2. Определение уровня защищенности информационной системы персональных данных

На текущий момент в Российской Федерации создана и принята вертикаль руководящих и нормативно-методических документов по обеспечению безопасности персональных данных. Основой регулирования правоотношений в сфере персональных данных являются положения Конституции РФ. Правоотношения, касающиеся обращения с персональными данными регулируются Федеральным Законодательством РФ.

Необходимость обеспечения безопасности персональных данных устанавливает Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных», который обязывает оператора, получающими доступ к персональным данным, обеспечивать конфиденциальность таких данных и принимать необходимые организационные и технические, меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

И основой для защиты персональных данных является определение уровня защищенности информационной системы персональных данных, на основе которого будут определенны основные требования к защите информационной системы персональных данных, и на которых будет базироваться комплексная система защиты информационной системы персональных данных.

Определение уровня защищенности ИСПДн в УЦ ГБУ АО «Инфраструктурный центр электронного правительства» было проведено на основании Постановления правительства Российской Федерации № 1119.

Чтобы Определить уровень защищенности необходимо провести анализ ИСПДн и выделить ряд критериев для оценки, таких как:

1. категория персональных данных обрабатываемая в информационной системе, а именно:

- 1 группа – специальные категории ПДн, к которым относится информация о национальной и расовой принадлежности субъекта, о религиозных, философских, либо политических убеждениях, информацию о здоровье и интимной жизни субъекта персональных данных;

- 2 группа – биометрические ПДн, то есть данные, характеризирующие биологические или физиологические особенности субъекта персональных данных;

- 3 группа – общедоступные ПДн, то есть сведения о субъекте персональных данных, полных и неограниченный доступ к которым предоставлен самим субъектом персональных данных;

- 4 группа – иные категории ПДн, не представленные в трех предыдущих группах;

2. форма отношений между учреждением и субъектами персональных данных:

- субъекты персональных данных являются работниками учреждения (субъекты связаны с учреждением трудовым договором);

- субъекты персональных данных не являются работниками учреждения;

3. количество субъектов персональных данных, обрабатываемых в ИСПДн:

- менее 100 000 субъектов;

- более 100 000 субъектов;

4. тип актуальных угроз ИСПДн:

- угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном программном обеспечении, используемом в ИСПДн;

- угрозы 2-го типа связанны с наличием недекларированных (недокументированных) возможностей в прикладном программном обеспечении, используемом в ИСПДн;

- угрозы 3-го типа не связанны с наличием недекларированных (недокументированных) возможностей в программном обеспечении, используемом в ИСПДн.

Персональные данные обрабатываемые в ИСПДн представлены в таблице 1.1 общедоступными и относятся к 3 группе персональных данных согласно Постановлению Правительства РФ №1119. Количество субъектов персональных данных не превышает 100 000, и они не являются сотрудниками организации.

Таблица 1.1 – Сертификат открытого ключа цифровой подписи

№	Атрибуты сертификата электронной подписи	Значения атрибутов	Примечание
1	CommonName (CN)	Общие название	Полное или сокращенное наименование учреждения согласно учредительному документу
2	INN	ИНН	Цифровое значение
3	OGRN	ОГРН	Цифровое значение
4	Organization (O)	Организация	Полное или сокращенное наименование учреждения согласно учредительному документу
5	Locality (L) StreetAddress (STREET) State (S) Country (C)	Район, область Адрес Населенный пункт Страна	Юридический адрес организации

Продолжение таблицы 1.1.

6	SurName (SN)	Фамилия	Сидоров
7	GivenName (GN)	Имя Отчество	Сидор Сидорович
8	SNILS	СНИЛС	Цифровое значение
9	Title (T)	Должность	Наименование должности
10	OrganizationUnit (OU)	Подразделение организации	Наименование структурного подразделения
11	E-Mail (E)	Электронная почта	Электронная почта

Далее определим актуальные угрозы ИСПДн.

Для этого определим, что именно является недекларированными возможностями.

В Руководящем документе ГосТехКомисии Российской Федерации «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» сказано, что недекларированные возможности — функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Следовательно, необходимо составить список основного и прикладного ПО с последующим определением существуют ли актуальные угрозы, связанные с недекларируемыми возможностями этих ПО.

Список приведен в таблице 1.2.

Таблица 1.2 – ПО используемое в ИСПДн

№ п/п	Наименование программного средства
1	MS Windows Server 2008
2	Крипто Про УЦ «Центр Сертификации»
3	SQL Server Express
4	MS Windows 7
5	Крипто Про УЦ «Центр Регистрации»
6	Крипто Про УЦ «АРМ Администратора Центра регистрации»
7	Крипто Про УЦ «АРМ Разбора конфликтных ситуаций»
8	СКЗИ «Крипто Про CSP» версии 3.6 для рабочих станций
9	СКЗИ «Крипто Про CSP» версии 3.6 для серверов
10	Антивирус Касперского 6.0 для Windows Workstations
11	Антивирус Касперского 6.0 для Windows Servers

Доступ к данному ПО, которое установлено на технических средствах в контролируемой зоне, имеют только сотрудники службы безопасности и руководитель учреждения, однако так как они заинтересованы в соблюдении режима безопасности, их нельзя отнести к источникам угроз не декларированных возможностей и как следствие эти угрозы не входят в список актуальных.

И, следовательно, угрозы для данной ИСПДн принадлежат 3-му типу угроз.

Входе анализа ИСПДн было установлено:

-персональные данные обрабатываемые в ИСПДн принадлежат к 3 группе персональных данных;

-количество субъектов персональных данных менее 100 000;

-все субъекты персональных данных не являются сотрудниками организации;

-актуальные угрозы ИСПДн принадлежат 3-му типу.

Согласно таблице 1.3, представленной ниже можно утверждать, что ИСПДн имеет 4й уровень защищенности ПДн.

Таблица 1.3 – Определение уровня защищенности ИСПДн.

Категория ПДн

1 группа

2 группа

3 группа

4 группа

Сотрудники организации

нет

нет

да

нет

нет

да

нет

нет

да

Количество субъектов ПДн

Более 100 000

Менее 100 000

Более 100 000

Менее 100 000

Более 100 000

Менее 100 000

Тип актуальных угроз

1

1УЗ

1УЗ

1УЗ

1УЗ

2УЗ

2УЗ

2УЗ

1УЗ

2УЗ

2УЗ

2

1УЗ

2УЗ

2УЗ

2УЗ

2УЗ

3УЗ

3УЗ

2УЗ

3УЗ

3УЗ

3

2УЗ

3УЗ

3УЗ

3УЗ

4УЗ

4УЗ

4УЗ

3УЗ

4УЗ

4УЗ

И согласно Постановлению Правительства №1119 для обеспечение 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.