+7(499)495-49-41

Сертифицированные решения StoneGate для защиты персональных данных в финансовых организациях

Содержание

Публикации экспертов

Сертифицированные решения StoneGate для защиты персональных данных в финансовых организациях

Андрей Янкин

Директор информационной службы
18.07.2011 (№7)

На рынке представлено много решений, необходимых для защиты персональных данных, но они могут оказаться не по карману предприятиям малого и среднего бизнеса

Выполнение требований Федерального закона № 152 «О персональных данных» в последнее время является одной из самых актуальных задач в области информационной безопасности не только для крупных предприятий, но и для представителей малого и среднего бизнеса.

И если первые могут привлечь значительные ресурсы, создать в рамках отдела ИБ группу специалистов, занимающихся исключительно персональными данными, прибегнуть к помощи крупных интеграторов и консультантов, то для организации меньшего размера вопрос экономии средств зачастую выходит на первый план.

Нередко руководство среднего предприятия, сталкиваясь с проблемой защиты персональных данных (ПДн), руководствуется следующими посылами: «мы не самая крупная компания, о нас еще долго не вспомнят», «когда к нам придут, тогда и будем разбираться», а зачастую и самым характерным для России — «как-нибудь договоримся». Давайте попробуем разобраться, чем же на самом деле рискует организация, не выполняя требования ФЗ № 152?

Основными регуляторами в области защиты ПДн являются Роскомнадзор, ФСТЭК и ФСБ. Сферы деятельности этих государственных органов можно условно разделить следующим образом:

  • Роскомнадзор является главным регулятором в области защиты ПДн, он занимается общими вопросами, контролирует состояние организационно-распорядительной документации, ведет реестр операторов ПДн;
  • ФСТЭК занимается в первую очередь технической стороной защиты ПДн, обрабатываемых в информационных системах организации;
  • ФСБ курирует вопросы криптографической защиты ПДн и государственной безопасности в контексте ПДн (например, ФСБ может заблокировать передачу ПДн за рубеж).

Рис. 1. Этапы реализации типичного проекта по защите персональных данных

Проверка может быть плановой или внеплановой. Планы проверок на год находятся в свободном доступе в Интернете (ФСТЭК: http://www.fstec.ru/_razd/_plano.htm, Роскомнадзор: http://www.rsoc.ru/plan-and-reports/contolplan/).

И если с плановой проверкой все более-менее ясно, то причин для внеплановой проверки может быть множество, в том числе и просто жалоба физического лица.

При этом недовольному чем-то гражданину не придется ничего доказывать — достаточно просто в официальном порядке поделиться подозрением с соответствующими органами.

В случае выявления нарушений к организации могут быть применены различные меры воздействия: начиная от небольших штрафов и заканчивая блокированием информационных систем, приостановкой действия лицензий и привлечением руководства к ответственности (вплоть до уголовной). Но даже если дело не приняло такого крутого оборота, предприятие может получить предписание устранить нарушения в определенный срок или уничтожить данные. Причем отведенный срок этот может быть настолько мал, что станет равносилен «смертному приговору» для компании.

Как же грамотно организовать защиту персональных данных в организации?

Рис. 2. Схема межсетевого экранирования

Процесс приведения обработки ПДн в организации в соответствие ФЗ № 152 можно разделить на этапы, показанные (сверху вниз) на рис. 1. Этап аттестации является необязательным.

По результатам аудита в рамках организации выделяются информационные системы персональных данных (ИСПДн) и проводится их классификация. Всего существует четыре класса (К4 – К1).

ИСПДн первого класса нуждаются в самой усиленной защите, а системы четвертого класса предъявляют наименьшие требования к обеспечению защиты (защита на усмотрение оператора ПДн).

Для средних и малых компаний характерны ИСПДн классов К2 и К3.

Для организации защиты ПДн могут использоваться только те средства защиты информации (СЗИ), которые прошли проверку соответствия в уполномоченных госорганах (для СЗИ, используемых коммерческими организациями, это ФСТЭК и ФСБ), поэтому далее речь пойдет только о сертифицированных решениях.

Подбирать системы защиты будем для небольшой организации. Допустим, что в результате аудита были выявлены ИСПДн классов К2 и К3, охватывающие 50 рабочих мест и 5 серверов под управлением Microsoft Windows.

«Положение о методах и способах защиты информации в информационных системах персональных данных» ФСТЭК (более известное как «приказ № 58») выделяет ряд подсистем защиты персональных данных, описанных ниже.

Одним из ключевых документов, подготавливаемых после проведения аудита, является модель угроз ИСПДн. В ней производится классификация угроз информационной безопасности ИСПДн и рассчитывается их актуальность.

В процессе составления модели угроз ИСПДн может быть показано, что необходимости включать в состав системы защиты все перечисленные в «58-м приказе» подсистемы нет.

Рассмотрим подробнее каждую из подсистем, изменив порядок их следования для удобства изложения.

