+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Под актуальными угрозами безопасности персональных данных понимается. Кратко о выборе сертифицированных сзи от нсд

Содержание

Техническая защита информации по требованиям ФСТЭК, меры по информационной безопасности ФСТЭК

Под актуальными угрозами безопасности персональных данных понимается. Кратко о выборе сертифицированных сзи от нсд

ГК «Интегрус» помогает реализовать требования защиты информации ФСТЭК с учетом последних реальных моделей угроз.

Сегодня информация является ценнейшим товаром, а множество массивов данных охраняются на законодательном уровне.

На рынке информационной безопасности представлено большое количество программных и аппаратно-программных средств защиты данных (СЗИ) – отечественного и зарубежного производства.

Вопросы в области технической защиты информации в России регулирует Федеральная служба по техническому и экспортному контролю (ФСТЭК). Служба определяет классы защиты информации, разрабатывает рекомендации и требования по защите данных от несанкционированного доступа, проводит сертификацию средств по обеспечению безопасности сведений в информационных системах.  

Ведется государственный реестр сертифицированных средств защиты информации ФСТЭК России за № РОСС RU.0001.01БИ00.

Также существует добровольная сертификация средств технической защиты информации, например, Certified by AM Test Lab, сертификатами которых отмечены такие продукты как Kaspersky Industrial CyberSecurity for Networks, Solar Dozor UBA, Indeed PAM, DLP-система СёрчИнформ КИБ и многие другие.

Требования ФСТЭК по защите информации

Документация государственного регулирования устанавливает минимальные требования защиты от несанкционированного доступа к данным. Для противодействия киберугрозам ФСТЭК регулярно обновляет базу уязвимостей, вносит новые рекомендации в аттестацию, сертификацию оборудования, программного обеспечения.

Выполнение требований регулятора по технической защите информации обязательно при:

  • оказании услуг информационной безопасности (ТЗКИ, СКЗИ);
  • проведении работ по обеспечению государственной и банковской тайн;
  • выполнении обязанностей оператора персональных данных (ПНд);
  • передаче информации посредством сети Интернет.

Требования ФСТЭК по технической защите информации распространяются на:

  • программное обеспечения и оборудование;
  • внешние носители;
  • средства связи и шифровки/дешифровки данных;
  • операционные системы;
  • прочие технические средства хранения, обработки, передачи сведений;
  • персональные данные;
  • специалистов по обеспечению информационной безопасности.

Так, в состав мер по защите персональных данных согласно требованиям ФСТЭК входят:

  • использование системы идентификации и аутентификации (авторизации) субъектов, имеющих доступ к ПНд, и объектов ПНд;
  • возможность ограничения и управления правами доступа к персональной информации;
  • физическая и программная защита носителей информации;
  • регистрация событий безопасности и ведение их журнала;
  • применение средств антивирусной защиты;
  • регулярный контроль защищенности ПНд;
  • обнаружение и предотвращение вторжений, несанкционированного доступа;
  • обеспечение доступности хранимых сведений, их и информационной системы, базы данных доступности;
  • соблюдение требований по защите среды виртуализации, технических средств, информационной системы (ИС), ее средств, каналов и линий связи и передачи данных.

Также требованиями ФСТЭК России по защите персональных данных предусмотрено наличие возможности управления конфигурацией ИС, своевременного выявления инцидентов, способных привести к сбоям в работе ИС, возникновению угроз безопасности ПНд.

Требования ФСТЭК к специалистам по защите информации включают в себя понимание:

  • основных законодательных и нормативных актов в области информационной безопасности и защиты персональных данных;
  • в области сертификации средств защиты информации;
  • о государственной системе противодействия иностранным техническим разведкам.

К профессиональным знаниям специалистов относится:

  • подготовка в части работы с каналами и линиями связи (предотвращение утечки информации);
  • ориентация в сфере комплексных СЗИ;
  • понимание основ методологии построения СЗИ;
  • умение работать со средствами контроля защищенности баз данных (БД) и т.д.

С полным перечнем требований к профессиональной подготовке специалистов в сфере защиты информации можно ознакомиться здесь.

Требования ФСТЭК по защите конфиденциальной информации направлены на исключение неправомерного доступа, копирования, передачи или распространения сведений. Для обеспечения требований по безопасности конфиденциальной информации проводится оценка возможных уязвимостей ИС для внешних и внутренних нарушителей, возможных средств реализации этих уязвимостей.

Меры по защите информации ФСТЭК

Меры защиты информации в информационных системах согласно требованиям ФСТЭК должны обеспечивать необходимый уровень безопасности при взаимодействии защищаемых ИС с другими ИС, при обработке и хранении информации. При этом предлагаемые на этапе проектирования меры должны быть реализуемы в конкретной ИС.

