Określanie poziomu bezpieczeństwa systemu informatycznego. Określenie początkowego poziomu bezpieczeństwa urządzenia elektronicznego

Zacznijmy więc od początku. Spróbujmy zrozumieć, skąd „rosną” nogi?

26 stycznia 2007 r. Weszła w życie ustawa federalna nr 152-FZ „O danych osobowych”, która określiła potrzebę ochrony danych osobowych podmiotów (zwaną dalej PD) w celu ochrony praw i wolności człowieka i obywatele. Za niezastosowanie się do wymogów niniejszego prawa, administracyjnego i odpowiedzialność karna zarówno dla osób prawnych, jak i osób fizycznych (pracowników i szefów organizacji), a działalność samej organizacji może zostać zawieszona na wniosek Roskomnadzoru. Tym samym operatorzy systemów informatycznych danych osobowych (zwanych dalej PDIS) mają obowiązek chronić przekazane im PD przed zagrożeniami, których realizacja może spowodować szkodę dla właścicieli tych danych.

Pamiętajmy, co to jest dane osobowe. Zgodnie z prawem definicja brzmi następująco: „Dane osobowe – wszelkie informacje dotyczące osoby fizycznej zidentyfikowanej lub ustalonej na podstawie tych informacji (osoby, której dane dotyczą), w tym jej nazwisko, imię, patronimik, rok, miesiąc , data i miejsce urodzenia, adres, rodzina, sytuacja społeczna, stan majątkowy, wykształcenie, zawód, dochód, inne informacje.” To znaczy, jeśli odejdziemy od czegoś przeciwnego, to tylko to zbiór danych pozwalający na identyfikację konkretnego podmiotu ma charakter osobowy.

1.2. EDMS i PD: czy istnieje związek?

Czy EDMS wiąże się z problemem zapewnienia Ochrona WNZ?

Odpowiedź brzmi: tak. Jeżeli w EDMS znajdują się spisy pracowników i kontrahentów przedsiębiorstwa, a dane te są zapisane w systemie w sposób umożliwiający identyfikację konkretnego podmiotu, oznacza to, że zawiera PD. Ponadto EDMS może również przechowywać i przetwarzać różne kwestionariusze, cechy, akta osobowe, historie medyczne itp. – i te dokumenty również dotyczą pewna kategoria PDn. Sytuacja „pogarsza się”, jeśli firma nastawiona jest na pracę z pojedynczymi osobami, a EDMS włącza się w zakres ich usług. Dotyczy to organów publicznych, w których praca bezpośrednia z populacją; medyczne i instytucje edukacyjne; firmy telekomunikacyjne; organizacje kredytowe itp. – operatorzy PD.

Należy pamiętać, że prawo nie wskazuje wprost, z jakich konkretnych środków i metod zapewnienia bezpieczeństwa danych osobowych musi skorzystać operator. Do 1 lipca 2011 roku kierowaliśmy się rozporządzeniami rządu FR o numerach 781, 512 i 687, tzw. „Porządkiem Trzech” oraz Zarządzeniem FSTEC nr 58. Następnie 261-FZ i „Stara” część 3 Sztuka. 19 „rozprzestrzeniły się” na kilka części nowego prawa, zmieniając się nie do poznania.

Część 3 sztuka. 19: „ Rząd Federacja Rosyjska, biorąc pod uwagę możliwa krzywda przedmiot danych osobowych, objętość i treść przetwarzanych danych osobowych, rodzaj czynności, w trakcie której przetwarzane są dane osobowe, istotność zagrożeń dla bezpieczeństwa danych osobowych, ustala: ● poziomy bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, w zależności od zagrożeń bezpieczeństwa tych danych; ● wymagania dotyczące ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, których wdrożenie zapewnia ustalony poziom bezpieczeństwa danych osobowych; ● wymagania dot media materialne biometryczne dane osobowe oraz technologie przechowywania takich danych poza systemami informacji o danych osobowych.”

Po raz pierwszy zetknęliśmy się z terminem „poziom bezpieczeństwa PD”. Co to jest i z czym się je spożywa?

1.3. Określanie poziomu bezpieczeństwa WNZ

Poziom ochrony danych osobowych to kompleksowy wskaźnik charakteryzujący spełnienie wymagań neutralizujących zagrożenia dla bezpieczeństwa systemów informatycznych danych osobowych. Aby określić poziom bezpieczeństwa, konieczne jest ustalenie kategorii przetwarzanych danych osobowych podmiotów (osób fizycznych), rodzaju przetwarzania ze względu na formę relacji podmiotów z organizacją, liczby podmiotów, a także rodzaj zagrożeń istotnych dla systemu informacyjnego.

● 1 grupa - szczególne kategorie danych osobowych, które obejmują informacje o pochodzeniu narodowym i rasowym podmiotu, przekonaniach religijnych, filozoficznych lub politycznych, informacje o stanie zdrowia i życie intymne temat;

● Grupa 2 - biometryczne dane osobowe, czyli dane charakteryzujące cechy biologiczne lub fizjologiczne osoby, takie jak zdjęcie lub odciski palców;

● Grupa 3 - publiczny PO czyli informacja o przedmiocie, do której pełny i nieograniczony dostęp zapewnia sam podmiot;

● Grupa 4 - inne kategorie danych osobowych, nie reprezentowane w trzech poprzednich grupach.

W zależności od formy relacji między Twoją organizacją a podmiotami przetwarzanie dzieli się na 2 typy:

● przetwarzanie danych osobowych pracowników (podmiotów, z którymi Twoja organizacja ma stosunki pracy);

● przetwarzanie danych osobowych podmiotów niebędących pracownikami Twojej organizacji.

Ze względu na liczbę podmiotów, których dane osobowe są przetwarzane, ustawa definiuje tylko 2 kategorie:

● mniej niż 100 000 podmiotów;

● ponad 100 000 tematów;

I wreszcie typy aktualne zagrożenia:

● Zagrożenia typu 1 są związane z obecnością niezadeklarowanych (nieudokumentowanych) możliwości w oprogramowaniu systemowym stosowanym w ISPD;

● Zagrożenia typu 2 są związane z obecnością niezadeklarowanych możliwości w oprogramowaniu użytkowym stosowanym w ISPD;

● Zagrożenia typu 3 nie są powiązane z obecnością niezadeklarowanych możliwości w oprogramowaniu używanym w ISPD.

Nie ma przepisów określających, w jaki sposób określa się rodzaj aktualnych zagrożeń, zatem przedsiębiorstwo może albo samodzielnie przeprowadzić prace nad określeniem poziomu bezpieczeństwa (z wyjątkiem certyfikacji, która wymaga specjalnej licencji), albo pozyskać konsultantów zewnętrznych.

Po ustaleniu danych wyjściowych ustala się poziom bezpieczeństwa PD dla konkretnego ISPD zgodnie z poniższą tabelą:

Tabela 1. Określenie poziomu bezpieczeństwa PD

1.4. Certyfikowany produkt: potrzebny czy nie.

Podsumujmy wyniki pierwszej części naszego badania.

Jeśli PD są przechowywane w EDMS, wymagana jest certyfikacja tego systemu. Z reguły twórca oprogramowania sam jest zainteresowany certyfikacją produktu, a klient może tylko zakupu certyfikowanej kopii produktu. Certyfikat dla konkretnej wersji lub generacji wydawany jest przez FSTEC z Rosji na ściśle określony okres. Faktycznie ten certyfikat to potwierdza systemu EDMS spełnia wymagania wytycznych „Ochrona przed nieuprawnionym dostępem do informacji”. Swoją drogą, aby Klient mógł certyfikować EDMS, oprócz zakupu certyfikowanej kopii produktu, może potrzebować także certyfikatu na wbudowane w niego narzędzia bezpieczeństwa informacji. Co dokładnie i na jakim poziomie zależy od wymaganego poziomu bezpieczeństwa ISPD, do którego zaklasyfikowany jest EDMS.

