Практика

Уровень 5 - Оборона цифровой крепости

Мы перешли на пятый, ключевой уровень квеста "Защита персональных данных", на этом уровне нам предстоит спроектировать и запустить в эксплуатацию систему защиты персональных данных (СЗПДн).

Разработка замысла защиты и обороны может стать самым высокозатратным этапом, на котором будут привлекаться интеграторы и сторонние эксперты по безопасности. Но для тех, кто не ставил цель создания безупречной и непробиваемой системы обороны, прохождение этого уровня может свестись к анализу требований двух документов: собственной модели угроз и приказа ФСТЭК от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн".

То, что наша модель угроз требует (или не требует) доработать в системе защиты нам и так хорошо известно. Остается изучить Приказ ФСТЭК №58. Беглый анализ этого документа не может не радовать, документ последователен, хорошо систематизирован и отражает объективную реальность достаточно современными подходами, алгоритмами и терминами. Требования к защищенности выдвигаются в зависимости от класса и особенностей защищаемой ИСПДн.

Практические требования

Например, для любых ИСПДн с выходом в интернет методами и способами защиты информации от несанкционированного доступа определены:

  • межсетевое экранирование;
  • обнаружение вторжений в информационную систему;
  • анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
  • защита информации при ее передаче по каналам связи (например, шифрование персональных данных при их отправке за "периметр" ИСПДн);
  • использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
  • использование средств антивирусной защиты;
  • централизованное управление системой защиты персональных данных информационной системы.

Другой пример - для ИСПДн класса К3 при многопользовательском режиме обработки персональных данных обозначена необходимость применения следующих основных методов и способов защиты информации:

  • управление доступом (идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов);
  • регистрация и учет (регистрация входа/выхода пользователя в систему/из системы либо регистрация загрузки и инициализации операционной системы и ее программного останова, а также учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче/приеме);
  • обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды;
  • физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;
  • периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
  • наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности;
  • безопасное межсетевое взаимодействие при подключении ИСПДн к сетям международного информационного обмена, а также при разделении ИСПДн на подсистемы достигается путем применения средств межсетевого экранирования (межсетевых экранов), функционал которых должен соответствовать требованиям этого же приказа.

Обеспечение внутрисетевого взаимодействия для К2-К3: пример решения

То есть, нам остается найти в приказе требования по защищенности к нашему классу ИСПДн и реализовать их на практике, без особого фанатизма. Например, требование по физической охране ИСПДн, легко может быть закрыто фактом наличия договорных отношений с охранным предприятием об охране помещений компании, совсем не обязательно специальным образом прописывать охрану всех помещения и узлы нашей ИСПДн.

На что следует обратить внимание?

Во-первых, в приказе практически отсутствуют требования сертифицированных средств защиты информации, которые нужны только для ИСПДн класса К1 и только в части отсутствия НДВ. Это означает, что если какие-то требования к ИСПДн К3 или К2 "закрываются" функционалом операционной системы, то необязательно данную ОС сертифицировать.

Второе, что следует держать в уме - большинство требований по защите можно реализовывать как на серверном уровне или уровне входного канала, так и на уровне каждой рабочей станции. В первом случае может получаться неплохая экономия.

Третье - некоторые требования можно закрывать организационными мерами, например, требование по наличию средств восстановления системы защиты персональных данных, могут быть реализованы в виде одностраничной инструкции для администратора о периодическом обновлении бэкапов.

Совсем отказываться от использования сертифицированных средств защиты было бы не совсем правильно, потому как при проверке могут возникнуть вопросы: чем удостоверено то, что межсетевой экран используемый в ИСПДн действительно выполняет функционал межсетевого экрана и отвечает всем требованиям приказа №58? В большинстве случаев для ответов на такие вопросы демонстрации текста из пункта "О программе" будет явно не достаточно. Поэтому желательно заложить в смету затрат лицензирование 1-2 сертифицированных средств защиты, по наиболее критичным направлениям требований к защищенности, например, межсетевых экранов и антивирусов.

Сразу вспоминается распространенное заблуждение о том, что сертифицированным средством защиты является любая программа, на сайте производителя которой есть "скан" сертификата ФСТЭК. На самом деле, сертифицированными являются только средства, закупленные по официальным каналам, поставка которых сопровождается передачей комплекта подтверждающих документов с голографической маркой и занесением сведений о владельце в единый реестр пользователей сертифицированных средств защиты. При выборе сертифицированных средств защиты и анализе сертификатов ФСТЭК на средства защиты стоит обращать самое тщательное внимание на период действия сертификата, условия обновления продукта и назначение (оптимально, если напрямую декларируется возможность применения для защиты персональных данных).

Со стороны создателей данного проекта, для решения задач безопасного сетевого экранирования, может быть рекомендован Программный комплекс "Межсетевой экран IdecoICS".

Данный программный (или программно-аппаратный) серверный межсетевой экран может быть по праву назван джентельменским набором защитника персональных данных, в нем есть практически все для решения любых задач управления корпоративным трафиком: от сбора статистики до многоуровневых алгоритмов фильтрации различных типов трафика пользователей или приложений. IdecoICS базируется на linux-ядре, включает в себя широкий арсенал компонентов, не требует дополнительного ПО и легче-легкого управляется через удобный web-интерфейс.

Ввод системы защиты в эксплуатацию предусматривает не только выбор и внедрение технических средств защиты, но и формирование пакета организационно-распорядительной документации: инструкций, регламентов, журналов, которые будут предъявляться регулятору.

Именно этим мы и займемся на следующем уровне.

Не стоит забывать, что успех в благородном деле защиты персональных данных – это не только комплексный подход, но и точность в формулировках. Например, подмена понятий с защиты персональных на «защиту конфиденциальных данных» или «конфиденциальной информации», может привести к необходимости прохождения новых гораздо более сложных и затратных испытаний.

На новый уровень! >>