Подсистема межсетевого экранирования

В случае, если ИСПДн организации имеют доступ к сетям общего пользования (Интернет), обосновать отсутствие межсетевого экранирования будет достаточно сложно. Межсетевой экран при этом должен быть сертифицирован. На данный момент целый ряд устройств (как иностранного, так и отечественного производства) имеют соответствующие сертификаты ФСТЭК.

Для экономии средств и повышения отказоустойчивости имеет смысл не располагать межсетевой экран на периметре сети, чтобы ему не пришлось обрабатывать весь интернет-трафик компании. Сертифицированным межсетевым экраном можно выделить отдельные сегменты обработки ПДн (см. рис. 2). В таком случае межсетевой экран будет обслуживать только узлы, включенные в ИСПДн.

Таблица 1. Сравнение стоимости межсетевых экранов

Рассмотрим несколько популярных в области защиты персональных данных устройств (см. табл. 1). Рассматривать будем варианты с реальной производительностью выше 100 Мбит/с.

Средние цены даны для устройств в сертифицированном исполнении и включают сервисную поддержку. Здесь и далее цены приводятся из последних доступных на момент написания статьи (начало июня 2011 года) прайс-листов производителей и дистрибьюторов решений.

Цены могут различаться в зависимости от индивидуальных договоренностей, уровня партнерства и т. п.

До недавнего времени «сертифицированное» значило «отечественное». Теперь ситуация изменилась, и многим зарубежным вендорам удалось получить сертификаты на свои решения. Функционал иностранных устройств существенно шире, чем у российских, однако есть преимущество и у последних.

Например, у продуктов АПКШ «Континент», S-Terra CSP VPN Gate, ViPNet Coordinator имеется встроенная поддержка отечественной криптографии, сертифицированная ФСБ.

Важно также понимать, что если организация передает ПДн через Интернет (например, в рамках обмена информацией с филиалами), ей не обойтись без решения вопросов криптографической защиты каналов связи. И в таком случае, приобретя устройство с поддержкой шифрования по ГОСТу, можно убить сразу двух зайцев.

Это, кстати, понимают и иностранные производители: например, CheckPoint и StoneSoft реализовали в своих устройствах поддержку российской криптографии и сейчас активно работают над получением соответствующих сертификатов ФСБ.

Таблица 2. Стоимость антивирусов для сети в 55 узлов

Когда количество узлов, на которых происходит обработка ПДн, совсем небольшое, стоит обратить внимание на вариант использования локального межсетевого экрана на каждом сервере и рабочей станции. Это, возможно, позволит сэкономить на аппаратном решении без потери качества.

Рынок сертифицированных локальных межсетевых экранов довольно развит и богат различными отечественными разработками. Особо стоит выделить новый продукт от ГК «Информзащита» — Security Studio Endpoint Protection, созданный на базе проверенного временем ядра Agnitum Outpost. Выгодно отличает это решение от прочих наличие сертифицированного антивируса и системы обнаружения вторжений.

Стоимость одной лицензии составляет 2440 руб. в базовом варианте и 2700 руб. со встроенным антивирусом.

Подсистема антивирусной защиты

Очень редко встречаются организации, для которых угроза заражения вирусами собственной ИСПДн неактуальна.

Приятно удивляет подход к сертификации своих продуктов, выбранный антивирусными компаниями (законодателем мод здесь традиционно является «Лаборатория Касперского»). Цена сертифицированного решения не отличается от обычной.

Покупателю необходимо приобрести один сертифицированный дистрибутив на всю свою сеть и пакет документации (цена не более 2–2,5 тыс. руб.).

Если вы уже используете антивирус, достаточно докупить только сертифицированный дистрибутив.

Цены на некоторые сертифицированные антивирусные решения (для защиты 50 рабочих станций и 5 серверов) приведены в табл. 2.

Подсистемы контроля целостности, управления доступом, регистрации и учета

Данные подсистемы де-факто являются обязательными для любой ИСПДн. Их следует рассмотреть в комплексе, так как реализуются они одними и теми же техническими средствами.

К созданию этих подсистем есть два принципиально разных подхода, имеющих свои достоинства и недостатки: использование наложенных средств защиты или встроенных возможностей операционной системы.

Таблица 3. Решения по контролю целостности, управлению доступом, регистрации и учету

Преимуществом первого подхода является простота его реализации. На узлы устанавливается специальное ПО, выполняющее все необходимые функции. Основных недостатков тут два: такое ПО сильно загружает рабочие станции/серверы и стоит недешево.

Второй подход кажется логичным: почему бы не использовать встроенные возможности ОС? Тем более что компания Microsoft сертифицировала свои основные ОС как СЗИ (в подавляющем числе средних и малых организаций в России используются ОС от Microsoft, однако и любители UNIX имеют шанс подобрать сертифицированный аналог используемых ОС — число их постоянно растет). Сертифицированные сборки Microsoft принципиально ничем не отличаются от обычных версий, и администраторам не придется осваивать новые системы. Недостатка у данного подхода также два: необходимость в ряде случаев переустановки ОС с сертифицированного дистрибутива и отсутствие подсистемы контроля целостности.