Методы и средства технической защиты информации подбираются с учетом структуры СЗИ, состава и мест размещения ее элементов. Если защищаемая ИС проектируется в составе центра обработки данных (ЦОД) рекомендуется использовать уже имеющиеся в ЦОД средства, меры защиты данных.

Выстраивание защиты в государственных информационных системах (ГИС) предполагает ряд нюансов:

  1. К работе допускаются только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации;
  2. Требования по охране данных и информации базируются на ряде ГОСТов.
  3. Структурирование классов защиты информации для государственных учреждений – жесткое (всего три класса из семи возможных, используемых в работе частных операторов персональных данных).
  4. Модели угроз основываются на документах и баз ФСТЭК.

Организационные мероприятия предотвращают неправомерные:

  • доступ, хищение и распространение закрытых данных;
  • уничтожение/изменение целостности данных;
  • препятствие получению информации, нарушающее права пользователей.
  • Важное значение имеет разработка пакета организационных и распорядительных документов для:
  • регламентации процесса безопасности хранения данных;
  • порядка выявления инцидентов безопасности;
  • регламентации управления конфигурированием информационных систем по защите данных;
  • установления методов мониторинга информсистем.

Существует регламентация разработки систем и введения их в эксплуатацию, разграничения уровней доступности, проведения проверок и анализ реакций, ответственных за организацию защиты специалистов. Лишь после проведения совокупности мероприятий информационная система аттестуется, вводясь в эксплуатацию.

Технические меры защиты обязывают госструктуры использовать сертифицированные средства, соответствующие классу защиты с функциями:

  • идентификации, аутентификации;
  • управления доступом к данным с возможностью контроля;
  • ограничений по использованию программ;
  • защиты всех информационных носителей;
  • ведение регистрационного учета инцидентов в сфере безопасности;
  • отслеживания вторжений извне;
  • обеспечения целостности находящейся на хранении и обрабатываемой информации;
  • защиты в облачной среде.

Для частных компаний это допустимо с более урезанным функционалом, используемым при обработке массива персональных данных.

Рекомендации ФСТЭК по защите информации

Методические рекомендации ФСТЭК по защите данных предусматривают использование:

  • межсетевых экранов, фильтрующих информацию по установленным критериям;
  • средств, направленных на обнаружение, нейтрализацию и анализ вторжений;
  • антивирусных программ, выявляющих, блокирующих и нейтрализующих несанкционированные действия;
  • доверенной загрузки;
  • контроля за съемными носителями.

ФСТЭК рекомендует использовать такие методы по защите информации как контроль доступа к носителям данных и ИС (физический, аппаратный, программный и т.д.), шифрование передаваемых сведений.

Методические документы и приказы ФСТЭК по защите информации

Существует огромный перечень подзаконных актов и документов, определяющих порядок организации информационной защиты и позволяющих эффективно применять разработанную систему информационной безопасности.

Так, положения о защите технической информации разрабатываются организациями самостоятельно. Отдельные положения выносятся местными органами власти.

ФСТЭК выпускает приказы, уточняющие требования в сфере защиты информации, например, Приказ ФСТЭК России от 23 марта 2017 г. N 49, от 15 февраля 2017 г. N 27 и т.д.

– полный перечень документов ФСТЭК по технической защите информации можно уточнить здесь. Детальнее:

Техническая защита информации затрагивает вопросы сбора, обработки, передачи, хранения, распространения информации с соответствующим классу защищенности обеспечением ее безопасности на предприятиях. Система документов по технической защите информации строится на основополагающих элементах:

  • федеральное законодательство;
  • распоряжения и указы Президента РФ;
  • постановления правительства РФ;
  • документация ФСБ, ФСТЭК, Роскомнадзора;
  • общероссийские стандарты;
  • документы руководящие, нормативно-методические.

Документы ФСТЭК по технической защите информации ложатся в основу проектирования и исполнения информсистем, защищенных от проникновения на любых уровнях. Вся документация размещается по мере обновления на официальном сайте и является обязательной к исполнению.

В нормативных руководящих документах ФСТЭК по защите информации содержатся принципы разноуровневой защиты по шкале важности сведений, степени конфиденциальности, предписаний по оценке защищенности от несанкционированных действий злоумышленников, регламенты работ для сотрудников сферы защиты данных.

Сертифицированные средства защиты ФСТЭК

Функции ФСТЭК в области сертификации средств защиты информации заключаются в:

  • создании системы сертификации средств защиты информации в соответствии с требованиям по обеспечению информационной безопасности;
  • формировании правил проведения сертификации средств защиты данных;
  • аккредитации органов по сертификации и испытательных лабораторий и разработке правил аккредитации;
  • выборе способов подтверждения соответствия СЗИ требования нормативных документов;
  • выдаче сертификатов и лицензий на использование знаков соответствия;
  • ведении государственного реестра участников сертификации и реестра сертифицированных средств защиты информации;
  • осуществлении государственного надзора над соблюдением участниками правил сертификации, инспекционного контроля – над сертифицированными средствами защиты;
  • рассмотрении апелляций по вопросам сертификации;
  • утверждении нормативных документов с требованиями к средствам и системам защиты информации, методических документов по проведению испытаний.

