Разработка и защита ИСПДн

Что такое ИСПДн

Согласно Федеральному закону от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» информационная система (ИС) - это объединение информации в базах данных и информационных технологий, с помощью которых она обрабатывается.

Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» (152-ФЗ) – дает определение персональным данным (ПДн) – это любые сведения, по которым можно установить человека.

Из приведенных терминов следует, что информационная система персональных данных (ИСПДн) это ИС, состоящая из персональных данных, которые записаны в базу данных и информационные ресурсы, с помощью которых они обрабатываются.

Например, в вашей организации используется «1С:Зарплата и управление персоналом». В этом случае в состав ИСПДн будет входить:

• Персональные данные. Это имена, фамилии, даты, почтовые адреса, сведения о зарплате сотрудников.
• Информационные технологии. К ним относятся серверы, компьютеры, сетевое и копировальное оборудование.
• Программные продукты. Это системы управления базами данных, которые содержат ПДн, операционные системы, прикладное ПО.
• Средства защиты информации (СЗИ). К ним относятся специализированный софт и программно-аппаратные средства, предназначенные для защиты от актуальных угроз (антивирусы, средства криптозащиты, межсетевые экраны и другое ПО).

Типы ИСПДн

Классификация рекомендована методическим документом ФСТЭК. Для оценки уровня защищенности ИСПДн относят к базовой группе:

По территориальному размещению

Выделяют распределённые системы, городские, корпоративные, кампусные и локальные.

По наличию выхода в интернет

Есть информационные системы с одним выходом, несколькими выходами или без выхода в интернет (доступ ограничен или присутствует закрытая корпоративная сеть).

По операциям с данными, которые доступны пользователям

Могут быть системы, в которых возможен только просмотр и поиск информации, или системы, в которых допускаются различные операции с данными, например ввод, удаление, сортировка.

По разграничению доступа к персональным данным

Доступ может быть предоставлен субъекту ПДн, определённым или всем пользователям оператора.

По степени обезличивания данных

Пользователям доступна информация, которая не подлежит идентификации с человеком. Однако внутри информационной системы данные сохраняются в персонализированной форме, что делает их персональными.

Категории ПДн

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн» (Постановление 1119) классифицирует ИСПДн по видам персональных данных, которые подвергаются обработке:

Общедоступные

Доступ к таким персональнымданным может получить неограниченный круг лиц. Они содержатся в открытых источниках, например, социальных сетях, интернет-сайтах, радио и телевидении, пресс-релизах. Это имя, фамилия, отчество, возраст, место рождения, учебы, проживания, образование, привязки к датам, контакты, сведения о семье.

Биометрические

Это физиологические параметры, которые используются для идентификации, например, фото, видео, отпечатки пальцев.

Специальные

К этой группе относятся данные о здоровье, гендере, расе, отношению к религии, политические взгляды и т.д.

Иные

К этой категории относятся ПДн, которые не относятся ни к одной из перечисленных групп.

В соответствии с категорией персональных данных формируются условия их обработки и безопасности.

Требования к защите ПДн, обрабатываемых в ИСПДн

Их устанавливает Постановление 1119, разделы которого включают:

• Общие положения. Включает обязанность оператора по защите ПДн, условия выбора СЗИ.
• Классификацию ИСПДн по типу обрабатываемых ПДн.
• Классификацию и формулировку типов угроз.
• Необходимость присвоения уровня защищенности (УЗ).
• Требования к защите ПДн согласно присвоенного УЗ.
• Обязанность и сроки проведения проверки выполнением норм безопасности ИСПДн.

Угрозы ИСПДн

Текущие угрозы защите персональных данных – это факторы, формирующие опасность несанкционированного доступа к личным сведениям при их обработке в ИСПДн. Даже случайный доступ может привести к различным противоправным последствиям: от распространения и копирования до блокирования, модификации или полного уничтожения личной информации.