Zanotuję jedno istotna wada w tym wszystkim: procedura certyfikacji produktu jest procesem długotrwałym. Te. Zanim jedna wersja systemu zostanie certyfikowana, będzie ona już przestarzała. Chociaż ten problem można jeszcze rozwiązać: programista EDMS może certyfikować całą generację na raz. Będzie to oznaczać, że pierwsza wersja całej generacji systemu będzie faktycznie certyfikowana przez FSTEC, jednak jeśli klient będzie wymagał dostarczenia nowszej wersji, to po zainstalowaniu i skonfigurowaniu wystarczy jedynie przeprowadzenie dodatkowej procedury inspekcyjnej i kontrolnej .

Kontrola inspekcji przeprowadzono w celu ustalenia, czy ISPD w dalszym ciągu spełnia wymagania, na podstawie których uzyskał certyfikat. Co do zasady, jeśli ustawienia nie miały wpływu na mechanizm różnicowania praw dostępu, szyfrowania, logowania itp. w porównaniu z wcześniej certyfikowaną wersją produktu, to certyfikacja systemu Klienta odbędzie się bez żadnych problemów i w najkrótszym czasie możliwy czas.

2. Rodzaje pracy. Lista ISPDn

Przypomnę, że w pierwszej części naszego opracowania zajmowaliśmy się certyfikacją systemu EDMS. W rezultacie dochodzimy do bardzo ważnego dla nas wniosku: sam EDMS, jako serializowane oprogramowanie, nie jest ISPD omawianym w ustawie federalnej 152, do której odnosi się większość Klientów. W rzeczywistości EDS jest tylko częścią kompleksu środki techniczne, a przez ISPD rozumiemy cały zautomatyzowany system przedsiębiorstwa, w tym uwzględniający inne systemy automatyczne. Dlatego też sam zakup certyfikowanej wersji produktu EDMS nie będzie dla klienta wystarczający. Dodatkowo potrzebny będzie szereg prac, które rozważymy w drugiej części naszego opracowania.

2.1. Lista wymagań dla ISPD

Przede wszystkim zastanówmy się, jakie wymagania należy spełnić?

Lista wymagań dla stosowanych środków technicznych i oprogramowania EDMS dla przedsiębiorstwa, których spełnienie jest niezbędne do neutralizacji zagrożeń Bezpieczeństwo PD, ustala się w zależności od poziomu bezpieczeństwa PD. Listę wymagań można przedstawić w poniższej tabeli:

Tabela 2. Lista wymagań dla ISPD

Wymagania			UZ 3
Regularne monitorowanie zgodności z wymaganiami Kontrolę zgodności z wymaganiami organizuje i przeprowadza operator samodzielnie i (lub) przy udziale osób prawnych i indywidualnych przedsiębiorców na podstawie umów, którzy posiadają zezwolenie na prowadzenie działalności na zabezpieczenie techniczne informacje poufne. Określona kontrola przeprowadzane nie rzadziej niż raz na 3 lata w terminie określonym przez operatora lub osobę przez niego upoważnioną.
Bezpieczeństwo fizyczne i kontrola dostępu Organizacja reżimu bezpieczeństwa obiektu, w którym znajduje się ISPD, zapobiegającego możliwości niekontrolowanego wejścia lub przebywania na tym terenie przez osoby nie posiadające do niego uprawnień dostępu
Bezpieczeństwo mediów Zapewnienie bezpieczeństwa nośników danych osobowych
Lista osób przyjętych Zatwierdzenie przez kierownika dokumentu określającego listę osób, których dostęp do danych osobowych przetwarzanych w systemie informatycznym jest niezbędny do wypełnienia ich obowiązków obowiązki zawodowe
Certyfikowane systemy bezpieczeństwa informacji Stosowanie systemów bezpieczeństwa informacji, które przeszły procedurę oceny zgodności z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie bezpieczeństwa informacji, w przypadkach, gdy zastosowanie takich narzędzi jest niezbędne do neutralizacji bieżących zagrożeń
Wyznaczenie osoby odpowiedzialnej za bezpieczeństwo danych osobowych Powołanie urzędnika odpowiedzialnego za zapewnienie bezpieczeństwa danych osobowych w ISPD
Kontrola dostępu do elektronicznego dziennika dostępu Zapewnienie dostępu do zawartości elektronicznego dziennika komunikatów wyłącznie urzędnikom, którzy potrzebują informacji zawartych w określonym dzienniku do wykonywania swoich obowiązków służbowych
Automatyczna rejestracja w elektronicznym dzienniku dostępu Automatyczna rejestracja w magazyn elektroniczny bezpieczeństwo zmiany uprawnień pracownika operatora w zakresie dostępu do danych osobowych zawartych w ISPD
Tworzenie jednostka strukturalna Utworzenie/przypisanie do jednego z pionów strukturalnych, odpowiedzialność za zapewnienie bezpieczeństwa danych osobowych w ISPD.

Jak widać, nawet przy minimalnym poziomie bezpieczeństwa zalecane jest korzystanie z certyfikowanego produktu. Ale czy zawsze Klient wymaga certyfikatu dla produktu, jeśli planuje się w nim przechowywać dane osobowe? Nie bardzo. To, czy wersja certyfikowana będzie potrzebna, czy nie, zależy od architektury zautomatyzowanego systemu po stronie Klienta i jego potrzeb.

Jeśli Klient założy, że wszystkie dane osobowe i informacje poufne będą znajdować się tylko w EDMS, to oczywiście wymagana będzie instalacja certyfikowanego produktu. A jeśli Klient planuje zbudować cały obwód, w którym zintegrowany będzie również EDMS, to certyfikacja nie jest konieczna dla EDMS, ale dla samych środków ochronnych, które będą chronić dedykowany obwód.

Zatem ponownie wracamy do naszego wniosku, że EDMS jest tylko częścią kompleksu środków technicznych, a ISPD oznacza cały zautomatyzowany system przedsiębiorstwa. Z reguły certyfikacja całego obwodu to ogromny projekt. Klient musi jeszcze przeprowadzić dodatkowe przygotowania.

2.2. projekty ISPDn. Rodzaje pracy

Rodzaje pracy na ISPD można wyróżnić w następujący sposób:

Tabela 3. Możliwe typy działa na ISPD

Wykonać podobne prace zazwyczaj zaangażowane są w to wyspecjalizowane organizacje niezbędne licencje za te prace.

Wszelkie prace nad tę listę mogą być wymagane przez Klienta w ramach projektu wdrożenie EDMS i bądź jego część obowiązkowa. Chociaż głównie w specyfikacje techniczne klientów, napotyka się tylko pierwszy punkt, ponieważ z reguły klient już to zrobił certyfikowany ISPDn, a przy integracji nowego produktu z infrastrukturą informatyczną wymagana jest ponowna certyfikacja przez ISPD.

Etapy projektowania SPD można podzielić na następujące 5 etapów, które rozważymy bardziej szczegółowo:

