Казалось бы, за четыре с лишним года с момента вступления в силу Федерального закона «О персональных данных» (ФЗ-152) были проанализирована и обговорена каждая строчка закона, постановлений правительства и документов государственных регуляторов. Тем не менее ожесточенные споры по практике правоприменения норм законодательства продолжаются, и в хоре голосов нередки весьма противоречивые и даже спекулятивные утверждения. Значительная часть споров касается необходимости сертификации СЗИ и программного обеспечения, используемых при защите персональных данных. Попробуем разобраться в этом вопросе.
Часть вторая статьи 19 ФЗ-152 определяет, что требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) устанавливает правительство Российской Федерации. Не сам закон, но и не уполномоченные органы государственной власти (регуляторы). В соответствии с этой нормой закона 17 ноября 2007 г., правительством было принято, в частности, постановление № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В самом положении черным по белому написано: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия» и «результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой ФСТЭК и ФСБ в пределах их полномочий».
Витиеватые законы
Чтобы понять, что такое оценка соответствия и экспертиза ее результатов, обратимся к другому закону – «О техническом регулировании». Он определяет, что оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.
В свою очередь, подтверждение соответствия может быть добровольным – в форме добровольной сертификации, или обязательным, в формах принятия декларации о соответствии или обязательной сертификации. Декларировать можно только соответствие требованиям технических регламентов, которых для средств защиты информации и технологий информационной безопасности нет, и, если строго следовать букве закона, быть не может.
Согласно законодательства РФ, при отсутствии технических регламентов в отношении продукции, используемой в целях защиты охраняемых сведений (а персональные данные граждан именно такой информацией и являются), обязательными являются требования, установленные федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки и т.п. Особенности же технического регулирования в части разработки и выработка этими органами обязательных требований устанавливаются президентом Российской Федерации и правительством Российской Федерации в соответствии с их полномочиями.
Эти особенности и были определены постановлением правительства от 15.05.2010 г. № 330. К сожалению, закрытым документом (с грифом ДСП). Рассмотрение истории, связанной с исполнением закрытых нормативно-правовых актов в условиях отсутствия закона о служебной тайне, выходит далеко за пределы данной статьи. Констатируем пока факт. Постановление витиевато, но все-таки достаточно конкретно определяет, что в случаях, на которые распространяется введенное в действие постановлением положение, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора), а объектом обязательной сертификации является продукция. Витиеватость же заключается в следующей формулировке: «Настоящее положение не распространяется на продукцию (работы, услуги), используемую в целях защиты информации конфиденциального характера, не являющейся государственным информационным ресурсом и (или) персональными данными, а также на связанные с ней процессы».
То есть на ИСПДн положение распространяется, а продукция, использование которой регулируется положением, — это средства защиты информации в ИСПДн. Про приложения, предназначенные для обработки персональных данных, и их сертификацию нигде ничего не говорится.
Порядок обязательной сертификации средств защиты информации (правда, только тех, которые предназначены для защиты государственной тайны) установлены еще одним постановлением правительства – от 26.06.1995 г. № 608. С тех пор утратил силу закон «О сертификации товаров и услуг», многое изменилось, но постановление – действующее, последнее изменение в него внесено в 2010 г.
Из всех этих сложных логических умозаключений следует достаточно простой вывод: все средства защиты информации в ИСПДн должны пройти процедуру обязательной сертификации во ФСТЭК или ФСБ (в зависимости от того, в чьем ведении такие средства находятся) по правилам, установленным для средств защиты государственной тайны.
Добавим к этому приказ ФСТЭК № 58 2010 г., который предусматривает еще и прохождение контроля отсутствия не декларированных возможностей программным обеспечением средств защиты информации, применяемых в информационных системах персональных данных 1 класса.
Такова реальность, нравится это кому-то или нет. Несогласные с установлением в приказе ФСТЭК обязательных требований могут попытаться оспорить его в суде. Не забывая про полномочия, установленные законом «О техническом регулировании», о которых написано выше.
И что же делать?
Ответ простой: строить систему защиты персональных данных в информационных системах, поскольку это прямая обязанность оператора, вытекающая из ФЗ-152 (ст.19 – оператор при обработке персональных данных обязан принимать необходимые технические меры для защиты персональных данных от неправомерных действий) и Трудового кодекса (ст.86 – защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств).
