Шхагапсоев З.Л. Обеспечение безопасности персональных данных в информационных системах
.pdf
ность, связанную с использованием сертифицированных средств криптографической защиты информации, либо деятельность в области технической защиты конфиденциальной информации, должно получить соответствующую лицензию. Так, ФСБ России на основании Постановления Правительства РФ от 16 апреля 2012 г. № 313 требует от всех организаций, эксплуатирующих средства криптографической защиты информации13, получать лицензии на техническое обслуживание СКЗИ. ФСТЭК России в своем Информационном сообщении14 указывает, что если техническая защита конфиденциальной информации необходима для достижения целей деятельности юридического лица (в нашем случае – подразделения МВД России), предусмотренных в учредительных документах, а также, если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы, то получение лицензии ФСТЭК России является обязательным.
Федеральным законом «О персональных данных» и подзаконными актами установлен ряд норм и требований, которые могут иметь отношение не ко всем подразделениям МВД России, но которые должны исполняться теми из них, для кого это является одним из направлений деятельности, например, обработка биометрических персональных данных, вопросы трансграничной передачи персональных данных. При наличии таких оснований требуется выработка специальных мер и издание организационных и распорядительных документов, регулирующих данные процессы.
Таким образом, даже беглый взгляд на вопросы обеспечения безопасности персональных данных и выполнения требований Федерального закона «О персональных данных» позволяет сделать вывод о значительном объеме работ, связанных с решением этих задач.
13Далее – СКЗИ.
14По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации: информационное сообщение ФСТЭК России от 30.05.2012. № 240/22/2222.
21
Сбор и анализ исходных данных по ИСПДн и классификация информационных систем персональных данных
Эффективность работ по обеспечению безопасности персональных данных в информационных системах подразделений МВД России в значительной степени зависит от качества и полноты исходных данных, собранных по каждой ИСПДн, глубины анализа и правильности их классификации. Именно от класса ИСПДн будет зависеть адекватность моделей угроз безопасности и нарушителя, а следовательно, и создаваемой системы защиты персональных данных.
Для того чтобы максимально полно собрать сведения об информационной системе, необходимо ответить на ряд вопросов.
1.Предназначена ли информационная система для обработки персональных данных, и имеются ли факты такой обработки?
2.Каковы формы представления персональных данных?
3.Каковы цели обработки персональных данных?
4.Имеются ли законные основания для обработки персональных данных?
5.Требуется ли получение оператором-подразделением МВД России согласия субъекта на обработку его персональных данных?
6.Каковы способы, сроки и объемы обработки персональных данных?
7.Каковы источники получения персональных данных?
8.Каков состав (категория) персональных данных?
9.Какие аппаратные средства входят в состав информационной системы?
10.Какое системное и прикладное программное обеспечение применяется в информационной системе?
11.Является информационная система автономной, локальной или распределенной?
12.Имеется ли подключение информационной системы к телекоммуникационным каналам общего пользования и (или) сетям международного информационного обмена?
22
13.В каких помещениях размещается информационная си-
стема?
14.Какие средства охранной и пожарной сигнализации применяются в помещении, где размещается информационная система?
15.Какова контролируемая зона на объекте информатизации?
16.Какие вспомогательные технические средства и системы эксплуатируются на объекте информатизации?
17.Какова схема электропитания, и имеется ли система заземления на объекте информатизации?
18.Какова исходная защищенность информационной системы персональных данных?
Получив ответы на все поставленные выше вопросы, руководствуясь Порядком15 проведения классификации информационных систем персональных данных, можно приступать к определению класса информационной системы персональных данных. Целью классификации является установление методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных. Для проведения классификации каждой информационной системы персональных данных приказом руководителя подразделения МВД России создается комиссия, в состав которой включаются должностные лица, ответственные за обработку персональных данных, а также за обеспечение их безопасности. По результатам работы комиссии готовится акт классификации для каждой ИСПДн, который утверждается руководителем подразделения МВД России.
В соответствии с Порядком, при проведении классификации информационной системы учитываются следующие исходные данные:
– категория обрабатываемых в информационной системе
персональных данных – Xпд;
– объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – Xнпд;
15 Об утверждении Порядка проведения классификации информационных систем персональных данных: приказ ФСТЭК России, ФСБ России Мининформсвязи России от 13.02.2008. № 55/86/20.
