В этой статье мы продолжим рассмотрение процесса построения системы защиты персональных данных. В предыдущей статье мы остановились на определении Уровня защищенности персональных данных.
Следующим шагом является определение тех мер, которые необходимы для последующего построения системы защиты. Сегодня мы будем говорить о тех “промежуточных” документах, которые определяют те меры, которые мы должны реализовать в своей системе защиты персональных данных.
Приказ ФСТЭК №21
Наше рассмотрение мы начнем с приказа ФСТЭК №21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”. Стоит отметить, что несмотря на то, что этому документу уже много лет, он до сих пор является одним из основных документов в части построения системы защиты.
Документ определяет пятнадцать групп различных технических и организационных мер, в каждой группе от 2 до 20 различных мер, напротив каждой меры отмечено, является ли эта мера базовой (то есть, по сути обязательной) для определенного уровня защищенности (если стоит плюс, то мера базовая, если нет — компенсирующая). Базовая мера является обязательной к исполнению, в то время как компенсирующая направлена на нейтрализацию актуальных угроз безопасности и применяются при невозможности технической реализации отдельных выбранных мер по обеспечению безопасности. Тут нужно заметить, что в перечне есть немало мер, которые могут быть только компенсирующими, то есть не отмечены плюсом ни для одного из четырех уровней защищенности.
С учетом вышеизложенного, рассмотрим наш алгоритм построения системы ИБ. После определения уровня защищенности мы должны выбрать все меры, которые отмечены плюсом для выбранного уровня защищенности (базовые меры). Далее нам надо будет немного облегчить себе жизнь, убрав из полученного списка меры, которые связаны с технологиями, не используемыми в ИСПДн (например, меры для защиты виртуальной инфраструктуры, если средства виртуализации не используются). Затем смотрим на полученный список и сравниваем его с актуальными угрозами из модели угроз (да, ее тоже надо составлять). В случае, если выбранными мерами нейтрализуются не все актуальные угрозы, добавляем в список компенсирующие меры, необходимые для нейтрализации всех оставшихся угроз. Также к полученному списку необходимо добавить общие меры из Постановления Правительства №1119 и самого ФЗ №152.
Собственно, после этого можно приступать к построению системы защиты. Такой алгоритм наших действий. Но вернемся к приказу 21. Вот эти 15 групп мер:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.
Ниже представлен список мер для первой группы ИАФ:
Кратко посмотрим, что входит в каждую из этих групп.
Идентификация и аутентификация определяет меры по работе с идентификаторами, присваиваемыми субъектам. Группа Управление доступом субъектов доступа к объектам доступа определяет меры по управлению правами и привилегиями субъектов доступа, разграничение доступа на основе совокупности установленных правил разграничения доступа, а также обеспечение контроля за соблюдением этих правил.
Группа мер по ограничению программной среды определяет требования по установке и запуску только разрешенного к использованию программного обеспечения.
Меры по защите машинных носителей персональных данных определяют возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
Регистрация событий безопасности определяет необходимость сбора и хранения информации о событиях безопасности в информационной системе.
Классические меры по антивирусной защите определяют требования к защите от вредоносов.
Аналогично и группа мер по обнаружению/предотвращению вторжений определяет требования к обнаружению действий злоумышленников при попытках получения доступа к ресурсам информационной системы.
Группа мер по контролю защищенности персональных данных определяет контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
Меры по обеспечению целостности информационной системы определяют обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных.
Группа мер по доступности персональных данных определяют необходимость авторизованного доступа пользователей информационной системы.
Меры по защите среды виртуализации определяют необходимость защиты персональных данных в виртуальной инфраструктуре и контейнерах.
Группа мер по защите технических средств определяет требования по защите от несанкционированного доступа к стационарным техническим средствам, обрабатывающим персональные данные.
Набор мер по защите информационной системы, определяет защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами.
Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов. Этот набор мер может быть реализован как организационными, так и техническими средствами.
Группа мер по управлению конфигурацией информационной системы и системы защиты персональных данных определяет необходимость управления изменениями конфигурации информационной системы и системы защиты персональных данных.
В рамках этой статьи мы не будем рассматривать технические средства, которые удовлетворяют требованиям мер из каждой группы, так как этой теме будет посвящена следующая статья.
Приказ ФСБ России от 10 июля 2014г. N378
Как известно, ФСТЭК регулирует требования к защитным механизмам в системах ИБ, за исключением криптографии. Требования к криптографии у нас регламентирует ФСБ и в части персональных данных таким регламентирующим документом является приказ №378. Данный приказ определяет состав и содержание мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств криптографической защиты.
В зависимости от установленного уровня защищенности приказ определяет состав и содержание организационных и технических мер. Так, для 4 уровня защищенности выдвигаются требования к организации режима обеспечения безопасности помещений, в которых размещена информационная система, и криптографические средства защиты (СКЗИ), обеспечение сохранности носителей персональных данных и другие организационные и технические требования. Также выдвигаются требования к самим СКЗИ в зависимости от актуальности тех или иных угроз для ИСПДн.
Для более высоких уровней накладываются дополнительные требования, так например для первого уровня защищенности необходимо дополнительно оборудовать окна помещений, расположенные на первых и последних этажах зданий, а также окна помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, металлическими решетками или охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
Для используемых СКЗИ определены требования к используемому классу в зависимости от уровня защищенности и типа актуальных угроз. Определить соответствие классов СКЗИ можно с помощью следующей таблицы.
Заключение
В этой статье мы рассмотрели приказы ФСТЭК и ФСБ, касающиеся защиты персональных данных. По сути, у нас сейчас есть все требования, на основании которых мы можем начать строить нашу систему защиты. В следующей статье мы рассмотрим примеры тех решений, которые можно использовать для создания системы защиты персональных данных.
Напоследок хочу пригласить всех читателей на бесплатный вебинар: "Кто такой Data Protection Officer? Функции и Компетенции". На занятии вы узнаете кто такой DPO и какие функции он выполняет в компании.