Со второй проблемой помогает справиться специально созданный продукт «Агент ИКЦ 2011». Эта утилита, помимо контроля целостности с использованием в том числе алгоритма ГОСТ Р 34.11-94, позволяет производить инвентаризацию ПО и аппаратной части узлов сети и почти не загружает машину.

Стоимость такого комплексного решения складывается из следующих компонентов: пакеты сертификации для ОС (6000–8000 руб. для сервера Win2003 Standard Edition и 1800–2200 руб.

для рабочей станции), один на сеть ключ eToken для получения обновлений (около 1000 руб.), сертифицированные дистрибутивы ОС (по 1000 руб. для каждого типа ОС) и ПО «Агент ИКЦ» (1120 руб. за одну лицензию).

Таким образом, суммарная стоимость для одной рабочей станции нашей сети составит около 3200 руб., а для одного сервера — около 8000 руб.

В табл. 3 приведены цены на основные решения в данном классе.

Подсистема анализа защищенности

Данную подсистему часто недооценивают и отсекают еще на этапе составления модели угроз, хотя результаты работы сканера безопасности нередко вызывают удивление у неискушенных администраторов и их руководителей.

Рынок сертифицированных сканеров безопасности в России, по сути, монополизирован отечественной компанией Positive Technologies. Ее решение MaxPatrol ориентировано на очень крупные компании, а для SMB предлагается сканер безопасности XSpider. Это действительно качественное решение, стоящее в одном ряду с лучшими мировыми образцами.

Ориентировочная минимальная цена лицензии для наших 55 узлов составляет 39 600 руб.

Подсистема обнаружения вторжений

Ситуация с этой подсистемой до недавнего времени была парадоксальной: требования о ее наличии были, а сертифицированные решения на рынке отсутствовали. Поэтому ее традиционно просто отбрасывали на уровне составления модели угроз ИСПДн.

Сейчас на рынке уже появились решения данного класса. Наибольший интерес для нашего случая представляет устройство StoneGate IPS-1030 (цена в сертифицированном исполнении 286 000 руб.).

Другим распространенным решением в данной области является серия систем обнаружения вторжений Cisco IPS 4200, но к немалой стоимости таких устройств (15 600 долл.

для младшего устройства линейки IPS 4240 с учетом годовой поддержки) прибавляется еще и цена сертификации каждого отдельного устройства, что для нашей небольшой организации, скорее всего, было бы неприемлемо.

Здесь, так же как и в случае с межсетевым экраном, можно обратить внимание на встроенную в Security Studio Endpoint Protection систему обнаружения вторжений.

Что в итоге?

Подсчитаем, во что же в итоге обойдется для нашей средней организации внедрение технических средств защиты информации.

Остановимся на следующих решениях: S-Terra CSP VPN Gate 1000 в качестве недорогого межсетевого экрана с дополнительной возможностью построения криптотуннелей; проверенный, хоть и не самый дешевый, Антивирус Касперского для рабочих станций и серверов; связка из сертифицированной ОС и «Агента ИКЦ 2011» для рабочих станций (Win XP/7); Secret Net 6 без аппаратной части для серверов и сканер безопасности XSpider 7.7. На системе обнаружения вторжений мы сэкономим, обосновав ее отсутствие при помощи модели угроз. Таким образом, общая стоимость комплекса средств защиты персональных данных составит порядка 360 000 руб. Если какие-то средства защиты уже установлены, стоимость может быть ниже.

До недавнего времени бытовало мнение, что выполнение требований ФЗ № 152 «О персональных данных» — непосильная и бессмысленная ноша для организации как с финансовой, так и с технической точки зрения. Сейчас появилась возможность взглянуть на ситуацию иначе.

Сертификаты соответствия получает все большее число устройств и программных решений, реализующих функции безопасности на лучшем мировом уровне. Возможно, стоит задуматься об общей модернизации систем безопасности предприятия и в рамках этого процесса решить и проблему защиты персональных данных.

Тем более все предпосылки к этому на сегодняшний день уже имеются.

Андрей Янкин — эксперт центра компетенции информационной безопасности
компании «АйТи»; ayankin@it.ru

Источник: http://www.ua.it.ru/press_center/expert/Personalnye_dannye_v_SMB1

Практика защиты персональных данных

Сертифицированные решения StoneGate для защиты персональных данных в финансовых организациях

Привет, Хабр!
1 июля приближается, а с ним приближается и необходимость выполнения ФЗ-152 «О персональных данных». В связи с этим хочу поделиться опытом работы по данному направлению.

В блоге Информационная безопасность уже идет цикл постов о написании документов, однако, помимо бумаги, может возникнуть необходимость применения и некоторых технических средств защиты информации. Которым и посвящен данный топик.

Первое, что необходимо держать в памяти — средствами защиты информации у нас являются только те средства, которые имеют действующий сертификат ФСТЭК (по защите от НСД — несанкционированного доступа) и ФСБ (по криптографии и межсетевому экранированию).

К сожалению, сертификаты периодически кончаются, и если компания-производитель не озаботится продлением сертификата, то при проверке могут возникнуть проблемы. Избежать их можно двумя способами: 1) Перед закупкой средств защиты проконсультироваться с производителем, или с поставщиком, когда заканчивается текущий сертификат, и собирается ли производитель его продлевать.