23
–заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
–структура информационной системы;
–наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
–режим обработки персональных данных;
–режим разграничения прав доступа пользователей информационной системы;
–местонахождение технических средств информационной системы.
Различают следующие категории обрабатываемых в инфор-
мационной системе персональных данных (Xпд):
категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 – обезличенные и (или) общедоступные персональные данные.
Параметр Xнпд может принимать следующие значения:
1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 – в информационной системе одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
24
3 – в информационной системе одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные. Типовые информационные системы – информаци-
онные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности: защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий.
К специальным информационным системам должны быть отнесены:
–информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
–информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
По структуре информационные системы подразделяются на:
–автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
–комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
–комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием тех-
25
нологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие и не имеющие подключения. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов (таблица 1):
класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным
последствиям для субъектов персональных данных; класс 3 (К3) – информационные системы, для которых
нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
26
Классы типовой информационной системы |
Таблица 1 |
||||
|
|
||||
|
|
|
|
|
|
Xпд\Xнпд |
3 |
2 |
|
1 |
|
категория 4 |
К4 |
К4 |
|
К4 |
|
категория 3 |
К3 |
К3 |
|
К2 |
|
категория 2 |
К3 |
К2 |
|
К1 |
|
категория 1 |
К1 |
К1 |
|
К1 |
|
По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных.
В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
Класс информационной системы может быть пересмотрен:
–по решению оператора-подразделения МВД России на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
–по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
Следует иметь в виду, что подавляющее большинство информационных систем персональных данных подразделений МВД России являются специальными, а следовательно, для каждой из них требуется разработка Модели угроз безопасности.
27
Формирование модели угроз персональных данных и модели нарушителей
Комплекс мероприятий по обеспечению персональных данных включает определение актуальных угроз безопасности персональных данных при их обработке и построение на их основе Модели угроз для каждой информационной системы. Определение актуальных угроз безопасности персональных данных и разработка Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных осуществляется по Методике16 на основе Базовой модели17. В соответствии с Методикой «под угрозами безопасности персональных данных при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных… Угрозы безопасности персональных данных могут быть реализованы за счет утечки персональных данных по техническим каналам (технические каналы утечки информации, обрабатываемой в технических средствах ИСПДн, технические каналы перехвата информации при ее передаче по каналам связи, технические каналы утечки акустической (речевой) информации) либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения».
Определение актуальности угроз безопасности персональных данных при их обработке в ИСПДн и разработка Модели угроз безопасности персональных данных предполагает следующие этапы:
1) определение общего перечня угроз безопасности персональных данных на объекте информатизации;
16Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных: утверждена ФСТЭК России 14.02.2008.
17Базовая модель угроз безопасности персональных данных при их обработке в информационныхсистемахперсональныхданных:утвержденаФСТЭКРоссии15.02.2008.
28
2)определение уровня исходной защищенности информационной системы персональных данных;
3)расчет актуальности сформулированных в перечне угроз безопасности для анализируемой информационной системы персональных данных;
4)подготовка Модели (Частной модели) угроз безопасности персональных данных при их обработке в ИСПДн.
В соответствии с Методикой ФСТЭК России уровень исходной защищенности ИСПДн оценивается по значению обобщенного показателя, зависящего от технических и эксплуатационных характеристик информационной системы (таблица 2).
Оценка уровня исходной защищенности ИСПДн носит экспертный характер и использует вербальные значения «низкий – средний – высокий».
