п.4 операторам негосударственных ИС дается послабление в виде разрешения не использовать сертифицированные СЗИ в случае отсутствия закрываемых ими актуальных угроз, а п.6 документа устанавливает трехлетний интервал проведения оценки эффективности реализованных мер. Приказ №21, равно как и Приказ №17, предлагает одинаковый алгоритм выбора и применения мер для обеспечения безопасности: сначала осуществляется выбор базовых мер на основании положений соответствующего Приказа, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных «базовых» мер в зависимости от особенностей информационных систем и использующихся технологий, затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.

Приказ №21 в п.10 содержит важное замечание о возможности оператора применять компенсирующие меры при невозможности технической реализации или экономической нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности ПДн. В случае, если оператор использует сертифицированные СЗИ, то регулятор в п.12 Приказа предъявляет требования к классам применяемых СЗИ и к средствам вычислительной техники (далее - СВТ).

Сертифицированные межсетевые экраны, системы обнаружения вторжений, средств антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы в соответствии с недавно (в 2011-2016 гг.) введенными классификаторами ФСТЭК России могут иметь классы от 1 (максимальный уровень обеспечения защиты) до 6 (минимальный уровень). СВТ могут быть классифицированы по семи уровням в соответствии с руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия недекларированных возможностей в ПО СЗИ - существует четыре уровня контроля. Актуальный список сертифицированных СЗИ содержится в государственном реестре сертифицированных средств защиты информации.

В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны быть применены в зависимости от требуемого уровня защищенности ПДн:

• Идентификация и аутентификация субъектов доступа и объектов доступа

• Управление доступом субъектов доступа к объектам доступа

• Ограничение программной среды

• Защита машинных носителей ПДн

• Регистрация событий безопасности

• Антивирусная защита

• Обнаружение вторжений

• Контроль (анализ) защищенности ПДн

• Обеспечение целостности ИС и ПДн

• Обеспечение доступности ПДн

• Защита среды виртуализации

• Защита технических средств

• Защита ИС, ее средств, систем связи и передачи данных

• Выявление инцидентов и реагирование на них

• Управление конфигурацией ИС и системы защиты ПДн.

Приказ №17 устанавливает требования к обеспечению безопасности информации ограниченного доступа в ГосИС, при этом в п.5 подчеркивается, что при обработке ПДн в ГосИС следует руководствоваться и ПП-1119. Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации. Данный документ предполагает выполнение операторами следующих мероприятий для обеспечения защиты информации (далее - ЗИ): формирование требований к ЗИ; разработка, внедрение и аттестация системы ЗИ ИС; обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации. Пункт 14.3 Приказа говорит о необходимости создания модели угроз и предлагает использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России, о котором мы говорили в одной из предыдущих публикаций. Для ГосИС устанавливается класс защищенности (от 1 до 3), который зависит от уровня значимости обрабатываемой информации и масштаба системы, где уровень значимости зависит от степени возможного ущерба свойствам безопасности (конфиденциальность, целостность, доступность) обрабатываемой в ГосИС информации, а масштаб системы может быть федеральным, региональным или объектовым.

Таблица ниже иллюстрирует правило выбора класса (К) защищенности ГосИС:

В ГосИС 1-го класса защищенности должна быть обеспечена защита от действий нарушителей с высоким потенциалом, в ГосИС 2-го класса - от нарушителей с потенциалом не ниже усиленного базового (в БДУ их потенциал называется «средним», а в проекте «Методики определения угроз безопасности информации в ИС» он называется «базовым повышенным»), в ГосИС 3-го класса - от нарушителей с потенциалом не ниже базового (в БДУ этот потенциал называется «низким»). Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные СЗИ, в п.26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля отсутствия НДВ, в зависимости от класса ГосИС. В п.27 проводится связь между классом защищенности ГосИС и уровнями защищенности ПДн, обрабатываемыми в ней: выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн, для 2-го класса - 2, 3 и 4 УЗ, для 3-го класса - 3 и 4 УЗ.

Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа №21, описанными выше, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией. Эти действия выполняются уже после построения системы защиты, на этапе эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты информации и контролем за обеспечением уровня защищенности информации в ГосИС.

Кроме Приказа №17 при реализации соответствующих мер ЗИ можно также руководствоваться и методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», в котором более детально раскрываются состав и содержание всех мер.

Приказ ФСБ РФ №378 устанавливает нормы по применению одного из шести классов СКЗИ: КС1 (минимальный), КС2, КС3, КВ1, КВ2, КА1 (максимальный). Класс СКЗИ выбирается в зависимости от требуемого уровня защищенности ПДн и от типа актуальных угроз. Несмотря на то, что классы СКЗИ нейтрализуют угрозы, источником которых является нарушитель определенного типа с тем или иным уровнем потенциала (типов нарушителей всего 6, от Н1 до Н6, они определяются в модели нарушителя), данный Приказ привязывает класс СКЗИ именно к уровню защищенности ПДн, а не к возможностям злоумышленников. Кроме описания необходимых классов СКЗИ, указанный документ содержит административные требования к оператору, такие как организация режима доступа в помещения (физическая безопасность - установка замков, решеток), обеспечение сохранности носителей ПДн, утверждение перечня лиц, которые имеют доступ к ПДн.