Tabela 4. Etapy projektowania SZPDn

Etap nr. Imię sceniczne	Opis sceny
1. Rozpoczęcie projektu i dostarczenie przez klienta podstawowych informacji o obiekcie badań	Na tym etapie odbywa się inicjujące spotkanie zespołów projektowych, ustalany jest i uzgadniany jest schemat komunikacji specjalistów w trakcie projektu, a do klienta przesyłane są formularze ankiet do wypełnienia.
2. Analiza podstawowych informacji i planowanie pracy u Klienta	Na tym etapie specjaliści Kontrahenta analizują otrzymane formularze ankiet i opracowują wstępny harmonogram rozmów kwalifikacyjnych ze specjalistami Klienta. Na tym etapie ważne jest, aby zapoznać się z elementami składowymi procesów przetwarzania danych osobowych (obiekty fizyczne, działy, systemy informacyjne, dane osobowe, bezpieczeństwo itp.) i na podstawie otrzymanych informacji zaplanować dalsze działania pracować nad badaniem procesów przetwarzania danych osobowych bezpośrednio w placówkach. Teraz wszystko jest gotowe do zbadania procesów przetwarzania danych osobowych bezpośrednio w placówkach.
3. Badanie procesów przetwarzania PD w zakładzie Klienta	Zgodnie ze wstępnym harmonogramem rozmów kwalifikacyjnych ze specjalistami z firmy Klienta, na tym etapie przeprowadzane są: ● przeprowadzanie wywiadów z pracownikami jednostek biznesowych zajmujących się przetwarzaniem danych osobowych; ● przeprowadzanie wywiadów z pracownikami działów firmy zajmujących się monitorowaniem i udostępnianiem infrastruktury IT oraz bezpieczeństwo informacji; ● analiza dokumentacji zidentyfikowanej w trakcie wywiadów. Na podstawie wyników każdego wywiadu określany jest status kluczowe elementy Procesy przetwarzania PD w czasie pracy na obiektach: ● PD przetwarzane w ramach procesu; ● pracownicy zaangażowani w proces; ● papierowe nośniki PD wykorzystywane w procesie; ● miejsca przechowywania papieru PD wykorzystywanego w procesie; ● zautomatyzowane stacje robocze i oprogramowanie wykorzystywane do przetwarzania danych osobowych w ramach procesu; ● zewnętrzne media elektroniczne PD stosowane w procesie; ● organizacje zewnętrzne I osoby z kim w ramach procesu następuje wymiana PD; ● sprzęt telefoniczny i faksowy wykorzystywany w procesie; ● dodatkowe informacje, wpływające na stwierdzenie zgodności z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie przetwarzania i ochrony danych osobowych.
4. Analiza zebranych informacji i opracowanie dokumentacji sprawozdawczej	Na tym etapie Wykonawca opracowuje dokumenty sprawozdawcze. Konieczne jest udokumentowanie wyników przeprowadzonych działań w celu zbadania procesów przetwarzania danych osobowych, w tym wniosek dotyczący stopnia zgodności z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie danych osobowych, a także zalecenia w sprawie składu środków niezbędnych do organizacji prawidłowego przetwarzania i ochrony danych osobowych. Raport końcowy „Wyniki badania procesów przetwarzania PD powinien zawierać następujące załączniki: ● wykaz danych osobowych przetwarzanych w siedzibie firmy Klienta; ● lista działów i osób upoważnionych do pracy z danymi osobowymi; ● modele zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w ISPD. Warto zaznaczyć, że model zagrożeń do rozwoju może być wymagany tylko dla EDMS, jeśli klient wymaga jedynie ponownej certyfikacji ISPD w związku z wprowadzeniem naszego EDMS; ● akty klasyfikacyjne ISPD;
● protokoły prowadzenia wywiadów podczas badania procesów przetwarzania PD.	5. Opracowanie Projektu Technicznego SZPDn Na tym etapie opracowywany jest Projekt Techniczny SZPDn, który jest uzgadniany bezpośrednio z Klientem wraz ze szczegółowym opisem. Efektem pracy powinno być:

Klient może zamówić dowolny rodzaj prac indywidualnie lub w połączeniu. Zaznaczam, że w przypadku różnych projektów samo zaprojektowanie systemu ochrony może zająć od kilku tygodni do kilku miesięcy. Dlatego bowiem realizacja projektów ochrony danych wymaga nie tylko obecności niezbędne certyfikaty, ale także odpowiednie doświadczenie, nadal zaleca się wydzielenie tych prac w odrębny projekt i zaangażowanie w nie zewnętrznych wyspecjalizowanych organizacji.

(4,88 - ocenione przez 8 osób)

Wybór na korzyść określonych środków ochrony przy projektowaniu systemów informatycznych przetwarzających informacje poufne lub dane osobowe – kluczowa procedura, od którego zależy nie tylko przyszły poziom bezpieczeństwa i niezawodności systemu, ale także jego legalność dalsza eksploatacja tego systemu.

Zgodnie z ustawodawstwem Federacji Rosyjskiej, w systemach informatycznych wielu organizacji stosuje się certyfikaty produkty oprogramowania jest obowiązkowe. Do takich organizacji należą:

Organizacje rządowe;
organizacje pozarządowe pracujące z informacjami zastrzeżonymi agencje rządowe;
organizacje pracujące z danymi osobowymi.

Wymóg ten określa szereg przepisów aktów prawnych i wykonawczych z zakresu ochrony informacji. Zwłaszcza:

Zarządzeniem nr 17 FSTEC Rosji z dnia 11 lutego 2013 r. „Wymagania dotyczące ochrony informacji niestanowiących tajemnicy państwowej i zawartych w państwowych systemach informacyjnych” to główny dokument regulacyjny regulujący zagadnienia związane z ochroną informacji ograniczony dostęp nie zawiera informacji stanowiących tajemnicę państwową, w tym danych osobowych znajdujących się w państwowych systemach informatycznych,

„W celu zapewnienia ochrony informacji zawartych w systemie informatycznym stosuje się narzędzia bezpieczeństwa informacji, które przeszły ocenę zgodności w formularzu obowiązkowa certyfikacja za zgodność z wymogami bezpieczeństwa informacji zgodnie z art. 5 ustawy federalnej z dnia 27 grudnia 2002 r. N 184-FZ „W sprawie przepisów technicznych”… ”

Ustawa federalna Federacji Rosyjskiej z dnia 27 lipca 2006 r. N 152-FZ „O danych osobowych”

„Zapewnienie bezpieczeństwa danych osobowych jest realizowane, w szczególności: …
… 3) korzystanie z przekazanych w przepisany sposób procedura oceny zgodności środków bezpieczeństwa informacji.”

Zarządzenie FSTEC Rosji z dnia 18 lutego 2013 r. nr 21 „W sprawie zatwierdzenia składu i treści organizacji i środki techniczne w celu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych”

„Wdrażane są działania zapewniające bezpieczeństwo danych osobowych m.in. poprzez stosowanie w systemie informatycznym narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności zgodnie z ustaloną procedurą, w przypadkach, gdy zastosowanie takich narzędzi jest konieczne zneutralizować aktualne zagrożenia dla bezpieczeństwa danych osobowych.”

Ustawa Federacji Rosyjskiej nr 5485-I „O tajemnicy państwowej” z dnia 21 lipca 1993 r.

„Środki bezpieczeństwa informacji muszą posiadać certyfikat potwierdzający spełnianie przez nie wymagań dotyczących ochrony informacji o odpowiednim stopniu tajności.”

Należy zauważyć, że użycie certyfikowane produkty ochrona sama w sobie nie jest warunek wystarczający spełniające wymagania ww. dokumentów dla systemu bezpieczeństwa GIS (AS) lub ISPD. W rzeczywistości jest to cały kompleks środków organizacyjnych i technicznych mających na celu doprowadzenie systemów informatycznych do wymagań i wykracza daleko poza zakres tego artykułu.

Ustawa federalna nr 152 „O danych osobowych” i rozporządzenie nr 21 FSTEC nie mają jednoznacznych wymagań dotyczących dostępności certyfikatów zgodności uzyskanych w obowiązkowym systemie certyfikacji (FSTEC Rosji) dla systemów bezpieczeństwa informacji stosowanych do ochrony ISPD . W dokumentach zastosowano bardziej liberalny język zastosowanie informacji o bezpieczeństwie informacji z przeszłości zgodnie z ustaloną procedurą procedura oceny zgodności. Oznacza to, że aby chronić ISPD w organizacje pozarządowe urządzenia zabezpieczające informacje, które zostały certyfikowane w system dobrowolny certyfikat lub posiada deklarację zgodności. Procedury te dzisiaj w zakresie bezpieczeństwa informacji nie są w żaden sposób dokumentowane i nadal mają charakter deklaratywny. Ponadto można założyć, że certyfikacja w systemie GOST R lub deklaracja raczej nie będzie znacząco prostsza lub tańsza. Procedury te nie wykluczają zatem przeprowadzenia całego zakresu testów, począwszy od monitorowania kompletności dokumentacji oprogramowania, a skończywszy na sprawdzeniu realizacji zadeklarowanych funkcji bezpieczeństwa. Ponadto, przeprowadzając badania niezależnie, zgłaszający przyjmuje na siebie główną odpowiedzialność. Można zatem stwierdzić, że w najbliższej przyszłości jest mało prawdopodobne, aby niecertyfikowane systemy ochrony informacji znalazły szerokie zastosowanie w rządowych systemach informacyjnych czy ISPD. Ale nawet jeśli korzystanie z certyfikowanych systemów bezpieczeństwa informacji nie jest obowiązkowe, wybór ich jest lepszy, ponieważ obecność certyfikatu jest ważny czynnik zapewnienie zaufania do zakupionego sprzętu ochronnego, gwarancja jego jakości i bezpieczeństwa, a także możliwość zaoszczędzenia pieniędzy, ponieważ nr dodatkowe potwierdzenia ich legalność.