Также ФСТЭК исполняет функции центрального органа системы сертификации средств защиты информации (либо может делегировать их другой организации по необходимости). ФСТЭК может приостанавливать или отменять действие сертификатов.

Система сертификации средств защиты информации ФСТЭК включает в себя органы по сертификации (работающие с определенными видом продукции), испытательные лаборатории. В структуру системы сертификации ФСТЭК также входят заявители (предприятия, организации, компании) и центральный орган, в роли которой выступает сама ФСТЭК.

Классы средств защиты информации ФСТЭК

Регулятор выделил семь классов защищенности, где первый класс соответствует наивысшей степени защиты, а седьмой (для госструктур – третий) является низшей. Комплекс требований по защите средств вычислительной техники и автоматизированных систем формируют градацию классов.

Сертификаты соответствия ФСТЭК России на средства защиты информации подтверждают, что организация соответствует действующим нормативно-правовым актам РФ и имеет высокий уровень защищенности от кибер-угроз.

Выбор оптимального защитного средства зависит напрямую от класса системы.

В ситуациях значительного превышения стоимости программного обеспечения нужного класса допустимо, согласовав с территориальным органом ФСТЭК, устанавливать иные средства защиты.

Госреестр средств защиты информации ФСТЭК России

Государственный реестр сертифицированных средств защиты информации ФСТЭК постоянно обновляется, находясь в открытом доступе. В нем содержится информация об аккредитациях, сертификатах (в т.ч. двойного назначения), лицензиях, разрешениях. Программы и средства информационной защиты в обязательном порядке проходят обязательную регистрацию, с занесением в реестр и выдачей сертификата.

Лицензирование деятельности по технической защите информации ФСТЭК

Лицензия ФСТЭК на техническую защиту конфиденциальной информации включает средства информационной защиты, их установку и эксплуатацию. Выдача предприятию лицензии для работы с конфиденциальными сведениями и по оказанию телематических услуг означает корректную работу системы безопасности данных на основе рекомендаций, требований, положений и приказов ФСТЭК.

Отказ от получения допуска чреват жесткими проверками с возможной приостановкой работы, отзывом разрешительных документов и административным наказанием.

Виды лицензий, связанных с деятельностью:

  • по предотвращению утечек по различным каналам, бесконтрольного проникновения, видоизменения информации как в системах, так и помещениях, где они размещаются;
  • на услуги мониторинга информбезопасности, аттестации на соответствие требованиям защиты информации, проектирования систем информатизации в защищаемых помещениях, монтажа, отладки, проведению испытаний и ремонтных работ;
  • на разработку и производство средств безопасности;
  • на выстраивание мероприятий по сохранности гостайны.

При оформлении лицензии используются только некриптографические методы.

Срок оформления лицензии составляет 30 дней, хотя зачастую готовое разрешение удается получить только спустя два месяца. Действие лицензии бессрочное.

Источник: https://integrus.ru/blog/it-decisions/zashhita-informatsii-i-informatsionnaya-bezopasnost-fstek.html

Сзи от нсд

Под актуальными угрозами безопасности персональных данных понимается. Кратко о выборе сертифицированных сзи от нсд
Подробности 01.12.2008

Разработчик: ЗАО «Аладдин Р.Д.» 

Продукты линейки Secret Disk предназначены для защиты информации от несанкционированного доступа, копирования, повреждения, кражи или принудительного изъятия.

Решения Secret Disk обеспечивают защиту информации на логических дисках, отдельных жестких дисках, дисковых массивах (SAN, программных и аппаратных RAID-массивах), а также на съемных носителях (дискетах, Flash-дисках, CD, DVD, картах памяти).

Сертифицированные версии обеспечивают выполнение требований законодательства по защите персональных данных и конфиденциальной информации.

Назначение

  • Защита от несанкционированного доступа и утечки конфиденциальной информации, хранящейся и обрабатываемой на персональном компьютере или ноутбуке.
  • Защита информации на съёмных носителях.
  • Разграничение прав пользователей на доступ к защищенной информации с использованием надёжной двухфакторной аутентификации (владение электронным ключом и знание пароля).
  • Сокрытие наличия на персональном компьютере конфиденциальных данных.

Когда необходим Secret Disk 5?

  • При работе на ноутбуке. Утеря или кража ноутбука, несанкционированное использование посторонними лицами.
  • При работе на персональном компьютере в офисе. Несанкционированный доступ к данным по локальной сети или неправомерное использование посторонними лицами во время отсутствия пользователя на рабочем месте.
  • Когда компьютер передаётся на сервисное обслуживание. Несанкционированный доступ к данным во время проведения ремонтных и сервисных работ внутренней IT-службой или внешней сервисной компанией.
  • Если Вам необходимо защитить съёмные носители. Утеря или кража носителей влечёт за собой утрату конфиденциальных данных.
  • Если требуется предоставить системному администратору полный доступ к компьютеру. При установке нового ПО конфиденциальные данные должны быть защищены.

