Yazov_ITKS
.pdfкатегории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Помимо этого необходимо выполнение следующих требований:
автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, ли-
бо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Второй уровень защищенности персональных дан-
ных устанавливается при наличии хотя бы одного из следующих условий:
а) для ИСПДн актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
391
в) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Помимо этого необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Третий уровень защищенности персональных дан-
ных устанавливается при наличии хотя бы одного из следующих условий:
а) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает иные категории пер-
392
сональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
г) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
д) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Четвертый уровень защищенности персональных данных при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий:
а) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Помимо этого необходимо, чтобы было назначено должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе.
393
Для обеспечения 4-го уровня защищенности персо-
нальных данных необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей; г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации акту-
альных угроз.
Нормативный правовой акт [18] определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн. При этом в нем отмечено, что меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с [23] и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.
В состав этих мер должны входить:
меры идентификации и аутентификации субъектов доступа и объектов доступа, которые должны обеспечивать присвоение субъектам и объектам доступа уникально-
394
го признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности);
меры управления доступом субъектов доступа к объектам доступа, которые должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил;
меры ограничения программной среды, которые должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения;
меры защиты машинных носителей информации,
на которых хранятся и (или) обрабатываются персональные данные. Эти меры должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных;
меры регистрации событий безопасности, которые должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них;
меры антивирусной защиты, которые должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной ин-
395
формации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации;
меры обнаружения (предотвращения) вторжений,
которые должны обеспечивать обнаружение действий в ИСПДн, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия;
меры контроля (анализа) защищенности персо-
нальных данных, которые должны обеспечивать проверку уровня защищенности персональных данных в ИСПДн путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных;
меры обеспечения целостности информационной системы и персональных данных, которые должны обеспе-
чивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных;
меры обеспечения доступности персональных дан-
ных, которые должны обеспечивать авторизованный доступ пользователей к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования ИСПДн;
396
меры защита среды виртуализации, которые долж-
ны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям;
меры защиты технических средств, которые долж-
ны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей;
меры защиты ИСПДн, ее средств, систем связи и передачи данных, которые должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационнотелекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных;
397
меры, направленные на выявление инцидентов (од-
ного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности персональных данных, и реагирование на них. Эти меры должны обеспечивать обнаружение, идентификацию, анализ инцидентов в ИСПДн, а также принятие мер по устранению и предупреждению инцидентов;
меры по управлению конфигурацией ИСПДн и си-
стемы защиты персональных данных, которые должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.
В этом нормативном правовом акте, так же как и в акте [19], наряду с требованиями к мерам и средствам защиты, указываются требования к порядку их выбора, который примерно соответствуют рис. 4.9.
4.5.Требования международных стандартов ИСО/МЭК
иособенности их реализации в информационнотелекоммуникационных системах
Ситуация на рынке информационных технологий, информационных систем и средств вычислительной техники сегодня сложилась так, что практически 90% их является разработками иностранных фирм. При этом программные продукты, включая средства и системы защиты информации, соответствуют требованиям законодательств иностранных государств. Отказ от использования этой продукции по причине недоверия нанес бы значительный ущерб экономике страны, ее промышленности, финансо-
398
вой сфере и т.д. из-за отставания развития отечественных информационных технологий от мирового уровня. Решение проблемы возможно тремя путями:
1)признанием зарубежных стандартов и сертификатов внутри страны;
2)разработкой своих стандартов, гармонизированных с международными стандартами;
3)обеспечением требуемого уровня доверия к средствам и системам защиты за счет должной модификации действующих отечественных стандартов.
В зависимости от области применения информационных технологий приемлем тот или иной из указанных путей. Разработка таких путей применительно к области обеспечения информационной безопасности информационных сетей и средств началась еще в начале 90-х годов. В мае 1998 г. специалистами и организациями целого ряда стран (США, Канады, Великобритании, Германии, Нидерландов, и Франции) разработан и в 1999 г. принят Международным комитетом по стандартизации в качестве международного стандарта ISO/ IEC 15408-99 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии», версия 2.1 [17]. В 2008 г. вышла еще одна версия этого стандарта. Следует подчеркнуть, что в этом стандарте сформирована идеология построения всего множества международных стандартов, принятых в России
вкачестве национальных стандартов в виде аутентичных переводов (см. рис. 4.4).
Поэтому ниже основное внимание уделено национальному стандарту ИСО/ МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», который в русскоязычной литературе получил краткое наименование «Общие критерии» (ОК).
399
ОК представляют собой метастандарт, который содержит каталог требований, спектр которых весьма велик, что обеспечивает в определенной мере универсальность стандарта. При этом вводятся два вида требований:
функциональные, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.
Требования предъявляются к объекту оценки, под которым понимается аппаратно-программный продукт или информационная система с соответствующей документацией. При этом информационная система рассматривается как специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации, а продукт – это совокупность средств информационных технологий, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы (далее ИТ-продукт). В качестве собирательного термина для систем и продуктов применяется словосочетание «изделие информационных технологий».
Объект оценки рассматривается в определенном контексте – среде безопасности, в которую включается все, что имеет отношение к его безопасности (законы и нормативные акты, положения политик безопасности, физическая среда и меры физической защиты, персонал и его опыт и знания, принятые эксплуатационные и иные процедуры, предназначение объекта оценки и предполагаемые области его применения, активы, то есть ресурсы, которые нуждаются в защите и др.). Здесь под политикой безопасности понимается совокупность документированных правил, процедур, практических приемов или руководящих
400