W większości przypadków dobór narzędzi bezpieczeństwa informacji odbywa się w ramach kilkudziesięciu certyfikowanych rozwiązań różnych marek. W rzeczywistości jednak certyfikowano setki narzędzi do ochrony oprogramowania i sprzętu bardzo zostały poświadczone w pojedynczym egzemplarzu lub w partii i nie ma możliwości ich nabycia. Na rynku nie brakuje jednak certyfikowanych systemów bezpieczeństwa informacji; można nabyć produkty, które zapewniają ochronę przed wszelkimi zagrożeniami i zapewniają wymagany poziom ochrony. Z pełna lista certyfikowane systemy ochrony informacji można znaleźć na oficjalnej stronie internetowej FSTEC Rosji w sekcji Państwowy Rejestr Certyfikowanych Narzędzi Bezpieczeństwa Informacji.

Często problemy z wyborem sprzętu ochronnego są związane aspekty techniczne lub wskaźniki bezpieczeństwa, ale zasadność stosowania zabezpieczeń informacji w systemach przetwarzających informacje poufne, dane osobowe lub tajemnicę państwową. Nawet jeśli system bezpieczeństwa informacji realizuje niezbędne funkcjonalności zabezpieczające i posiada certyfikat zgodności z wymogami bezpieczeństwa, nie oznacza to, że ten środek ma zastosowanie we wszystkich przypadkach GIS i ISPD.

Rozważmy cechy wyboru narzędzi bezpieczeństwa na przykładzie ISPD.

Selekcja informacji o bezpieczeństwie informacji dokonywana jest na etapie wdrażania środków ochrony danych związanych z bezpieczeństwem informacji, biorąc pod uwagę poziom bezpieczeństwa systemu oraz występowanie aktualnych zagrożeń (rodzajów zagrożeń) dla bezpieczeństwa danych osobowych. Ogólnie procedurę wyboru systemów bezpieczeństwa informacji można przedstawić w formie wykresu pokazanego na rysunku 1.

Ryż. 1 Procedura doboru systemów bezpieczeństwa informacji do budowy systemu ochrony danych osobowych

Określanie poziomu bezpieczeństwa ISPD

Rozporządzenie Rządu nr 1119 z dnia 1 listopada 2012 r. „Wymagania dotyczące ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych” ustanawia 4 poziomy bezpieczeństwa danych osobowych, które zależą od rodzaju systemu informatycznego, rodzaju bieżących zagrożeń i numer podmioty danych osobowych przetwarzane w systemie informatycznym (patrz tabela 1).

Tabela 1

Rodzaje ISPD	Poziomy bezpieczeństwa ISPDn
	Zagrożenia typu 1	Zagrożenia typu 2	Zagrożenia typu 3
ISPDn-S	1	2 1	3 2
ISPDn-B	1	typu ISPDn	3
ISPDn-O	2	3 2	4
ISPDn-I	1	3 2	4 3

Gdzie:
Rodzaje ISPD

ISPDn-S ISPD przetwarza szczególne kategorie danych osobowych związanych z rasą, narodowością, poglądami politycznymi, przekonaniami religijnymi i filozoficznymi, stanem zdrowia, życiem intymnym osób.
ISPDn-B ISPD przetwarza informacje biometryczne charakteryzujące cechy fizjologiczne i biologiczne osoby, na podstawie których można ustalić jej tożsamość i które służą operatorowi do ustalenia tożsamości podmiotu danych osobowych, a także informacje dotyczące szczególnych kategorii danych osobowych dane osobowe nie są przetwarzane.
ISPDn-O ISPD przetwarza publicznie dostępne PD.
ISPDn-I ISPD przetwarza inne kategorie PD

Ta sama uchwała ustanawia trzy rodzaje zagrożeń dla danych osobowych:

Zagrożenia typu 1(poziom systemu) są istotne dla systemu informacyjnego, jeżeli zagrożenia związane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w oprogramowaniu systemowym stosowanym w systemie informatycznym są dla niego istotne również.
Zagrożenia typu 2(poziom aplikacji) są istotne dla systemu informatycznego, jeżeli między innymi istotne są dla niego zagrożenia związane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w oprogramowaniu użytkowym stosowanym w systemie informatycznym.
Zagrożenia typu 3(poziom użytkownika) są istotne dla systemu informatycznego, jeżeli zagrożenia niezwiązane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w systemie i oprogramowaniu aplikacyjnym stosowanym w systemie informatycznym są dla niego istotne.

Określenia rodzaju zagrożeń bezpieczeństwa istotnych dla systemu informatycznego dokonuje operator PD, biorąc pod uwagę ocenę możliwej szkody, jaką może wyrządzić podmiot danych osobowych. Rodzaj zagrożenia będzie determinował nie tylko wymagany poziom bezpieczeństwa ISPD, ale także klasę systemów bezpieczeństwa informacji stosowanych do jego ochrony, a przede wszystkim obowiązkowe przejście kontroli bezpieczeństwa informacji pod kątem braku niezadeklarowanych zdolności (NDC). .

Przez co mamy na myśli, dodatkowe wymagania FSTEC Rosji w celu sprawdzenia oprogramowania i produktów sprzętowo-programowych realizujących funkcje bezpieczeństwa informacji pod kątem braku zamierzonych lub innych niezadeklarowanych funkcji. W praktyce jest to badanie kodu źródłowego programów w celu ustalenia braku „zakładek oprogramowania”, „koni trojańskich” i innych złośliwych kodów. Do niedawna wymagania te nakładane były wyłącznie na systemy bezpieczeństwa informacji stosowane w systemach ochrony zautomatyzowanych systemów przetwarzających tajemnicę państwową. Wraz z wydaniem dokumentów FSTEC dotyczących ochrony danych osobowych wymagania te mają zastosowanie również do systemów bezpieczeństwa informacji stosowanych w ISPD o 1 i 2 poziomie ochrony. Dokument zawierający wytyczne„Ochrona przed nieuprawnionym dostępem do informacji. Część 1. Oprogramowanie narzędzi bezpieczeństwa informacji. Klasyfikacja według poziomu kontroli nad brakiem niezadeklarowanych zdolności” (RD NDV) ustanawia cztery poziomy kontroli nad brakiem niezadeklarowanych zdolności. Każdy poziom charakteryzuje się pewnym minimalnym zestawem wymagań. W przypadku oprogramowania służącego do ochrony informacji objętych tajemnicą państwową należy zapewnić poziom kontroli co najmniej trzeci. Do ochrony danych osobowych i systemów informacji państwowej, które nie przetwarzają tajemnicy państwowej, wystarczy czwarty poziom kontroli.

W poprzednim Dokumenty FSTECściśle określono, że dla ISPDn pierwszej klasy (K1) przeszły dokumenty bezpieczeństwa informacji Kontrola NDV. W obecnych wymaganiach operator sam ma prawo określić rodzaj zagrożeń i na tej podstawie określić, czy istnieje zagrożenie NDV, czy nie.

Rozsądnie jest założyć, że pierwszy rodzaj zagrożeń może mieć znaczenie tylko w przypadku systemów bezpieczeństwa informacji, które w jakiś sposób interesują agencje wywiadowcze: dane osobowe o skali federalnej, dane najwyższych urzędników państwowych itp. Argument można wyciągnąć przy założeniu, że że twórcami prawie całego oprogramowania systemowego jest kilka znanych zachodnich korporacji, ceniących ich reputację. Niewykluczone jednak, że współpracują ze służbami wywiadowczymi państw, których są mieszkańcami. Trudno sobie wyobrazić motywację tych dostawców do dyskredytowania „projektowanych zakładek”, narażając swój biznes na ogromne ryzyko.

W przypadku zagrożeń drugiego typu sytuacja jest podobna, ale ma swoją specyfikę. Często jako oprogramowanie użytkowe wykorzystywane jest oprogramowanie „napisane w domu” lub wykonane na zamówienie. I tutaj, co dziwne, prawdopodobieństwo przypadkowej lub celowej „zakładki” może okazać się wyższe. Często nieudokumentowane funkcje są wprowadzane wyłącznie w „dobrych” intencjach, np. zdalny dostęp do komputera użytkownika w celu rozwiązania jego problemów.