Ключевые преимущества Secret Disk 5

Безопасность
Современные алгоритмы шифрования и надёжная процедура подтверждения прав пользователя обеспечат защиту Ваших данных от множества угроз.

Шифрование данных
Secret Disk 5 обеспечивает защиту Ваших данных путём шифрования разделов на жёстких дисках, томов на динамических дисках, виртуальных дисков и съёмных носителей.

Защита системного раздела жёсткого диска
Данная функция доступна на подавляющем большинстве ноутбуков/персональных компьютеров. Для подтверждения возможности использования данной функции на конкретной модели ноутбука/ПК необходимо выполнить тестовую установку Secret Disk.

При наличии у компьютера режима UEFI BIOS, компьютер должен быть переведён из режима LEGACY в режим UEFI.

Перед установкой защиты системного раздела средствами Secret Disk на сенсорном планшете с архитектурой x86 необходимо убедиться в возможности подключения клавиатуры и токена одновременно, поскольку поддержка клавиатуры в UEFI реализована не у всех производителей.

Системный раздел жёсткого диска содержит данные, представляющие особый интерес для хакеров, конкурентов или инсайдеров. Например, в системном разделе хранятся учётные записи пользователей, логины и пароли к различным информационным ресурсам, электронная почта, лицензионная информация используемых программ и т.д.

Злоумышленники могут получить все эти данные, анализируя временные файлы ОС, файлы подкачки, файлы-журналы приложений, дампы памяти, а также образ, сохраняемый на диск при переходе системы в “спящий” режим.

Secret Disk 5, в отличие от многих конкурентов, позволяет защитить системный раздел, а также хранящуюся на нём информацию.

Загрузка операционной системы по предъявлению электронного ключа
Получив доступ к персональному компьютеру, злоумышленник или недобросовестный сотрудник может использовать его для получения доступа к закрытым ресурсам (например, к корпоративным серверам или платёжным данным пользователя).

Стандартные средства авторизации операционной системы Microsoft Windows не могут надёжно ограничить загрузку и работу в операционной системе. Использование электронных USB-ключей и смарт-карт для аутентификации пользователей до загрузки ОС гарантирует доступ к компьютеру только лицам, получившим такое право.

Secret Disk 5 предоставляет наиболее безопасную и надёжную на сегодняшний день процедуру подтверждения прав пользователя – двухфакторную аутентификацию – для доступа к данным необходимо не только наличие электронного ключа, но и знание пароля к нему.

Пофайловое шифрование
Новый режим шифрования, применяемый в Secret Disk 5, выводит этот продукт на принципиально новый уровень обеспечения безопасности пользовательских данных.

Зашифрованные файлы и папки с конфиденциальными данными пользователя будут недоступны системному администратору даже из параллельной сессии Windows, потому что Secret Disk 5 предоставит ключ шифрования только легитимному владельцу информации.

Создание и восстановление резервной копии файлов в зашифрованных папках может быть произведено системным администратором сети даже дистанционно, при этом данные будут оставаться зашифрованными и недоступными ни администратору, ни злоумышленникам.

Необратимое удаление данных
В Secret Disk 5 реализованы две функции безопасного удаления данных:

  • Необратимое удаление данных. Восстановить файл будет невозможно ни стандартными средствами Windows, ни сторонними приложениями.
  • перемещение файла без возможности восстановления по исходному пути. Позволяет перенести файл или папку, одновременно удалив этот файл или папку по исходному пути без возможности последующего восстановления.

Возможность использования сертифицированных криптопровайдеров
При установке дополнительных поставщиков криптографии (криптопровайдеров) Secret Disk 5 позволяется защищать данные в соответствии с требованиями ГОСТ 28147-89 “Системы обработки информации. Защита криптографическая”. Решение также может комплектоваться сертифицированным электронным ключом (USB-токеном или смарт-картой).

Надёжность
Решение устойчиво к возможным сбоям операционной системы или отключениям электропитания, что исключает возможность повреждения данных. Поддерживается резервное копирование и восстановление ключей шифрования в случае утери персонального электронного ключа.

Восстановление доступа к зашифрованным дискам
В случае утери или поломки USB-ключа или смарт-карты в Secret Disk 5 предусмотрена возможность резервного восстановления доступа к данным.

Защита от сбоев во время установки защиты
Процесс шифрования диска может быть приостановлен или даже прерван, например, из-за перебоев электропитания, однако это не повлечёт за собой потерю данных.

Приостановленный или прерванный процесс шифрования может быть возобновлён в любой удобный момент.