Так же стоит заглянуть на сайт производителя — есть есть более новая версия, то старую могут и не продлить. 2) Если техника уже закуплена, и производитель не собирается продлевать сертификат — можно самому обратиться в орган по сертификации и получить сертификат на свой экземпляр (только свой). За некоторую сумму денег, как вы понимаете.

Кроме того, необходимо определиться, какие, собственно, средства защиты нам нужны? Если ваша ИСПДн — типовая, то требования по защите персональных данных описаны в приложении к приказу ФСТЭК № 58, которое может найти тут. Если же ваша ИСПДн — специальная, то требования по защите описаны в «Частной модели угроз…», которая составляется по результатам обследования ИСПДн.

Поясню сразу — типовой ИСПДн является информационная система, к которой предъявляются требования только по конфиденциальности персональных данных, а доступность и целостность оставлены в стороне.

Для чего можно сделать ИСПДн специальной? Актуально это, на мой взгляд, только для ИСПДн 1-го класса (К1), так как предъявляемые требования включают в себя в том числе и защиту от ПЭМИН (побочные электромагнитные излучения и наводки). Создание «Частной модели угроз…» помогает уйти от ПЭМИН и значительно облегчить жизнь. Суть же защиты сводится к установке генератора электромагнитного шума и фиксации расположения и состава как технических средств ИСПДн, так и вообще всех технических средств, расположенных в тех же помещениях. То есть, вносить изменения вы сможете только по согласованию с органом, производившим аттестационные испытания. Изменения же в составе ИСПДн могут вылиться в контрольную проверку или переаттестацию.

От ПЭМИН мы, будем считать, ушли, теперь давайте рассмотрим средства защиты информации и типовые варианты их применения. В общем и целом, все средства защиты можно разделить на несколько групп:

Локальные СЗИ НСД

СЗИ НСД — это аббревиатура от средства защиты информации от несанкционированного доступа. Используются для предотвращения несанкционированных действий пользователей, имеющих доступ к рабочим станциям ИСПДн.

Включают в себя такие механизмы, как контроль загрузки со сменных носителей (CD/DVD-диски, флешки), контроль устройств (что бы нельзя было подключить левую флешку и слить информацию), реализация мандатного разграничения доступа (для ИСПДн не требуется). Приведу только те средства, с которыми я работал лично: 1) Secret Net.

Может поставляться как с платой контроля загрузки, так и без оной. Работает через secpol.msc, так что на Home-версиях может и не заработать (на Windows XP Home не работает точно, да Vista и Windows 7 еще не проверял). Довольно прост в эксплуатации, имеет наилучший, из виденного, механизм контроля устройств.

Есть сетевая версия, предназначенная для интеграции в доменную структуру. 2) Страж NT. Наилучший механизм мандатного разграничения доступа. В эксплуатации сложнее (из-за того, что часть защитных механизмов нельзя отключить). Сетевой версии нет. 3) Dallas Lock.

Проигрывает по всем параметрам рассмотренным ранее, кроме возможности нормального развертывания сетевого варианта в бездоменной сети. Как ясно из названия, данные средства используются на локальных машинах. Добавить тут нечего.

Межсетевые экраны

Назначение, я думаю, ясно. Кроме того, если одну ИСПДн разделить межсетевым экраном на две части, то можно с полным право назвать их двумя разными ИСПДн.

Для чего? Если вы попадаете в первый класс именно по количеству обрабатываемых субъектов персональных данных, то, разделив ИСПДн на две части, вы уменьшите количество обрабатываемых в каждой ИСПДн субъектов и получите уже не К1, а К2.

Сейчас на рынке представлено несколько сертифицированных межсетевых экранов: 1) VipNet Personal Firewall. Просто персональных межсетевой экран, без особых изысков. Управляется только локально. Механизма централизованного управления нет. Для запуска требует пароль, если его не ввести — не запускается. 2) VipNet Office Firewall.

То же самое, но поддерживает несколько сетевых карт, что позволяет устанавливать его на шлюзе, и использовать для сегментирования ИСПДн. 3) ССПТ-2. Программно-аппаратный комплекс, работает на FreeBSD, однако добраться до самой ОС вам никто не даст. Работает быстро, поддерживает фильтрацию по многим параметрам.

Имеет неприятную особенность — правила применяются по списку сверху-вниз, и правила, расположенные вверху, имеют больший приоритет. В документации это не отражено, было выявлено опытным путем. Управляется как с локальной консоли, так и через веб-интерфейс. 4) АПКШ «Континент».

Вообще, это не межсетевой экран, а криптомаршрутизатор, но с функциями МСЭ. Архитектурно похож на ССПТ-2, но управления с локальной консоли нет — только через специальную консоль администратора. При чем, при начальной настройке необходимо указать интерфейс, к которому будет подключен компьютер администратора.