Определение типа актуальных угроз

Постановление 1119 выделяет 3 типа актуальных угроз. Они связаны с недокументированными возможностями (НДВ) в ИСПДн:

• 1-го типа – связаны с НДВ в системном ПО;
• 2-го типа – связаны с НДВ в прикладном ПО;
• 3-го типа – не связаны с НДВ в системном и прикладном ПО.

На основе существующих рисков разрабатывается комплекс мер по защите информации. Разработка осуществляется на основе предварительно составленной модели угроз, которая выявляет и классифицирует потенциальные риски для ПДн.

Модель угроз

При разработке используются:

• базовые и типовые модели угроз, разрабатываемые ФСТЭК;
• методика ФСБ в части криптозащиты;
• базы данных угроз безопасности ФСТЭК.

Модель угроз по ФСТЭК должна включать три раздела:

• Выявление потенциальных объектов воздействия.
• Идентификация неблагоприятных последствий.
• Оценка уязвимостей для проведения атак и реализации угроз.

Уровни защищенности ИСПДн

Определяется в соответствии с Постановлением 1119. Для разработки акта определения уровня защищенности (УЗ) персональных данных в информационной системе, необходимо установить:

• тип актуальных угроз безопасности ПДн;
• категории ПДн;
• количество обрабатываемых ПДн - больше или меньше 100 000;
• являются или не являются субъекты ПДн сотрудниками оператора.

Разработка ИСПДн

Этапы разработки включают:

Обследование ИСПДн

Осуществляется с целью сбора сведений об объектах защиты ИСПДн, в том числе:

• о составе, размещении, характеристиках комплекса технических средств (серверов, АРМ-ов, другого оборудования);
• физической и логической организации сетевой инфраструктуры;
• сведения о программном обеспечении;
• о порядке обработки информации;
• об участии персонала в работе с ПДн.

Разработка технической документации

1. Определения класса защищенности. Устанавливается исходя из масштаба информационной системы, видов обрабатываемой информации, уровня значимости информации.
2. Определение УЗ ПДн. Устанавливается принадлежность ПДн оператору, их количество, категории, тип актуальных угроз безопасности.
3. Разработка модели угроз на основании перечня угроз, модели нарушителя.
4. Разработка технического задания на создание СЗПДн. Документ устанавливает назначение системы, спецификации для аппаратного и программного обеспечения, регламентирует последовательность создания и внедрения СЗПДн.

Сегментирование ИСПДн

Категорирование ИСПДн может определить принадлежность к классам, которые будут требовать больших финансовые вложений для построения СЗПДн. Значительно снизить обязательные требования к информационной системе и, соответственно, затраты на защиту позволит сегментирование. Это разграничении сетевой инфраструктуры на отдельные участки, что позволит смягчить требования к защите и упростить процедуры обеспечения безопасности ПДн.

Сегментацию можно провести, применив физическое разделение на подсистемы или с помощью межсетевых экранов. Реализация обоих методов требует закупки дополнительных серверов, программного обеспечения и влечет увеличение расходов на техническую поддержку разделенной информационной системы.

При этом класс защищенности будет определяться по более высокому классу компонентов ИСПДн, что не всегда понизит требования. Оптимальным решением является разделение информационной системы на минимально связанные компоненты. Например, можно отделить подсистему кадрового учета и расчета заработной платы от бухгалтерского учета с обменом между ними обезличенными данными.

Система защиты ИСПДн

Обеспечение защиты ПДн в информационной системе - обязательное условие процесса создания этих систем. Результатом должно стать создание СЗПДн.

Создание технического проекта

Формируется инженерная документация по комплексу мер защиты для ИСПДн в соответствии с действующими законодательными актами в сфере обеспечения защиты информации и требованиями регуляторов.