По завершении процесса шифрования всё содержимое диска становится зашифрованным, что обеспечивает надёжную криптографическую защиту хранящихся на нём данных.

Удобство
Установка Secret Disk 5 не потребует перенастройки Вашего ПО. Шифрование данных “на лету” и удобный пользовательский интерфейс сделают Вашу работу максимально комфортной.

Прозрачное шифрование
Операции начального зашифрования или полного перешифрования для современных дисков большого объёма могут потребовать значительного времени, что может создать определённые неудобства для пользователя.

В Secret Disk 5 все операции зашифрования, перешифрования и расшифрования проводятся в фоновом режиме. Во время выполнения этих операций диск полностью доступен для работы, что даёт возможность использовать компьютер, не дожидаясь окончания процесса шифрования.

Защищённые контейнеры
В новой версии Secret Disk появилась новейшая функция создания защищённых контейнеров, во многом сходных по структуре и способу доступа с виртуальными дисками, но имеющие кардинальное отличие: их можно монтировать на компьютерах, где не установлен Secret Disk. Для использования защищённых контейнеров на компьютерах без установленного Secret Disk 5 достаточно скачать программу SDR (Secret Disk Reader) и получить от отправителя контейнера пароль доступа.

Получатель контейнера может не только смонтировать его как виртуальный диск, но и редактировать файлы в контейнере, и даже добавлять в контейнер новые файлы, которые также будут автоматически зашифрованы.

Secret Disk Server NG: сертифицированная версия

Сертифицированная версия Secret Disk Server NG – комплекс защиты конфиденциальной информации и персональных данных на сервере от несанкционированного доступа, копирования, повреждения, кражи или неправомерного изъятия

  • Защита информации от несанкционированного доступа
  • Двухфакторная аутентификация администратора безопасности с помощью электронного ключа для доступа к настройкам сервера
  • Прозрачная работа для пользователя
  • Возможность использования сертифицированных криптопровайдеров
  • Соответствие требованиям ФЗ-152 РФ “О персональных данных”

Сертифицированная версия Secret Disk Server NG основана на версии Secret Disk Server NG 3.8 и может быть использована при создании и применении автоматизированных систем до класса защищённости 1Г, а также для защиты информации в ИСПДн до 1 класса включительно. Соответствует требованиям классификации СЗИ по 4-му уровню контроля НДВ.

Сертификат ФСТЭК России №3358 от 06 марта 2015 г. действителен до 6 марта 2021 г.

Назначение сертифицированной версии Secret Disk Server NG

Сертифицированная версия предназначена для защиты конфиденциальной информации и персональных данных в информационных системах органов государственной власти, государственных организаций и других предприятий. Secret Disk Server NG может быть использован как самостоятельное решение, а также как элемент комплексной системы для решения следующих задач:

  • защита конфиденциальных данных на серверах;
  • сокрытие наличия конфиденциальной информации на серверах;
  • обеспечение соответствия требованиям законодательства, в том числе 152-ФЗ РФ “О персональных данных”.

Особенности сертифицированной версии Secret Disk Server NG

  • Использование операционных систем Microsoft Server 2008 SP2/Server 2008 R2 SP1/Server 2012 32/64 бит.
  • Использование сертифицированных моделей электронных ключей (входят в комплект поставки).
  • Сертифицированная версия не содержит криптографических преобразований информации и реализует функции контроля доступа.

Secret Disk Enterprise

Secret Disk Enterprise – корпоративная система защиты информации с централизованным управлением

  • Защита данных сотрудников организации от несанкционированного доступа и утечки
  • Надёжная двухфакторная аутентификация для доступа к защищаемым данным
  • Высокопроизводительная масштабируемая архитектура
  • Централизованное управление и мониторинг
  • Поддержка отказоустойчивых конфигураций
  • Низкая стартовая стоимость приобретения
  • Быстрое внедрение
  • Поддержка клиентских операционных систем Microsoft Windows версий 7 SP1, 8, 8.1, 10

Источник: https://www.infotrust.ru/about/news/16-products/szi-ot-nsd

Базовая модель угроз безопасности ПДн

Под актуальными угрозами безопасности персональных данных понимается. Кратко о выборе сертифицированных сзи от нсд

Роскомнадзором разработаны Методические рекомендации по организационной защите физическим лицом своих персональных данных.

Одним из интересных разделов этих рекомендаций является Базовая модель угроз безопасности ПДн . Далее, привожу часть этих рекомендаций.

3. Базовая модель угроз безопасности персональных данных физического лица

Приведенная ниже Модель угроз содержит краткий перечень угроз безопасности персональных данных физического лица.

Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающих условия (предпосылки) для нарушения безопасности персональных данных, которое ведет к ущербу жизненно важных интересов личности, общества и государства.