Określenie środków zapewniających bezpieczeństwo PD

Po ustaleniu poziomu bezpieczeństwa i zagrożeń dla ISPD można przejść do tworzenia środków niezbędnych do jego ochrony. Do podstawowych środków Rozporządzenia nr 21 zalicza się:
identyfikacja i uwierzytelnianie podmiotów dostępu i obiektów dostępu;
kontrola dostępu podmiotów dostępu do obiektów dostępu;
ograniczenia środowiska oprogramowania;
ochrona komputerowych nośników danych, na których przechowywane i (lub) przetwarzane są dane osobowe (zwanych dalej komputerowymi nośnikami danych osobowych);
rejestrowanie zdarzeń związanych z bezpieczeństwem;
ochrona antywirusowa;
wykrywanie włamań (zapobieganie);
kontrola (analiza) bezpieczeństwa danych osobowych;
zapewnienie integralności systemu informatycznego i danych osobowych;
zapewnienie dostępności danych osobowych;
ochrona środowiska wirtualizacji;
ochrona środków technicznych;
ochrona systemu informatycznego, jego obiektów, systemów łączności i transmisji danych;
identyfikowanie incydentów (jednego zdarzenia lub grupy zdarzeń), które mogą spowodować awarię lub zakłócenie funkcjonowania systemu informatycznego i (lub) pojawienia się zagrożeń dla bezpieczeństwa danych osobowych (zwanych dalej incydentami) oraz reagowanie na nie ich;
zarządzanie konfiguracją systemu informatycznego i systemu ochrony danych osobowych.

Pełny zakres środków podano w załączniku nr 2 do zarządzenia FSTEC Rosji. Im wyższy poziom ochrony, tym szersza lista niezbędne środki. Jeśli w poprzednich dokumentach FSTEC skład takich środków dla odpowiedniej klasy ochrony był ściśle regulowany, teraz rozporządzenie pozwala operatorowi samodzielnie określić listę niezbędnych środków na podstawie istotności zastosowanych zagrożeń technologia informacyjna a nawet wykonalność ekonomiczna.
Uwzględniając cechy strukturalne i funkcjonalne systemu oraz istotne dla niego zagrożenia, przeprowadza się adaptację (analizę możliwości i wykonalności wdrożenia) podstawowy zestawśrodki Środki, które nie są istotne, są wyłączone z listy. Wyróżniać się środki organizacyjne, którego realizacja jest bezpośrednio związana z technologią informatyczną, ale nie jest związana z technicznymi aspektami systemu ochrony lub pozwala na wymianę środków technicznych.
Zaktualizowano lista podstawowaśrodki można rozszerzyć dodatkowe środki, a także środki zapewniające zgodność z wymogami ochrony danych osobowych ustanowionymi w innych przepisach akty prawne w szczególności wymagania dotyczące bezpieczeństwa kryptograficznego lub GIS.
Jeśli to niemożliwe realizacja techniczna W oparciu o wybrane indywidualnie działania lub wykonalność ekonomiczną można opracować działania kompensacyjne, mające na celu neutralizację pozostałych bieżących zagrożeń. W takim przypadku podczas opracowywania systemu ochrony danych osobowych należy przeprowadzić odpowiednie uzasadnienie.
Decydując się na aktualną listę środków technicznych do wdrożenia, możesz przystąpić do wyboru systemów ochrony informacji. Ten etap jest nie mniej złożone, gdyż nie ma jednego kompleksowego narzędzia zapewniającego wdrożenie środki ochronne określone w Zamówieniu. Z reguły do ​​budowy systemu ochrony ISPD wykorzystuje się od kilku do kilkunastu certyfikowanych systemów ochrony informacji.

Najłatwiej jest skontaktować się z firmą świadczącą usługi w zakresie bezpieczeństwa informacji, która zgodnie z Twoją listą wymaganych środków będzie w stanie dobrać niezbędne informacje dotyczące bezpieczeństwa informacji. Najprawdopodobniej będą oferować produkty zabezpieczające, z którymi firma współpracuje od dawna i na które ma maksymalne rabaty u dostawców. Można go wybrać i zakupić samodzielnie wchodząc do rejestru certyfikowanych urządzeń ochrony informacji, a następnie zamówić je u producenta lub jego partnera.
W Rejestr państwowy zawiera około 2500 rekordów, ale jak wspomniano powyżej, nie więcej niż sto jest dostępnych do kupienia różne typy SZI. Jednak wybór w tej ilości nie jest zadaniem trywialnym, a oto dlaczego.
Certyfikaty wydane przed 2013 rokiem zawierały zazwyczaj informację o klasie ISPD, w której mogą być stosowane dane dotyczące bezpieczeństwa informacji, co pozwalało na ich jednoznaczną identyfikację. W późniejszych świadectwach takie wpisy zniknęły. W wiadomość informacyjna FSTEC Rosji z dnia 15 lipca 2013 r. N 240/22/2637 stwierdza, że ​​możliwość stosowania odpowiedniej klasy bezpieczeństwa w GIS oraz zapewnienia ustalony poziom Bezpieczeństwo PD certyfikowanych środków bezpieczeństwa informacji wskazuje wnioskodawca (programista, producent) w dokumentacji eksploatacyjnej i projektowej tych środków (formularze i specyfikacje techniczne). Niestety, takie dokumenty nie są dostępne w zasobach publicznych; można je uzyskać bezpośrednio u producenta lub jego dealerów. Nie spiesz się z kontaktem z programistą; zaleca się samodzielne wykonanie kilku kolejnych etapów „filtrowania”.
Większość Rejestru stanowią certyfikowane systemy bezpieczeństwa informacji pojedyncze egzemplarze lub w ograniczonych ilościach w zależności od potrzeb konkretnego systemu. Dlatego warto brać pod uwagę wyłącznie sprzęt zapewniający bezpieczeństwo informacji certyfikowany w ramach systemu certyfikacji „seryjnej” lub „partyjnej”, którego liczba wynosi co najmniej 100 egzemplarzy.
W Rejestrze znajdują się urządzenia zabezpieczające informacje certyfikowane jeszcze w 1996 roku; jest oczywiste, że produkty te zostały już dawno wycofane z produkcji, a certyfikaty utrzymywane są jedynie w celu odnowienia certyfikatów zgodności dla systemów. Dlatego zaleca się ograniczenie poszukiwań do ostatnich 1-2 lat. Okres ważności certyfikatu wynosi 3 lata, z reguły producent (wnioskodawca) odnawia certyfikaty ponownie, z nielicznymi wyjątkami, dwukrotnie. Należy pamiętać, że jeśli producent tego nie zrobi, certyfikat trzeba będzie odnowić samodzielnie. Zatem im nowsza informacja o bezpieczeństwie informacji i najnowszy certyfikat, tym lepiej.
Wybór w następnym kroku będzie zależał od rodzaju aktualnych zagrożeń, jak wspomniano powyżej: w przypadku ISPD z zagrożeniami typu 1 i 2 wymagane są środki ochrony, które przeszły kontrolę NDV. Ponieważ na etapie wyboru systemu bezpieczeństwa informacji ustaliliśmy już poziom bezpieczeństwa, a co za tym idzie rodzaj zagrożeń, to czy NDV jest wymagane, czy nie, jest pytaniem retorycznym. Jeżeli występują zagrożenia pierwszego rodzaju, to system bezpieczeństwa informacji lub oprogramowanie systemowe, jeżeli ochrona opiera się na jego mechanizmach ochronnych, musi zostać poddane kontroli NDV. A dla drugiego typu – oprogramowanie aplikacyjne zajmujące się przetwarzaniem danych osobowych.
Obecnie w dokumentach regulacyjnych i standardach nie ma jasnych definicji współczesnego oprogramowania systemowego. Definicja GOST 19781-90 „Program systemowy to program zaprojektowany w celu utrzymania funkcjonalności systemu przetwarzania informacji lub zwiększenia efektywności jego wykorzystania w procesie wykonywania programów użytkowych” jest bardzo formalna i nie zapewnia jasności. Więcej precyzyjna definicja w Wikipedii można przeczytać: „Oprogramowanie systemowe to zbiór programów zapewniający kontrolę nad elementami systemu komputerowego, takimi jak procesor, BARAN, urządzenia wejścia-wyjścia, sprzęt sieciowy, pełniący funkcję „interfejsu międzywarstwowego”, po jednej stronie którego znajduje się sprzęt, a po drugiej - aplikacje użytkownika. Do oprogramowania tego zalicza się systemy operacyjne, narzędzia, systemy programistyczne (narzędzia programistyczne), systemy zarządzania bazami danych, szeroka klasa oprogramowania łączącego (technologicznego), a także systemy bezpieczeństwa informacji, które wdrażają na poziomie systemu (poziom jądra) ochronę systemu operacyjnego lub wymianę jego standardowych mechanizmów. Większość niezbędnych systemów bezpieczeństwa informacji do budowy systemu ochrony danych osobowych można zaliczyć do oprogramowania systemowego.
W Wikipedii: „Program użytkowy lub aplikacja to program przeznaczony do wykonywania określonych zadań użytkownika i do którego jest przeznaczony bezpośrednia interakcja z użytkownikiem. W większości systemy operacyjne programy użytkowe nie może uzyskać bezpośredniego dostępu do zasobów komputera, ale może wchodzić w interakcję ze sprzętem itp. poprzez system operacyjny.” Inaczej mówiąc, jest to oprogramowanie, za pomocą którego przetwarzane są dane osobowe. Z reguły programy te posiadają, choć nie tak szeroki jak systemy operacyjne, arsenał środków (mechanizmów) ochrony. Takie programy obejmują: pakiety biurowe, programy księgowe, systemy CRM itp. Liczba tego typu programów w Rejestrze nie jest zbyt duża.
W przypadku systemów trzeciego i czwartego poziomu bezpieczeństwa nie jest wymagana programowa kontrola NDV. Kolejnym aspektem wyboru jest porównanie klasy bezpieczeństwa systemu bezpieczeństwa informacji i poziomu bezpieczeństwa systemu bezpieczeństwa informacji. Jak wskazano powyżej, obecnie certyfikaty, a co za tym idzie Rejestr, nie wskazują na możliwość stosowania bezpieczeństwa informacji dla odpowiedniego poziomu bezpieczeństwa. Pomimo faktu, że niektóre certyfikaty wydane przed 2013 rokiem zawierały zapis „można stosować w ISPD do klasy 3 włącznie”, oznaczało to jedynie, że narzędzie to mogło być stosowane jako część systemu ochrony ISPD odpowiedniej klasy. Jednak jakie środki ochrony wdraża, można zrozumieć jedynie poprzez zrozumienie, dla czego produkt został certyfikowany i zapoznanie się z jego paszportem lub formularzem. Pewnie dlatego, żeby nie wprowadzać użytkowników w błąd, zaprzestali dokonywania takich wpisów.