Оснащение средствами защиты

Включает установку специализированного оборудования и ПО, выполняющего следующие функции:

• Аутентификацию пользователей, настройку прав доступа, логирование пользовательских операций с различными типами ПДн. Это обеспечивается специальными программными или аппаратно-программными комплексы защиты, не входящие в ядро ОС, баз данных, прикладного ПО.
• Мониторинг утечки информации за пределы ИСПДн, в том числе отправку через электронную почту, мессенджеры или копирование на портативные устройства хранения. Для этого применяют комплексы DLP и SIEM, криптографическая защита информации.
• Защиту ИСПДн от внешних угроз. Это достигается установкой антивирусного ПО, внедрением механизмов противодействия кибератакам, применением электронной подписи, шифрованием исходящего трафика.

Выбранные СЗИ должны быть совместимы с техническими компонентами и программным обеспечением, чтобы обеспечить правильную работу всей информационной системы.

Разработка рабочей документации

Она должна включать:

• состав комплекса технических средств СЗИ;
• состав, места установки, параметры и порядок настройки СЗИ, технических и программных средств;
• правила эксплуатации СЗИ.

Необходимая документация

Все операторы ПДн обязаны соблюдать требования 152-ФЗ и иметь утвержденные документы по обработке и защите ПДн. Примерный перечень проектов организационно-распорядительных документов:

• Политика информационной безопасности.
• Положения об обработке и защите ПДн.
• Должностные инструкции ответственных за информационную безопасность и обработку ПДн.
• Регламенты и инструкции:
  - о порядке работы с носителями информации;
  - о порядке резервирования и восстановления СЗИ;
  - по обеспечению защиты информации пользователя, администратора;
  - администрирования учетных записей пользователей.
• Журналы учёта.

На этапе создания СЗПДн составляется:

• отчет об обследовании;
• модель угроз;
• акт определения УЗ ПДн;
• техническое задание на проект СЗПДн.

На этапе оценки эффективности мер по защите ПДн:

• технический паспорт на информационную систему;
• программа и методика оценки;
• протокол оценки;
• заключение по результатам оценки;
• аттестат соответствия, выданный лицензиатом ФСТЭК;
• приказ о вводе в эксплуатацию ИСПДн.

Контроль и надзор в сфере ИСПДн

Операторы ПДн обязаны до ввода ИСПДн в эксплуатацию провести оценку эффективности информационной безопасности. Она проводится в виде аттестации:

• Для государственных информационных систем персональных данных и ИСПДн, передающих в них информацию – обязательно.
• Для остальных ИСПДн – по решению руководства.

Полученный аттестат становится дополнительным доказательством для проверяющих о соответствии уровня защищенности установленным требованиям.

Регулирующие органы в области защиты персональных данных, который в рамках своей компетенции осуществляют аудит законности обработки ПДн:

Проверки осуществляется в отношении всех операторов ПДн. Периодический контроль ИСПДн проводится в зависимости от категории риска оператора персональных данных. Поводом для внеплановых проверок является поступление в контролирующий орган обращений о нарушениях.

Примеры ИСПДн

Информационная система персональных данных наглядно представлена системами учета кадров и бухгалтерии, обрабатывающими информацию о персонале компании. Такая система содержит базу данных с личной информацией как работающих, так и бывших сотрудников. Она включает весь комплекс инструментов для работы с этими сведениями: АРМы, серверное оборудование, программные продукты и механизмы информационной безопасности.

Пример ГИС, являющейся ИСПДн – региональные ГИС в сфере образования. Они включают данные о педагогических кадрах, контингенте учащихся и будущих учеников, электронные дневники с отметками. В данную систему будет входить защищенная сеть и все технические, защитные, программные средства, работающие в защищенной сети.

Преимущества обращения в УЦ ПРОФИ

Безопасность персональных данных напрямую зависит от квалификации и технических навыков специалиста, который определяет методы защиты.

Наша компания – лицензиат ФСТЭК и ФСБ, предоставляет все услуги по созданию надежных систем защиты ИСПДн и их аттестации в соответствии с актуальными требованиями законодательства.

Мы осуществляем всесторонний анализ существующей инфраструктуры клиента, чтобы определить оптимальный комплекс защитных мер для каждой системы и гарантировать безопасность ИСПДн на самом высоком уровне.