3.1. Актуальные информационные угрозы физического лица

В отношении физических лиц наиболее вероятна угроза неправомерного доступа к их персональным данным для завладения личной информацией и дальнейшего использования в корыстных и прочих противоправных целях.

При возникновении угрозы со стороны постороннего физического лица или группы лиц целью, как правило, ставится нанесение финансового ущерба субъекту персональных данных. Заинтересованные лица могут манипулировать персональными данными с целью оказания давления на субъекта и принятие им выгодного нарушителю решения.

Иностранные спецслужбы и организации могут ставить целью дестабилизацию экономической, социальной и политической жизни региона или целого государства.

Угрозы данным, обрабатываемым в информационных системах, связаны:

  • с перехватом персональных данных по техническим каналам (с целью их копирования и/или неправомерного распространения и использования;
  • с несанкционированным, в том числе случайным, доступом в информационную систему (с целью изменения, копирования, неправомерного распространения или уничтожения данных).

Стоит отметить, что перехват данных по техническим каналам менее актуален для деятельности конкретного пользователя, поэтому в принятии личных мер безопасности стоит акцентироваться на преодолении угроз несанкционированного доступа.

3.2. Целевая информация и среда ее сбора

Цифровое присутствие неизбежно сосуществует с такими явлениями, как “цифровой след” и “цифровая тень”.

Цифровая тень – это информация, создаваемая о людях автоматически посредством деятельности и устройств третьих лиц, а цифровой след – данные, самостоятельно передаваемые субъектом в цифровую среду, такие, как электронные письма, регистрационные данные на сайтах социальных сетей, фотографии, геопозиции и т.п.

В отношении информации, размещаемой и размещенной в виртуальном пространстве, можно выделить два критерия классификации.

Первый – по характеристике персональных данных: цифровой след или тень, то есть своими активными действиями размещаемой информации, либо действиями третьих лиц и устройств.

Второй – по признаку среды: распространяемой по физическим каналам, по каналам телефонной связи или через Интернет.

Кроме того, персональные данные разделяются на содержательные данные и метаданные – “данные о данных”.

К содержательным данным, создаваемым человеком или устройствами, относятся текстовые, видео- и фото- сообщения, разговоры, передаваемые через Интернет файлы.

Метаданные создаются только электронными приборами: cookie-файлы в браузере, журналы входящих/исходящих звонков, геопозиционные метки в фотографиях при съемке, видео-, аудио- мониторинг и т.п.

Интернет заполнен множеством цифровых следов и теней, все из которых могут использоваться для анализа поведения пользователя и с помощью которых это поведение может корректироваться и направляться в нужное русло.

3.3. Определение актуальных угроз безопасности персональных данных

Угрозы с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного, доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение), целостности (уничтожение, изменение) и доступности (блокирование) персональных данных, и включают в себя:

  • угрозы утечки персональных данных с сервера оператора персональных данных. Один из самых актуальных типов угроз в цифровой среде обусловлен недостаточными законодательными мерами в отношении операторов персональных данных, способствующими не соблюдением необходимых мер по защите персональных данных. Угроза возникает при передаче персональных данных оператору, не заинтересованному в тщательной проработке мер защиты доступа к хранимым на его серверах персональным данным и допускающему (непреднамеренно или преднамеренно) утечки персональных данных;
  • угрозы доступа (проникновения) в операционную среду устройства с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения) подразделяются на:

1. Угрозы непосредственного доступа. Злоумышленник может получить доступ к устройству или ресурсу, содержащему персональные данные, оставленному без присмотра с недостаточной степенью защиты доступа;

2. Угрозы удаленного доступа. Злоумышленник может получить доступ к устройству или ресурсу с используемыми дефолтными (по умолчанию) данными для авторизации; либо осуществить то же самое посредством взлома нестойких систем защиты;

  • угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования, предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п. Такие угрозы могут возникнуть в случае использования нелицензионного или скомпрометированного аппаратного или программного обеспечения;
  • угрозы внедрения вредоносных программ (программно-математического воздействия). Такие угрозы наиболее распространены и могут возникать при посещении сомнительных ресурсов (к примеру, не имеющих подтвержденного сертификата или использующих для доступа незащищенные протоколы связи), установки нелицензионного или скомпрометированного программного обеспечения;
  • угрозы методами социальной инженерии. Данный вид угроз реализовывается злоумышленником целенаправленно в отношении пользователя и/или третьих лиц. Вероятность возникновения угрозы данного типа возрастает при публикации персональных данных в открытых источниках в цифровой среде, а также при несоблюдении достаточных мер по защите своих персональных данных.

Другие разделы методических рекомендаций Роскомнадзора:

  • Методы цифрового присутствия
  • Противодействие реализации актуальных информационных угроз

Источник: https://zen.yandex.ru/media/id/5b1fe8014bf161ea0168ce1f/5b9b850d0800b100aadec581

Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?