Показатели исходной защищенности ИСПДн |
Таблица 2 |
|||
|
|
|||
|
|
|
|
|
Технические и эксплуатационные ха- |
Уровень защищенности |
|||
рактеристики ИСПДн |
Высокий |
Средний |
|
Низкий |
1. По территориальному размещению: |
|
|
|
|
распределенная ИСПДн, которая |
– |
– |
|
– |
охватывает несколько областей, краев, |
|
|||
|
|
|
|
|
округов или государство в целом; |
|
|
|
+ |
городская ИСПДн, охватывающая |
– |
– |
|
|
не более одного населенного пункта (горо- |
|
|
||
|
|
|
||
да, поселка); |
|
|
|
|
корпоративная распределенная ИС- |
– |
+ |
|
– |
ПДн, охватывающая многие подразделения |
|
|||
|
|
|
|
|
одной организации; |
|
|
|
|
|
|
|
|
|
локальная (кампусная) ИСПДн, раз- |
– |
+ |
|
– |
вернутая в пределах нескольких близко |
|
|
|
|
расположенных зданий; |
+ |
– |
|
– |
локальная ИСПДн, развернутая в |
|
|||
пределах одного здания |
|
|
|
|
2. По наличию соединения с сетями общего |
|
|
|
|
пользования: |
– |
– |
|
+ |
ИСПДн, имеющая многоточечный |
|
|||
выход в сеть общего пользования; |
|
|
|
|
ИСПДн, имеющая одноточечный |
– |
+ |
|
– |
выход в сеть общего пользования; |
|
|||
|
|
|
|
|
ИСПДн, физически отделенная от |
+ |
– |
|
– |
сети общего пользования |
|
|||
|
|
|
|
|
29
Технические и эксплуатационные ха- |
Уровень защищенности |
|||
рактеристики ИСПДн |
Высокий |
Средний |
Низкий |
|
3. Повстроенным (легальным) операциямс |
|
|
|
|
записямибаз персональных данных: |
+ |
– |
– |
|
чтение, поиск; |
||||
– |
+ |
– |
||
запись, удаление, сортировка; |
||||
– |
– |
+ |
||
модификация, передача |
||||
|
|
|
||
4. По разграничению доступа к персональ- |
|
|
|
|
ным данным: |
|
|
|
|
ИСПДн, к которой имеют доступ |
|
|
|
|
определенные перечнем сотрудники орга- |
– |
+ |
– |
|
низации, являющейся владельцем ИСПДн, |
|
|
|
|
либо субъект ПДн1; |
|
|
|
|
ИСПДн, к которой имеют доступ |
– |
– |
+ |
|
все сотрудники организации, являющейся |
|
|
|
|
владельцем ИСПДн; |
– |
– |
+ |
|
ИСПДн с открытым доступом. |
||||
5. По наличию соединений с другими |
|
|
|
|
базами ПДн иных ИСПДн: |
|
|
|
|
интегрированная ИСПДн (органи- |
|
|
|
|
зация использует несколько баз ПДн ИС- |
– |
– |
+ |
|
ПДн, при этом организация не является |
||||
владельцем всех используемых баз ПДн); |
|
|
|
|
ИСПДн, в которой используется |
|
|
|
|
одна база ПДн, принадлежащая организа- |
+ |
– |
– |
|
ции – владельцу данной ИСПДн |
|
|
|
|
6. Поуровнюобобщения(обезличивания) ПДн: |
|
|
|
|
ИСПДн, в которой предоставляемые |
|
|
|
|
пользователю данные являются обезли- |
+ |
– |
– |
|
ченными (на уровне организации, отрасли, |
|
|
|
|
области, региона и т. д.); |
|
|
|
|
ИСПДн, в которой данные обезли- |
|
|
|
|
чиваются только при передаче в другие ор- |
– |
+ |
– |
|
ганизации и не обезличены при предостав- |
||||
лении пользователю в организации; |
|
|
|
|
ИСПДн, в которой предоставляемые |
|
|
|
|
пользователю данные не являются обезличен- |
– |
– |
+ |
|
ными (т. е. присутствует информация, позво- |
||||
ляющаяидентифицироватьсубъектаПДн) |
|
|
|
|
7. По объему ПДн, которые предоставляют- |
|
|
|
|
ся сторонним пользователям ИСПДн без |
|
|
|
|
предварительнойобработки: |
|
|
|
|
ИСПДн, предоставляющая всю базу |
– |
– |
+ |
|
данных с ПДн; |
|
|
|
|
ИСПДн,предоставляющаячастьПДн; |
– |
+ |
– |
|
ИСПДн, не предоставляющая ника- |
||||
+ |
– |
– |
||
кой информации. |
||||
|
|
|
||
1 ПДн – персональные данные
30