Кроме того, «Код безопасности» выпустил еще два продукта — МСЭ+ HIPS «Security Studio Endpoint Protection» и систему распределенных межсетевых экранов Trust Access, объединяющую межсетевое экранирование и сегментацию с использованием аутентификации по протоколу Kerberos. По скольку работать с данными продуктами мне не приходилось, предоставлю только ссылки на их описание:

TrustAccess
SSEP Кроме того, было сертифицировано производство еще одного продукта — Stonegate Firewall/VPN. Продукт финской компании Stonesoft. Так же он поставляется к прикрученным к нему модулем шифрования КриптоПРО, что позволяет использовать его в качестве сертифицированного VPN-решения.

СКЗИ

Они же средства криптографической защиты. Помимо уже указанного Stonegate Firewall/VPN, есть еще два VPN-решения: 1) VipNet Custom. Представляет из себя комплекс из VipNet Administrator — программа управления, VipNet Coordinator — VPN-сервер, с функциями МСЭ, и VipNet Client — VPN-клиент и МСЭ.

Программа управления используется только для генерации ключей и сертификатов, управление настройками межсетевых экранов возможно только локально. Помочь в администрировании может только встроенный RDP. Так включает в себя внутренний мессенджер и внутреннюю почту.

К достоинствам можно отнести только то, что это чисто программное решение, которое легко встраивается в уже существующую инфраструктуру. 2) АПКШ «Континент». Про него я, в принципе, уже говорил. Добавлю только то, что в последней версии клиента («Континент-АП») появились функции межсетевого экрана, и даже есть клиент под Linux.

Управление самими криптошлюзами производится только с консоли администратора, но удаленно. К особенностям так же стоит отнести то, что стартовая настройка (то есть передача криптошлюзу конфигурации сети и ключей) производится локально, путем скармливания ему флешки со всей необходимой информацией.

Если вы ошиблись при создании конфигурации и уже отправили криптошлюз на удаленную точку — то удаленно подцепиться на него и что-то исправить вы не сможете, придется генерировать конфигурацию заново и каким-то образом передавать на удаленную точку.

В принципе, вот краткое описание всех известных мне сертифицированных средств защиты. Надеюсь, данная информация будет полезна сообществу.

  • информационная безопасность
  • ИСПДн
  • ФЗ-152

Источник: https://habr.com/post/120751/

Защита персональных данных в кредитно-финансовых учреждениях

Сертифицированные решения StoneGate для защиты персональных данных в финансовых организациях

Источник: Банковские технологии № 3, апрель 2009 г.

Михаил Емельянников, директор по развитию компании «Информзащита»

Масштабы и границы

Уже сейчас ясно, что мероприятия по обеспечению безопасности обработки персональных данных являются технически сложными, требуют высокой квалификации исполнителей, специальных знаний, глубокого понимания функциональности как приложений, обрабатывающих персональные данные, так и средств защиты информации.

Именно поэтому нормативные документы регуляторов предусматривают лицензирование деятельности операторов персональных данных по технической защите конфиденциальной информации.

Выходом для банковских учреждений, которые по тем или иным причинам не могут или не хотят получать лицензию, является заключение договора со специализированной организацией-лицензиатом на аутсорсинг услуг по технической защите персональных данных.

Независимо от того, кто будет выполнять работы по обеспечению безопасности обработки персональных данных, первые шаги оператора достаточно очевидны. Необходимо (1) выявить все информационные системы, обрабатывающие персональные данные (ИСПДн), (2) классифицировать все выявленные ИСПДн и (3) сформировать и актуализировать для каждой из них или групп однотипных систем модель угроз.

При этом важно понимать, что определение границ ИСПДн и их классификация — задачи неформальные, требующие понимания бизнес-процессов. Ключевыми моментами на этапе сбора и анализа исходных данных по ИСПДн являются определение целей обработки персданных и формирование перечня ПДн (определение состава сведений, отнесенных к такой категории).

Два примера.

Большинство крупных организаций, и банки здесь — не исключение, имеют внутренние корпоративные порталы, содержащие, среди прочего, и справочную систему, в которой размещены сведения о сотрудниках с указанием их фамилии, имени, отчества, должности, номеров служебного телефона и кабинета, адреса электронной почты, в некоторых случаях — и фотографии.

При определении категории подобных персональных данных по методике совместного приказа ФСТЭК, ФСБ и Мининформсвязи РФ
от 13.02.2008 г.

 N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» необходимо исходить из цели обработки данных — идентификация сотрудников для установления контакта с ними (категория 3), а при оценке коэффициента, характеризующего количество обрабатываемых записей (ХНПД), в качестве параметра выбрать «персональные данные субъектов персональных данных в пределах конкретной организации». В этом случае справочная система будет относится к классу 3 (К3) типовых ИСПДн,  даже если в организации работает более 1000 сотрудников.

Второй пример. При формировании перечня персональных данных для сегмента АБС, связанного с ведением кредитной истории клиента, перечень обрабатываемых персональных данных можно определить на основании ФЗ «О кредитных историях». Тогда к ПДн именно в этой ИСПДн будут относиться следующие сведения о заемщике:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • данные паспорта или иного документа, удостоверяющего личность (номер, дата и место выдачи, наименование выдавшего его органа);
  • ИНН;
  • страховой номер индивидуального лицевого счета;
  • места регистрации и фактического места жительства;
  • сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя.