Под актуальными угрозами безопасности персональных данных понимается. Кратко о выборе сертифицированных сзи от нсд

15 мая 2013 года Минюст наконец-то зарегистрировал приказ ФСТЭК № 21 от 18 февраля 2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Почему же «долгожданный»? Да потому, что с момента выхода постановления Правительства РФ № 1119 (1 ноября 2012 года) любые вопросы по технической защите персональных данных оказались в неопределенно-подвешенном состоянии.

Получилось так: новым постановлением отменены старые классы информационных систем персональных данных (ИСПДн) и введено понятие «Уровни защищенности ИСПДн», но как и чем защищаться в каждом конкретном случае как раз и должен был нам рассказать новый приказ ФСТЭК, который мы ждали «каких-то» полгода.

Сразу после опубликования нового приказа по Интернету прокатилась волна восторженных отзывов о новом документе. Мол, это огромный шаг вперед в сфере законодательства по защите персональных данных.

В какой-то мере это действительно так (учитывая то, что предыдущие документы выходили сразу морально устаревшими и не учитывали многих нюансов функционирования современных информационных систем — мобильные платформы, виртуализация и тд), но, лично у меня к новому документу есть масса претензий. В этой статье я постараюсь простым языком проанализировать новый документ ФСТЭК России, взвесить его плюсы и минусы, а также постараться ответить на вопрос «что же теперь делать операторам персональных данных?».

Что из себя представляет документ в целом

В целом, это действительно шаг вперед в плане законотворчества в сфере защиты персональных данных. Наконец-то в списке мер мы увидели упоминание мобильных устройств и средств виртуализации, чего раньше законодатели тщательно старались избегать.

Наконец-то нет обязаловки как в прошлом приказе: «Если у тебя ИСПДн 1 класса, тебе нужно потратить n денег на средства защиты информации, если 2 класса, то n-m денег, а если 3 класса, то n-m-k денег.».

Сейчас ситуация такая: у нас есть 15 групп различных технических и организационных мер, в каждой группе от 2 до 20 различных мер, напротив каждой меры отмечено, является ли эта мера базовой (я буду их называть далее условно обязательными) для определенного уровня защищенности (если стоит плюс, то мера базовая, если нет — компенсирующая).

Тут нужно заметить, что в перечне есть немало мер, которые могут быть только компенсирующими, то есть не отмечены плюсом ни для одного из четырех уровней защищенности.

Оператор персональных данных действует по следующему алгоритму: — определяет уровень защищенности своей ИСПДн согласно ПП 1119; — выбирает все меры, которые отмечены плюсом для выбранного уровня защищенности (базовые меры); — убирает из полученного списка меры, которые связаны с технологиями, не используемыми в ИСПДн (например, убираем меры для защиты виртуальной инфраструктуры, если средства виртуализации не используются); — смотрит на полученный список мер и сравнивает с актуальными угрозами в модели угроз, если выбранными мерами нейтрализуются не все актуальные угрозы, добавляет в список компенсирующие меры, необходимые для нейтрализации всех оставшихся угроз; — добавляет к полученному списку меры, определенные в других нормативных актах (например в ПП № 1119 есть небольшое количестве мер, а также есть общие требования в ФЗ-152), после чего получает итоговый список мер, которые нужно выполнить; — выполняет меры из окончательного списка… Вроде бы все просто: определяем уровень защищенности, рисуем модель угроз, выбираем и уточняем меры из нового приказа ФСТЭК, выполняем эти меры и у нас комар носа не подточит. Но…

Ложка дегтя

Собственно здесь начинается критика как нового документа, так и остального законодательства в целом.

Проблемы у 21 приказа ФСТЭК в целом такие же как и у многих других законодательных документов — использование размытых формулировок, возможность двоякого толкования текста, отсутствие пояснений там, где они жизненно необходимы.

Понять как тщательно готовился документ и сколько раз его перечитывали и редактировали за эти полгода можно уже по тому факту, что после четвертого пункта в приказе сразу идет шестой… Ну ладно, это придирки, а что есть по существу?

Непонятки начинаются с классики жанра, которая тянется с незапамятных времен. Пункт 2 документа гласит, что для выполнения работ по защите ПДн могут привлекаться организации, имеющие лицензию на техническую защиту конфиденциальной информации (ТЗКИ).

Эта фраза кочует из документа в документ ФСТЭК уже давно, но что значит «могут» однозначного ответа так и нет. Естественно, ушлые интеграторы будут трактовать это как «могут привлекать сторонние организации, если сами не имеют лицензию на ТЗКИ». Формально, они будут правы, потому что если копнуть другие нормативные акты, выясняется, что под ТЗКИ попадает даже банальная установка антивируса, а в положении о лицензировании касаемо ТЗКИ нет оговорки о том, что лицензия не нужна если работы проводятся для личных нужд. Но операторы не любят выкидывать деньги на ветер и, к несчастью ушлых интеграторов, включают здравый смысл и трактуют это предложение как «могут привлекать, а могут и сами сделать». Это первое место, где не помешало бы более конкретно описать условия привлечения сторонних организаций.