Obecnie certyfikacja sprzętu do ochrony informacji firmy NSD za pośrednictwem FSTEC Rosji przeprowadzana jest pod kątem zgodności z jednym lub kilkoma dokumentami jednocześnie:

RD „Znaczy technologia komputerowa. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki bezpieczeństwa przed nieuprawnionym dostępem do informacji” (RD SVT);
- RD „Bezpieczeństwo technologii informatycznych. Kryteria oceny bezpieczeństwa technologii informatycznych” (RD OK);
- RD „Urządzenia komputerowe. Zapory ogniowe. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki bezpieczeństwa przed nieuprawnionym dostępem do informacji” (RD SVT ME);
- Wymagania ND dotyczące systemów wykrywania włamań (ND IDS);
- ND Wymagania dotyczące narzędzi ochrony antywirusowej;
- Dane techniczne(TO).

W dokumentach, z wyjątkiem specyfikacji technicznych, sprzęt do ochrony informacji jest uszeregowany według klas. Każdy dokument wprowadza własną skalę bezpieczeństwa, gdzie pierwszą klasę przypisuje się najbezpieczniejszemu sprzętowi bezpieczeństwa informacji, a dokładniej temu, który został przetestowany w najbardziej rygorystycznych warunkach i odpowiednio, wraz ze wzrostem numer seryjny wymagania klasowe dotyczące testowania sprzętu do ochrony informacji są złagodzone. Tylko systemy bezpieczeństwa informacji certyfikowane w RD OK (GOST R ISO/IEC 15408) mają odwrotną numerację; RD przewiduje 7 klas poziomów zaufania (CL), gdzie jest ich najwięcej niski poziom pierwszy to OUD1. Do niedawna wybór dokumentu, dla którego poświadczany jest certyfikat bezpieczeństwa informacji, należał do Wnioskodawcy. Większość informacji i sprzętu posiada certyfikaty RD SVT i TU, niewielka część została przetestowana zgodnie z „ kryteria ogólne„I tylko zapory ogniowe, programy antywirusowe i systemy wykrywania włamań musiały być certyfikowane dla dokumentów o tej samej nazwie.

Instrukcje dotyczące stosowania certyfikowanych urządzeń do ochrony informacji zawarte są bezpośrednio w zarządzeniu FSTEC Rosji:

A) w celu zapewnienia 1 i 2 stopnia ochrony danych osobowych stosuje się:

systemy wykrywania włamań i narzędzia ochrony antywirusowej co najmniej klasy 4;
firewalle co najmniej klasy 3 w przypadku istotności zagrożeń typu 1 lub 2 lub interakcji systemu informatycznego z sieciami informatycznymi i telekomunikacyjnymi międzynarodowej wymiany informacji oraz firewalle co najmniej klasy 4 w przypadku istotności zagrożeń typu 3 i braku współdziałania systemu informacyjnego z sieciami informacyjnymi i telekomunikacyjnymi międzynarodowej wymiany informacji.
b) w celu zapewnienia 3 stopnia ochrony danych osobowych stosuje się:
sprzęt komputerowy co najmniej klasy 5;
systemy wykrywania włamań i narzędzia ochrony antywirusowej co najmniej 4 klasy ochrony w przypadku istotności zagrożeń typu 2 lub interakcji systemu informatycznego z sieciami informatycznymi i telekomunikacyjnymi międzynarodowej wymiany informacji i systemami wykrywania włamań oraz narzędzia ochrony antywirusowej co najmniej 5 stopień ochrony w przypadku istotności zagrożeń III typu i braku współdziałania systemu informatycznego z sieciami informacyjnymi i telekomunikacyjnymi międzynarodowej wymiany informacji;
firewalle co najmniej klasy 3 w przypadku istotności zagrożeń typu 2 lub interakcji systemu informatycznego z sieciami informatycznymi i telekomunikacyjnymi międzynarodowej wymiany informacji oraz firewalle co najmniej klasy 4 w przypadku istotności zagrożeń typu 3 i braku interakcji system informacyjny z sieciami informatycznymi i telekomunikacyjnymi, sieciami międzynarodowej wymiany informacji.
c) w celu zapewnienia 4 stopnia ochrony danych osobowych stosuje się:
sprzęt komputerowy co najmniej klasy 6;
systemy wykrywania włamań i narzędzia ochrony antywirusowej co najmniej klasy 5;
Zapory ogniowe klasy 5.

Zdecydowawszy się cechy formalne SZI: dostępność na rynku; znaczenie certyfikatu; dostępność kontroli emisji nieredukujących (w razie potrzeby); klasie bezpieczeństwa, możesz teraz skupić się na jego cechach funkcjonalnych. Z reguły nazwa systemu bezpieczeństwa może w najlepszym wypadku jedynie mówić o przeznaczeniu urządzenia zabezpieczającego; za chwytliwą nazwą, taką jak Security Point, może kryć się wszystko, z czym jest w jakikolwiek sposób powiązany bezpieczeństwo. Aby naprawdę zrozumieć jego możliwości, trzeba uważnie przeczytać nie tylko to, co jest podane na stronie producenta cechy funkcjonalne, ale także zakres (warunki) stosowania i ograniczenia określone w dokumentacja operacyjna i certyfikat. Na przykład: „jest zgodny z 3 SVT z ograniczeniami” - oznacza to z jakiegoś powodu niepełną zgodność z wymaganiami RD dla odpowiedniej klasy lub specjalnych warunków stosowania sprzętu do ochrony informacji. Z reguły nakładane są ograniczenia tylna strona Certyfikat. Na przykład dla większości certyfikowanych Produkty Microsoftu istnieją ograniczenia w użyciu. W szczególności dla MicrosoftWindowsXPSP3 Certyfikat stwierdza:

1. Podczas korzystania z systemu operacyjnego należy przestrzegać warunków określonych dla środowiska operacyjnego w Specyfikacji zabezpieczeń MS.Win_XP_SP3.ЗБ.
2. Ustawienia i monitorowanie mechanizmów zabezpieczeń należy przeprowadzać zgodnie z „Przewodnikiem bezpiecznej konfiguracji i monitorowania wersji certyfikowanej. Microsoft® Windows® XP Professional Service Pack 3”.
3. System operacyjny Microsoft® Windows XP Professional Service Pack 3 musi zostać poddany procedurze monitorowania (weryfikacji) zgodności z certyfikowaną normą.
4. W systemie operacyjnym muszą być zainstalowane wszystkie aktualne, obowiązkowe, certyfikowane aktualizacje zabezpieczeń.