На этапе инвентаризации и классификации  ИСПДн необходимо оценить необходимость и целесообразность отнесения ИСПДн к специальным системам, исходя их положений упомянутого выше совместного приказа и особенностей обработки данных в конкретной системе.

Формирование актуализированной модели угроз также является непростой и неформальной задачей. Есть мнение, что на данном этапе можно существенно снизить требования к безопасности и упростить систему защиты, признав большинство угроз неактуальными. Это не так.

  Актуализация угроз, безусловно, относится к полномочиям оператора, но не может выполняться произвольно.

В ходе ее необходимо следовать методологии регуляторов, изложенной в нормативно-методических документах, и соблюдать установленные в них критерии оценки актуальности.

Правовые проблемы

Важной частью работы по приведению модели в соответствие с требованиями регуляторов является выявление и анализ законности оснований для обработки персональных данных, и, что особенно сложно, для передачи их 3-им лицам. Такими основаниями применительно к банкам являются:

  • случаи, прямо предусмотренные федеральными законами;
  • договор об оказании услуг физическому лицу;
  • выполнение обязанностей работодателя по отношению к собственным работникам.

Договоры с физлицами должны содержать их прямое согласие на все случаи обработки данных, выходящие за пределы собственно оказания банковских услуг.

Весьма сомнительными с юридической точки зрения выглядят положения договоров, предусматривающие передачу персональных данных в случаях, не предусмотренных законами, например: «Банк и Заемщик обязуются не разглашать каким-либо способом третьим лицам информацию, …, включая персональные данные Заемщика, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящим Договором, в том числе … иным лицам, в процессе осуществления и защиты Банком своих прав, обязанностей и законных интересов, когда предоставление персональных данных происходит в соответствии со сложившимся обычаем делового оборота» (выделено автором). Нет в Федеральном законе такого основания передачи, как обычаи делового оборота.

Система безопасности ИСПДн банка

На основе исходных данных, указанных в акте классификации ИСПДн и актуализированной модели угроз, определяются механизмы безопасности, которые должны быть реализованы в системе защиты, и конкретные требования к функциональности этих механизмов.

Рассмотрим этот тезис на примере.

Для абсолютного большинства ИСПДн необходимо выполнение мероприятий по защите персданных от несанкционированного доступа (НСД) и иных неправомерных действий, включающих:

  • Управление доступом;
  • Регистрацию и учет;
  • Обеспечение целостности;
  • Контроль отсутствия недекларированных возможностей;
  • Антивирусную защиту;
  • Обеспечение безопасного межсетевого взаимодействия ИСПДн;
  • Анализ защищенности;
  • Обнаружение вторжений.

Подсистему управления доступом рекомендуется реализовывать на базе программных средств блокирования НСД, сигнализации и регистрации (специальных, не входящих в ядро какой-либо ОС средств защиты самих ОС), электронных баз ПДн и прикладных программ, реализующих функции диагностики, регистрации, уничтожения, сигнализации, имитации.

В свою очередь, средства сигнализации должны обеспечивать предупреждения операторов при их обращении к защищаемым ПДн, а также предупреждения администратора  об обнаружении фактов

  • НСД к персональным данным;
  • Искажения программных средств защиты;
  • Выходе или выводе из строя аппаратных средств защиты;
  • Других фактах нарушения штатного режима функционирования ИСПДн.

Такой же анализ должен быть проделан и при определении способов нейтрализации остальных актуальных угроз, на основании которого определяются сертифицированные средства защиты информации с требуемой функциональностью.

Имеющихся в настоящее время сертифицированных средств защиты информации достаточно для реализации практически всех требований, изложенных в нормативно-методических документах ФСТЭК и ФСБ, вопрос лишь в знании их возможностей и правильном сочетании.

Сегодня созданы все необходимые условия для выполнения требований по обеспечению безопасности персональных данных, и в оставшееся до 1 января 2010 г. время во всех кредитно-финансовых учреждениях требуется построить подсистему защиты этой категории сведений ограниченного доступа.

Источник: http://www.iso27000.ru/chitalnyi-zai/zaschita-personalnyh-dannyh/zaschita-personalnyh-dannyh-v-kreditno-finansovyh-uchrezhdeniyah

Защита персональных данных в кредитно-финансовых организациях

Сертифицированные решения StoneGate для защиты персональных данных в финансовых организациях

В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для многих российских банков. Это обусловлено тем, что 26 января 2007 г. вступил в силу Федеральный закон «О персональных данных», в котором сформулированы требования по защите персональных данных.

Необходимо отметить, что требования данного Закона являются обязательными как для коммерческих, так и для государственных организаций. При этом согласно ст. 25 Закона информационные системы должны быть приведены в соответствие с его требованиями не позднее 1 января 2010. г.

 В статье генерального директора компании «ДиалогНаука», Виктора Сердюка рассмотрены основные подходы к приведению информационных систем в соответствие с требованиями по защите персональных данных.