Как строить – вопрос весьма непростой. Ключевыми для выбора конкретных средств защиты являются два вопроса: классификация ИСПДн и модель угроз персональным данным. При этом уже в ходе классификации системы могут быть рассмотрены пути снижения стоимости системы защиты как связанные с изменением процессов обработки в организации, так и основанные только на использовании технических решений, не затрагивающих бизнес-процессы.
Но несколько общих правил и рекомендаций можно сформулировать практически для всех случаев.
Первой опасностью, подстерегающей проектировщиков подсистемы защиты ИСПДн, является «зоопарк» технических средств разных производителей – настоящее проклятие любого ИТ-директора. Угроз и механизмов их нейтрализации очень много, а большинство производителей нацелены на достаточно узкий спектр решений. Иным путем идет компания «Код безопасности», линейка продукции которой заточена под законченное решение, а не на группу конкретных угроз. В данном случае речь идет о защите персональных данных. Практически все необходимые методы и средства защиты, рекомендованные регуляторами, могут быть реализованы при использовании продуктов одной компании (см. таблицу), что избавляет от решения проблем совместимости, а также позволяет применять объединенные средства централизованного управления и мониторинга для наблюдения за событиями из «одного окна». Это позволит ИТ-специалистам не мучиться с отдельными пользовательскими интерфейсами администратора для каждого компонента защиты.
Как показала практика построения систем защиты ИСПДН, наиболее простым и эффективным способом снижения класса ИСПДн, а, следовательно, и затрат на ее защиту, является разделение системы на несколько подсистем и классификация каждой подсистемы как самостоятельной. Но использование этого метода требует обязательного наличия сертифицированных межсетевых экранов. И здесь на помощь придет распределенный межсетевой экран высокого класса защиты TrustAccess.
Незаменим он будет и при разделении доступа пользователей к системам различной степени конфиденциальности (например, серверам с общедоступной информацией, а также содержащим сведения, составляющие коммерческую тайну и относящиеся к персональным данным), при организации распределенного доступа к серверам приложений и используемым ими серверам баз данных, для аутентификации, фильтрации и защиты сетевых соединений.
Особую сложность представляет организация выполнения требований регуляторов при защите персональных данных в виртуальной среде. Связано это со сложностью самой инфраструктуры, появлением в ней принципиально новых возможностей атак, отсутствующих при работе с физическими серверами и рабочими станциями. Например, чего стоят суперпользователь в лице администратора виртуальной среды и суперпрограмма в виде гипервизора, а это далеко не все источники новых угроз. Также сложности могут возникнуть из-за крайне узкого выбора сертифицированных средств защиты для виртуальной среды. Применение распределенного межсетевого экрана TrustAccess в сочетании со специализированным средством предотвращения несанкционированного доступа для виртуальной среды vGate 2 позволит решить большинство проблем безопасности. Учитывая, что механизмы защиты TrustAccess не чувствительны к подмене MAC- и IP-адресов, его применение защитит от сетевых атак как со стороны внешних физических машин, так и со стороны виртуальных машин. В свою очередь, за счет использования меток конфиденциальности vGate 2 защитит информацию от утечек через специфические каналы среды виртуализации. При этом использование vGate обеспечит контроль виртуальных устройств, контроль доступа к элементам инфраструктуры и их целостность, доверенную загрузку виртуальных машин и блокирует доступ администратора виртуальной инфраструктуры к самим конфиденциальным данным на виртуальных машинах.
Для защиты от принципиально новых, не выявляемых традиционными средствами защиты угроз можно использовать средство имитации работы бизнес-приложений Honeypot Manager. И уж ни в одной ИСПДн нельзя обойтись без средств антивирусной защиты, обнаружения вторжений и персональных межсетевых экранов, которые объединены воедино в одном продукте компании «Код безопасности» — Security Studio Endpoint Protection.
Таким образом, выполнение кажущихся сложными и труднореализуемыми требований государственных регуляторов можно обеспечить, используя линейку продуктов одного производителя, причем все они сертифицированы как по функциональным требованиям, обеспечивающим возможность их применения в ИСПДн до класса К1 включительно, так и по четвертому уровню контроля отсутствия не декларируемых возможностей (НДВ 4).
Автор: Михаил Емельянников
Источник: cnews.ru