W w tym przypadku To tylko przypomnienie oczywistych środków podczas obsługi systemu bezpieczeństwa informacji. Ale istnieją też istotne ograniczenia, które np. wymagają stosowania narzędzi ochronnych w połączeniu z dodatkowymi systemami bezpieczeństwa informacji, wykorzystywania jedynie częściowej funkcjonalności czy instalowania na ograniczonej liczbie systemów operacyjnych. Istotnym punktem jest zakres wdrażanych środków ochrony informacji. Ochronę można zbudować wykorzystując wysoce wyspecjalizowane systemy ochrony informacji obejmujące jeden lub więcej środków. Lub przy użyciu skomplikowanych narzędzi, takich jak SecretNet, DallasLock, Accord itp. Zwykle, środki specjalistyczne mają większe bezpieczeństwo i funkcjonalność. Jednak system ochrony zbudowany na bazie „zoo”, nawet markowego, będzie stwarzał wiele problemów w trakcie jego działania.
Złożone narzędzia zostały opracowane specjalnie w celu uwzględnienia podstawowych wymagań dokumentów przewodnich organów regulacyjnych, nawet jeśli zostały napisane w połowie lat 90-tych. Gdyby istniał taki system bezpieczeństwa informacji i program antywirusowy, można byłoby już certyfikować autonomiczną stację roboczą, a nawet sieć lokalna. Wraz z wydaniem najnowszych zarządzeń FSTEC Rosji środki ochronne zostały znacznie zaktualizowane, a ich liczba wzrosła kilkakrotnie, a ponadto teraz operator musi samodzielnie odpowiednio ocenić zagrożenia i ryzyko oraz, jeśli to konieczne, je wzmocnić; Podejście to rozszerzyło wymagania dotyczące funkcjonalności systemu bezpieczeństwa informacji oraz szeregu wymaganych środków dodatkowe fundusze ochrony, takich jak narzędzia analizy bezpieczeństwa, tworzenie kopii zapasowych i odzyskiwanie itp.
Certyfikowane nowoczesne systemy operacyjne wyglądają inaczej. Liczba wbudowanych mechanizmów ochronnych jest znacznie szersza niż wymagania nie tylko RD AS i RD SVT, ale także lista środków technicznych wymieniona już w zarządzeniach nr 21 i nr 17. Oczywiście dzisiaj nie da się tego zrobić zbuduj legalny system ochrony ISPD na samym systemie operacyjnym, ale zamknij go tak szeroko, jak to możliwe, zgodnie z realistycznymi wymaganiami. Ogólnie rzecz biorąc, wykaz środków ochronnych dla poziomu 3 bezpieczeństwa ISPD i ich wdrożenie przy użyciu certyfikowanego systemu operacyjnego Microsoft Windows 7 podano w tabeli.

Wymagania dotyczące bezpieczeństwa poziomu 3 ISPD	Środki (mechanizmy) zapewniające spełnienie wymagania
1. Identyfikacja i uwierzytelnianie podmiotów i obiektów dostępu. 2. Zarządzanie prawami i przywilejami podmiotów i przedmiotów dostępu.	Realizowane jest to poprzez ustawienie odpowiednich parametrów bezpieczeństwa dla mechanizmów „Identyfikacji i Uwierzytelniania” podczas konfigurowania systemu operacyjnego do certyfikowanej konfiguracji dla użytkowników domenowych (dla sieci komputerowych) i użytkowników lokalnych (w przypadku autonomicznych stacji roboczych). korzystając z innych elementów wspólnego oprogramowania (SQL Server, ExchangeServer itp.) dodatkowo wykorzystują wbudowane w nie mechanizmy „Identyfikacji i Uwierzytelniania” i „Ochrony Danych Użytkownika” oraz środki organizacyjne.
3. Uruchamiaj wyłącznie oprogramowanie zatwierdzone do użytku w IS. 4. Eliminacja nieuprawnionego dostępu do media maszynowe i zapisane na nich PD.	Konfigurowanie systemu rejestracji i dystrybucji praw Windows (funkcja AppLocker Windows 7/2008R2)
5. Gromadzenie, utrwalanie, przechowywanie i ochrona informacji o zdarzeniach związanych z bezpieczeństwem	Korzystanie z mechanizmów Audytu Bezpieczeństwa Windows i Ochrony Danych Użytkownika. Monitorowane za pomocą dziennika zdarzeń systemu operacyjnego i innego oprogramowania Microsoft.
6. Ochrona antywirusowa	Korzystanie z programu antywirusowego Microsoft Forefront lub programu antywirusowego innych producentów
7. Wykrywanie (zapobieganie) włamaniom	Skonfiguruj program Windows Defender i/lub skorzystaj z obsługi IDS
8. Kontrola (analiza) bezpieczeństwa informacji	Aplikacja Sprawdź programy z certyfikowanego pakietu oprogramowania
9. Zapewnienie integralności własności intelektualnej i informacji	Odbywa się to za pomocą wbudowanych narzędzi systemu operacyjnego i jest dodatkowo kontrolowane przez program „Sprawdź”.
10. Zapewnienie dostępności informacji	Korzystanie z mechanizmów tworzenia kopii zapasowych i przywracania systemu Windows
11. Chroń swoje środowisko wirtualizacji	Korzystanie z wirtualizacji Hyper-V z certyfikowanych wersji Serwer Windows 2008/2008R2
12. Ochrona własności intelektualnej, jej środków, systemów łączności i transmisji danych	Jest realizowany przy użyciu ME Microsoft ISA Server 2006 Standard Edition, certyfikowanego do klasy 4 zgodnie z ME RD.
13. Wykrywanie i reagowanie na incydenty	Konfigurowanie „Zaawansowanych zasad audytu” w systemie Windows
14. Zarządzanie konfiguracją systemów informatycznych i systemów ochrony danych osobowych (PDS)	Konfigurowanie ustawień Zasad zabezpieczeń systemu Windows/Zasad zabezpieczeń grupy. Stosowanie szablonów zabezpieczeń. Kontrola. Audyt i konfiguracja ustawień zabezpieczeń za pomocą programów Check z certyfikowanego pakietu oprogramowania

Jak widać podstawowe środki obejmują standardowe mechanizmy systemu operacyjnego Microsoft Windows 7 Certyfikowane systemy operacyjne Linux, na przykład: ROSA, MSVSphere, również posiadają podobny zestaw mechanizmów ochronnych.

Kolejną oczywistą zaletą stosowania wbudowanych narzędzi (mechanizmów) bezpieczeństwa jest gwarancja pełnej kompatybilności, stabilności i szybkości ich działania w ramach zautomatyzowanych systemów.

Istotnym czynnikiem jest cena rozwiązań; budując systemy bezpieczeństwa w oparciu o wbudowane mechanizmy ochrony systemów operacyjnych i oprogramowania aplikacyjnego, koszty ograniczają się głównie do procedury sprawdzania zgodności (weryfikacji) dystrybucji instalacji i utrzymywania certyfikowanych parametrów wdrożonego oprogramowania podczas pracy. Do budowy takich systemów nie jest konieczny zakup nowego oprogramowania; istniejące licencjonowane oprogramowanie użytkownika może podlegać weryfikacji. W takim przypadku wystarczy go jedynie zweryfikować (sprawdzić) i uzupełnić niezbędną dokumentację i specjalne oprogramowanie, skonfiguruj zgodnie z załączoną Instrukcją.