  • проведение обследования с целью определения степени соответствия компании требованиям Федерального закона «О персональных данных»;
  • классификация информационных систем, обрабатывающих персональные данные;
  • разработка модели угроз безопасности персональных данных и модели нарушителя;
  • проектирование системы защиты в составе информационной системы, обрабатывающей персональные данные;
  • разработка пакета организационно-распорядительной документации;
  • внедрение системы защиты персональных данных;
  • аттестация информационной системы, обрабатывающей персональные данные. Процедура обследования информационных систем, обрабатывающих персональные данные (ИСПДн), включает следующие работы:
  • анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты персональных данных (ПДн);
  • определение используемых средств защиты ПДн и оценка их соответствия требованиям нормативных документов РФ;
  • определение перечня ПДн, подлежащих защите;
  • определение перечня ИСПДн, обрабатывающих ПДн;
  • определение степени участия персонала в обработке ПДн, характера взаимодействия персонала между собой.

    По результатам обследования формируется отчет, в котором содержится описание текущего состояния защиты ПДн, а также рекомендации по устранению выявленных недостатков и нарушений.

    На втором этапе работ на основе информации, собранной на этапе обследования, проводится классификация ИСПДн.

    Классификация проводится в соответствии с порядком ее проведения, описанным в приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20. Результаты классификации ИСПДн оформляются соответствующим актом, подписываемым руководителем предприятия.

    Информационные системы, обрабатывающие персональные данные, классифицируются по уровням защищенности в зависимости от важности обрабатываемых ПДн, которая зависит от вида и степени ущерба субъекту ПДн, возникающего вследствие реализации угроз безопасности.

    Информационные системы, обрабатывающие персональные данные, могут относиться к классу типовых или специальных. К типовым ИСПДн относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных.

    Специальные ИСПДн — это системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

    Для типовых ИСПДн определено четыре возможных класса: К1, К2, К3 и К4. В зависимости от класса типовой ИСПДн определяются соответствующие требования по защите персональных данных.

    На следующем этапе разрабатывается модель угроз безопасности ПДн в ИСПДн организации.

    Модель угроз безопасности определяется на основе перечня угроз безопасности персональных данных при их обработке в ИСПДн, который содержится в «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн», определенной ФСТЭК России.

    При необходимости применения средств криптографической защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Именно Модель угроз и Модель нарушителя являются базовыми документами для дальнейшего проектирования системы защиты персональных данных (СЗПДн).

    В рамках проектирования СЗПДн выполняются следующие работы: разработка технического задания, макетирование и стендовые испытания средств защиты информации, а также создание технического проекта.

      Техническое задание, как правило, содержит следующие разделы:
  • обоснование разработки СЗПДн;
  • исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах;
  • класс ИСПДн;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • мероприятия и требования к СЗПДн, которые определяются в соответствии с классом и типом ИСПДн на основе методических документов ФСТЭК России;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

    Далее с учетом исходных данных, полученных на этапе обследования ИСПДн, а также требований, определенных Техническим заданием, проводится анализ применимости, совместимости и внедряемости средств защиты информации в ИСПДн организации. В результате определяется состав средств защиты, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн.

    На основе технического задания и результатов стендовых испытаний средств защиты информации осуществляется разработка технического проекта, содержащего детальное описание конкретных программно-технических решений, которые будут использоваться для создания СЗПДн.

    В процессе проектирования также осуществляется разработка пакета эксплуатационной и организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности ПДн в организации.

    На завершающем этапе проводится разработка проектов документов, необходимых для выполнения аттестационных испытаний. В рамках данного этапа также осуществляется проведение самих испытаний и оформление Аттестата соответствия. Необходимо отметить, что аттестация требуется только для систем класса К1 и К2.

    Работы по созданию системы защиты персональных данных могут выполняться силами кредитно-финансовой организации либо при помощи компаний, специализирующихся на оказании такого рода услуг. В соответствии с положениями Федерального закона от 8 августа 2001 г.

    № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства РФ от 16 августа 2006 г.

    № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» организации для проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн классов К1 и К2 и в распределенных информационных системах класса К3 должны получить лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

    Заключение

    Опыт ЗАО «ДиалогНаука» показывает, что одним из первых шагов к созданию системы безопасности, представляющей собой комплекс организационных, программно-технических и организационно-методических мер, должно являться проведение оценки текущего уровня соответствия требованиям Федерального закона «О персональных данных» и разработки плана работ по поэтапному внедрению необходимых мер защиты. С учетом того, что информационные системы банков должны быть приведены в соответствие с требованиями Федерального закона к 1 января 2010 г., работы в данном направлении необходимо начать уже сейчас.

    Услуги ЗАО «ДиалогНаука» по защите персональных данных

    ЗАО «ДиалогНаука» (www.dialognauka.ru) является лицензиатом ФСТЭК и ФСБ России и оказывает полный спектр услуг по защите персональных данных, начиная с обследования и заканчивая аттестацией информационной системы. По всем интересующим вопросам можно обращаться по тел.: +7 (495) 980-67-76, e-mail: pdn@dialognauka.ru.