Едем дальше. Пункт 3 говорит нам о том, что меры по обеспечению безопасности ПДн должны быть направлены на нейтрализацию актуальных угроз безопасности. С другой стороны ФЗ-152 говорит нам о том, что организационные и технические меры применяются для выполнения требований по защите ПДн. Так все-таки, есть у нас свобода или очередная обязаловка? Опять необходимо разъяснение.

Далее. Шестой пункт гласит о том, что раз в 3 года оператор самостоятельно или с привлечением сторонних организаций должен проводить оценку эффективности реализованных мер защиты ПДн. Тут получилось как с оценкой вреда субъекту персональных данных в 152-ФЗ. Получается, что оценку провести нужно, а какой-либо методики проведения такой оценки нет. А может быть оценка эффективности является заменой аттестации информационной системы? Тогда почему оператор может проводить ее самостоятельно, не имея лицензии на ТЗКИ? Десятый пункт документа на первый взгляд очень многообещающий, в нем сказано “При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных“.

Казалось бы, вот оно — ссылаемся на экономическую нецелесообразность и не покупаем никаких сертифицированных средств защиты. Ну тут же нас выводит из состояния эйфории следующий абзац: «В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных».

То есть вот как, просто сказать проверяющему «Мы тут с мужиками прикинули и решили, что внедрять сертифицированные СЗИ это слишком дорого и поставили бесплатный китайский антивирус» не получится. Нужно показывать какие-то бумажки, обосновывающие применение иных мер, а не базовых. Как обосновать? Мне пока на ум приходит только проведение процедуры анализа рисков по ISO 27001, что, в случае найма для этих целей сторонней организации, само по себе может влететь в копеечку. К тому же, еще не факт, что анализ рисков покажет, что внедрять сертифицированные СЗИ экономически нецелесообразно… Собственно тут мы и дошли до основной части документа — приложение с перечнем мер. Тут тоже не все так просто как хотелось бы. Вроде бы и меры разбиты на группы и удобно пронумерованы, вроде бы и удобные столбики с плюсиками показывают является ли в нашем случае та или иная мера условно обязательной или нет. Но, все равно, после изучения таблицы с мерами остается чувство неопределенности. Вот, например, пункт четвертый основного текста приказа уже не обязывает, вроде как, применять только сертифицированные СЗИ. Это хорошо. Но этот же пункт и не говорит прямым текстом, что можно применять несертифицированные СЗИ или не применять СЗИ вообще. Вот как он звучит дословно:

Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

В то же время, первая же мера, условно обязательная для всех уровней защищенности, звучит так: «Идентификация и аутентификация пользователей, являющихся работниками оператора». Понятно, что эта мера может быть реализована и штатными средствами любой ОС.

И вроде как четвертый пункт не обязывает применять тот же Secret Net или Dallas Lock, но где гарантия, что не придет проверяющий и не скажет «Вы все не так поняли, тут должно стоять сертифицированное СЗИ, вот вам предписание»? Кто и как определяет — для нейтрализации конкретной угрозы необходимо ли сертифицированное СЗИ или можно обойтись без него? Почему нельзя написать прямым текстом, что применение сертифицированных СЗИ не обязательно, или обязательно в каких-то конкретных случаях?

Ну и формулировка самих мер иногда очень интересна. Вот например условно-обязательная мера защиты сред виртуализации для уровней защищенности от третьего и выше:

«Разбиение виртуальной инфраструктуры на сегменты для обработки персональных данных отдельным пользователем и/или группой пользователей».

По какому принципу сегментировать-то? И в чем такая необходимость? Конечно, мы можем при уточнении или адаптации набора мер выкинуть эту меру из списка, но опять же, а если проверяющий скажет «Вы все не так поняли…»? Я очень надеюсь, что когда-нибудь представители ФСТЭК все же дадут официальные разъяснения по поводу спорных вопросов.

Вместо резюме

В общем и целом заметны попытки ФСТЭК дать большую свободу действия операторам при выборе стратегии защиты персональных данных, но размытости и неопределенности в формулировках в сочетании с неясностью позиции самого регулятора в спорных моментах, заставляют насторожиться.

Что же делать операторам сейчас? Тем, кто уже защитил свои ИСПДн по «старому стилю», немного подредактировать свою документацию, приведя ее в соответствие действующему законодательству. В любом случае, скорее всего, ваша система защиты в техническом плане будет соответствовать и новому документу, так как раньше требования были жестче.

Остальным — классифицировать свои ИСПДн, построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

  • персональные данные
  • ФСТЭК

Хабы:

  • Информационная безопасность

Источник: https://habr.com/post/180623/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.