Możesz samodzielnie spróbować certyfikować dowolny wybrany system bezpieczeństwa informacji, który Twoim zdaniem spełnia wymagania dokumentów zarządzających FSTEC Rosji. Zgodnie z przepisami dotyczącymi certyfikacji środków bezpieczeństwa informacji (zarządzenie Państwowej Komisji Technicznej Rosji nr 199 z dnia 27 października 1995 r.) będziesz musiał działać jako wnioskodawca - uzgodnić z FSTEC Rosji w sprawie ZB, specyfikacje lub inny dokument określający wymagania dotyczące bezpieczeństwa informacji i przedłożyć je Laboratorium badawcze komplet niezbędnej dokumentacji projektowej i operacyjnej, przykładowy system ochrony informacji oraz pokrycie wszelkich kosztów certyfikacji. Jednocześnie musisz być licencjobiorcą FSTEC Rosji na działalność związaną z rozwojem i produkcją sprzętu do ochrony informacji.

Podsumowując

W tym artykule nie sposób opisać wszystkich zapisów wytycznych i dokumenty regulacyjne FSTEC Rosji, wszystkie cechy wyboru i stosowania certyfikowanych urządzeń do ochrony informacji. W szczególności kwestie aplikacyjne środki kryptograficzne ochrona, ochrona GIS, certyfikacja sprzętu ochrony informacji do stosowania w wyższe władze władze i wiele więcej. Naszym zdaniem jednak. dotknięty kluczowe punkty na co w pierwszej kolejności należy zwrócić uwagę przy wyborze sprzętu ochronnego.
Jeśli nie znalazłeś odpowiedzi na swoje pytanie, lub potrzebujesz konsultacji ze specjalistami, skontaktuj się z nami, postaramy się Ci pomóc.

Rozporządzenie Rządu nr 1119 z dnia 1 listopada 2012 r. „Wymagania dotyczące ochrony danych osobowych przetwarzanych w systemach informatycznych danych osobowych” ustanawia 4 poziomy bezpieczeństwa danych osobowych, które zależą od rodzaju systemu informatycznego, rodzaju bieżących zagrożeń i liczba osób, których dane dotyczą, przetwarzanych w systemie informatycznym (patrz tabela 1).

Tabela 1

Rodzaje ISPD	Poziomy bezpieczeństwa ISPD
Zagrożenia typu 1	Zagrożenia typu 2	Zagrożenia typu 3
ISPDn-S		2 < 100000 > 1	3 < 100000 > 2
ISPDn-B		typu ISPDn
ISPDn-O		3 < 100000 > 2
ISPDn-I		3 < 100000 > 2	4 < 100000 > 3

Rodzaje ISPD

ISPDn-S – ISPDn przetwarza szczególne kategorie danych osobowych dotyczących rasy, narodowości, poglądów politycznych, przekonań religijnych i filozoficznych, stanu zdrowia, życia intymnego osób.

ISPDn-B – ISPDn przetwarza informacje biometryczne charakteryzujące cechy fizjologiczne i biologiczne osoby, na podstawie których można ustalić jej tożsamość i które służą operatorowi do ustalenia tożsamości podmiotu danych osobowych oraz informacje z tym związane do szczególnych kategorii danych osobowych nie są przetwarzane.

ISPDn-O – ISPDn przetwarzający dane publicznie dostępne.

ISPDn-I – ISPDn przetwarzający inne kategorie PD

Ta sama uchwała ustanawia trzy rodzaje zagrożeń dla danych osobowych:

Zagrożenia pierwszego typu (poziom systemu) są istotne dla systemu informacyjnego, jeżeli między innymi istotne są dla niego zagrożenia związane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w oprogramowaniu systemowym wykorzystywanym w systemie informatycznym.

Zagrożenia drugiego typu (poziom aplikacji) są istotne dla systemu informatycznego, jeżeli między innymi istotne są dla niego zagrożenia związane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w oprogramowaniu użytkowym stosowanym w systemie informatycznym.

Zagrożenia typu 3 (na poziomie użytkownika) są istotne dla systemu informacyjnego, jeżeli dotyczą go zagrożenia niezwiązane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w systemie i oprogramowaniu użytkowym używanym w systemie informatycznym.

Określenia rodzaju zagrożeń bezpieczeństwa istotnych dla systemu informatycznego dokonuje operator PD, biorąc pod uwagę ocenę możliwej szkody, jaką może wyrządzić podmiot danych osobowych. Rodzaj zagrożenia będzie determinował nie tylko wymagany poziom bezpieczeństwa ISPD, ale także klasę systemów bezpieczeństwa informacji stosowanych do jego ochrony, a przede wszystkim obowiązkowe przejście kontroli bezpieczeństwa informacji pod kątem braku niezadeklarowanych zdolności (NDC). .

Rozumiemy przez to dodatkowe wymagania FSTEC Rosji dotyczące sprawdzania oprogramowania i produktów sprzętowo-programowych wdrażających funkcje bezpieczeństwa informacji pod kątem braku zamierzonych lub innych niezadeklarowanych możliwości. W praktyce jest to badanie kodu źródłowego programów w celu ustalenia braku „zakładek oprogramowania”, „koni trojańskich” i innych złośliwych kodów. Do niedawna wymagania te nakładane były wyłącznie na systemy bezpieczeństwa informacji stosowane w systemach ochrony zautomatyzowanych systemów przetwarzających tajemnicę państwową. Wraz z wydaniem dokumentów FSTEC dotyczących ochrony danych osobowych wymagania te mają zastosowanie również do systemów bezpieczeństwa informacji stosowanych w ISPD o 1 i 2 poziomie ochrony. Wytyczne „Ochrona przed nieuprawnionym dostępem do informacji. Część 1. Oprogramowanie narzędzi bezpieczeństwa informacji. Klasyfikacja według poziomu kontroli nad brakiem niezadeklarowanych zdolności” (RD NDV) ustanawia cztery poziomy kontroli nad brakiem niezadeklarowanych zdolności. Każdy poziom charakteryzuje się pewnym minimalnym zestawem wymagań. W przypadku oprogramowania służącego do ochrony informacji objętych tajemnicą państwową należy zapewnić poziom kontroli co najmniej trzeci. Do ochrony danych osobowych i systemów informacji państwowej, które nie przetwarzają tajemnicy państwowej, wystarczy czwarty poziom kontroli.

W poprzednich dokumentach FSTEC ściśle określił, że dla najwyższej klasy ISPD (K1) wymagane są systemy bezpieczeństwa informacji, które przeszły kontrolę NDV. W obecnych wymaganiach operator sam ma prawo określić rodzaj zagrożeń i na tej podstawie określić, czy istnieje zagrożenie NDV, czy nie.

Rozsądnie jest założyć, że pierwszy rodzaj zagrożeń może mieć znaczenie tylko w przypadku systemów bezpieczeństwa informacji, które w jakiś sposób interesują agencje wywiadowcze: dane osobowe o skali federalnej, dane najwyższych urzędników państwowych itp. Argument można wyciągnąć przy założeniu, że że twórcami prawie całego oprogramowania systemowego jest kilka znanych zachodnich korporacji, ceniących ich reputację. Niewykluczone jednak, że współpracują ze służbami wywiadowczymi państw, których są mieszkańcami. Trudno sobie wyobrazić motywację tych dostawców do dyskredytowania „projektowanych zakładek”, narażając swój biznes na ogromne ryzyko.

W przypadku zagrożeń drugiego typu sytuacja jest podobna, ale ma swoją specyfikę. Często jako oprogramowanie użytkowe wykorzystywane jest oprogramowanie „napisane w domu” lub wykonane na zamówienie. I tutaj, co dziwne, prawdopodobieństwo przypadkowej lub celowej „zakładki” może okazać się wyższe. Często nieudokumentowane funkcje są udostępniane wyłącznie w „dobrych” intencjach, na przykład w celu zdalnego dostępu do komputera użytkownika w celu rozwiązania jego problemów.

Kodeks karny Federacji Rosyjskiej

Dokument analizowano w 1 pytaniu.