    © “Финанс Медиа”

  • Источник: https://banktech.ru/articles/zaschita-personal-nyh-dannyh-v-kreditno-finansovyh-organizaciyah.html

    Защита персональных данных при покупке сертифицированной ФСТЭК программы

    Сертифицированные решения StoneGate для защиты персональных данных в финансовых организациях

    В данном материале разберем теоретическую сторону проблемы. В дальнейшем рассмотрим практические шаги по выполнению требований по защите ПДн без использования сертифицированной программы.

    Разберемся с понятиями

    Обработку и защиту персональных данных в информационных системах регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

    Конкретные меры защиты описывает Приказ ФСТЭК РФ от 18.02.

    2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

    Некоторые пользователи ошибочно полагают, что если программа имеет сертификат ФСТЭК, то она позволит решить все технические требования по защите персональных данных. Однако использование сертифицированной программы обработки персональных данных реализует лишь часть из множества требований, описанных в 21-м Приказе ФСТЭК.

    Проблема во многом связана с тем, что пользователи объединяют понятия «программа» и «информационная система», из-за чего складывается мнение, что, защитив «программу», можно выполнить требования Закона № 152-ФЗ.

    Предлагаем разобраться с понятиями, к которым закон предъявляет требования. А также попытаемся найти компромисс между требованиями закона и реалиями жизни. Ведь иногда буквальное выполнение закона может парализовать реальную деятельность организации.

    Чего же хочет закон?

    Для того чтобы выявить различие понятий «информационная система» и «программа», обратимся к нормативной документации.

    Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

    Программа — данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма («Обеспечение систем обработки информации программное. Термины и определения. ГОСТ 19781-90»).

    Таким образом, информационная система включает в себя базы данных, компьютеры, на которых располагаются эти базы данных, а также программы, обрабатывающие эту информацию. Программа — лишь одна из составляющих всей информационной системы.

    Федеральный закон № 152-ФЗ предъявляет требования в первую очередь к защите информационной системы, обрабатывающей персональные данные, а не конкретно к программе.

    Обеспечьте защиту персональных данных в вашей компании

    Узнать больше

    Что такое сертифицированная программа и какие требования по защите ПДн она выполняет?

    Сертифицированная по требованиям безопасности программа — это программа, прошедшая процедуру проверки соответствия требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России или ФСБ России, что подтверждается сертификатом соответствия.

    Приказ ФСТЭК № 21 в зависимости от необходимого уровня защищенности персональных данных предъявляет различные требования к сертифицированным программам.

    Так, например, для обеспечения первого уровня защищенности персональных данных применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по четвертому уровню контроля отсутствия недекларированных возможностей.

    А для обеспечения третьего уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены исключительно угрозы третьего типа, требований к уровню контроля отсутствия недекларированных возможностей не предъявляется.

    Немаловажным является тот факт, что, согласно 21-му Приказу ФСТЭК России, использование сертифицированных программ является лишь одной из мер по обеспечению безопасности персональных данных и реализуется лишь в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

    На практике сертифицированные программы имеют ряд ограничений:

    • сертифицируются отдельные экземпляры или ограниченная партия программного обеспечения;
    • сертификат выдается только на конкретную версию/платформу программного обеспечения;
    • при переходе на новую версию программного обеспечения сертификат становится недействительным;
    • необходимо устанавливать ТОЛЬКО сертифицированные обновления, полученные из определенного источника;
    • сертификат действует не более трех лет.

    Это означает, что каждое обновление, связанное с улучшением интерфейса или с внесением изменений со стороны законодательства, будет требовать сертификации. Следовательно, установить критически важное обновление будет невозможно, пока новая версия не получит всех разрешительных документов. В ситуации, когда ПФР выпускает новые формы в период текущей отчетности, это может быть весьма неудобно. Кроме того, сертифицированное решение всегда будет стоить дороже несертифицированного, так как в его стоимость включены затраты на сертификацию.

    Итак, использование сертифицированных программных продуктов закрывает лишь часть технических требований по защите персональных данных.

    Для выполнения всех необходимых организационных и технических мер по обеспечению безопасности персональных данных потребуется установка дополнительных средств защиты информации, разработка организационно-распорядительной, проектной и эксплуатационной документации.

    Как выполнить требования и не парализовать работу предприятия

    Оптимальным решением может быть выбор качественного лицензионного программного обеспечения, в котором учтены основные требования к организации обработки персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», в сочетании с применением необходимых организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе.

    Алгоритм действий по приведению информационной системы в соответствие ФЗ № 152

    Для приведения информационных систем в соответствие с требованиями законодательства и нормативных документов регуляторов необходимо:

    1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
    3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных.
    4. Определение требуемого уровня защищенности персональных данных обрабатываемых в информационной системе персональных данных.
    5. Разработка технического проекта на создание системы защиты персональных данных.
    6. Приобретение средств защиты персональных данных.
    7. Внедрение системы защиты персональных данных.
    8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

    Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что реализованные в рамках системы защиты персональных данных меры по обеспечению безопасности персональных данных достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

    Источник: https://kontur.ru/articles/1641

    Поделиться:
    Нет комментариев

      Добавить комментарий

      Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.