Проблемы и решения по защите персональных данных в информационных системах персональных данных

В докладе рассмотрены некоторые проблемные вопросы и возможные пути решения, касающиеся внедрения механизмов защиты в информационных системах персональных данных (ИСПДн).

А.С.МАРКОВ, Б.М.СУХИНИН

ЗАО "НПО "Эшелон", mail@npo-echelon.ru

Введение

С вступлением в силу Федерального закона  РФ 2006 г. N 152-ФЗ "О персональных данных"  миллионы информационных систем, касающихся сбора, хранения, обработки или передачи идентификационных данных физических лиц, стали подлежать модернизации в строгом соответствии с совершенно новыми требованиями к концу текущего года!

Эти требования в настоящее время сформулированы в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (см. Постановление Правительства РФ 2007 г. N 781), совместном Приказе ФСТЭК России, ФСБ России, Мининформсвязи России 2008 г. N 55/86/20, а также в методических документах ФСТЭК России и ФСБ России. В чем особенность требований? Во-первых, требования к системам стали обязательными для любых организаций, независимо от формы собственности. Во-вторых, требования в ряде случаев более жесткие, чем ранее практикуемые при защите конфиденциальной информации. В-третьих, требования сформулированы для новых сервисов, средств и мер защиты ресурсов информационных систем. И последнее, нормативно-методические документы только начали практическую апробацию [1,2,3].

В докладе рассмотрены некоторые проблемные вопросы и возможные пути решения, касающиеся внедрения механизмов защиты в информационных системах персональных данных (ИСПДн).

Проблемные вопросы защиты персональных данных

Обеспечение безопасности персональных данных (ПДн) связано с целым рядом организационно-технических проблем.

Во-первых, поскольку ПДн (на основании Указа Президента РФ 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера») относятся к категории конфиденциальной информации, для осуществления мероприятий по их защите необходимо получение лицензии ФСТЭК России на деятельность в области технической защиты конфиденциальной информации. Это же требование содержится в «Основных мероприятиях…» ФСТЭК России для операторов информационных систем 1, 2 классов и распределенных систем 3 класса, к которым и относится большинство организаций. При использовании средств криптографической защиты информации также необходимо наличие лицензий ФСБ России. При этом получение указанных лицензий требует от организации наличия высококвалифицированного персонала, специального оборудования и помещений, что часто является непомерной дополнительной нагрузкой для малых предприятий, особенно в условиях финансового кризиса [2].

Второй проблемой являются беспрецедентно высокие требования, предъявляемые к системе защиты. Так, например, уровень защиты для ИСПДн 1 класса соответствует уровню защиты государственной тайны. В частности, обязательным является обеспечение защиты информации от утечек за счет электромагнитных излучений и наводок от средств вычислительной техники и линий связи. При этом следует учитывать, что к 1 классу относятся системы многих крупных организаций, в которых обрабатывается большое количество информации, а также системы, в которых обрабатываются специальные категории ПДн. Сами документы ФСТЭК России, в которых сформулированы требования, носят пометку «для служебного пользования» и не доступны для свободного ознакомления. Рассылка документов осуществляется по письменному запросу операторам ПДн и лицензиатам ФСТЭК России.

Средства защиты информации, применяемые для обеспечения безопасности ПДн, должны быть сертифицированы по требованиям безопасности информации [1]. Поскольку требования по защите ПДн появились относительно недавно, на рынке практически отсутствуют подобные средства, либо обеспечиваемый ими функционал не достаточен для применения в ИСПДн высоких классов. Так, например, сертифицированные средства защиты для СУБД с открытым исходным кодом MySQL попросту отсутствуют, а сертифицированная по требованиям безопасности информации версия ОС Microsoft Windows XP может применяться только в информационных системах до 2 класса включительно; отдельно стоит вопрос защиты 64-разрядных операционных систем и операционных систем семейств Unix и Linux. Кроме того, существующие сертифицированные средства защиты, соответствующие всем требованиям, зачастую не рассчитаны на применение в современных сложных гетерогенных информационных системах, и их использование в ряде случаев не представляется возможным по чисто техническим причинам. Например, система защиты Secret Net требует использования дополнительных аппаратных компонент, установка которых в blade-серверы невозможна.

Более того, программное обеспечение, используемое для обработки ПДн, должно пройти проверку на отсутствие недекларированных возможностей (НДВ). Такая проверка требует предоставления исходных кодов программного продукта, к чему готовы далеко не все, особенно зарубежные, производители ПО [1].

До начала обработки информации соответствие систем защиты для ИСПДн 1, 2 и 3 классов предъявленным требованиям должно быть подтверждено в процессе аттестации по требованиям безопасности информации. Ранее подобная процедура являлась обязательной только для государственных систем. При этом аттестат выдается на 3 года, а внесение любых изменений в состав аттестованной системы (даже установка дополнительного программного обеспечения или перемещение компьютера из одного помещения в другое) может лишить аттестат силы и требует согласования с органом по аттестации.

Наконец, законом установлен предельный срок, до которого все существующие информационные системы должны быть приведены в соответствие предъявленным требованиям – 1 января 2010 года. Присутствующие на рынке компании, специализирующиеся на обеспечении технической защиты информации и имеющие соответствующие лицензии, попросту не способны справиться с появившимся объемом работ, а система лицензирования не готова к появлению огромного числа новых лицензиатов из числа операторов ПДн.

Возможные организационно-технические решения

Несмотря на обилие проблем, на самом деле ситуация не является безвыходной. Существует ряд подходов, позволяющих обеспечить защиту ПДн в соответствии с предъявленными требованиями ценой разумных затрат.

В первую очередь, снизить затраты на построение системы защиты можно путем выбора архитектуры самой информационной системы на этапе ее проектирования. Например, разделение крупной федеральной ИСПДн на несколько территориальных позволяет сократить количество обрабатываемых в каждой системе персональных данных и понизить их класс, а использование условных идентификаторов часто позволяет обезличить обрабатываемые данные.

Особую привлекательность с точки зрения архитектуры построения систем приобретает технология терминального доступа, при которой вся обработка данных осуществляется на сервере, а рабочие станции используются только для отображения информации и получения данных от пользователя. При правильном использовании подобный подход позволяет снизить класс конечных рабочих станций до третьего и значительно сэкономить на средствах защиты и аттестации по требованиям безопасности. Кроме того, сокращаются затраты на управление информационной инфраструктурой и закупки средств вычислительной техники за счет централизации системы и снижения требований к аппаратным характеристикам компьютеров пользователей.

При проектировании новых систем изначальное применение программного обеспечения со встроенными сертифицированными средствами защиты, прошедшего сертификацию по требованиям безопасности информации и проверку на отсутствие недекларированных возможностей, позволяет в дальнейшем сэкономить на закупке средств защиты и обучении персонала. Кроме того, в ряде особых случаев возможно использование ПО, не прошедшего проверку на отсутствие НДВ, по согласованию со ФСТЭК России.

Также следует определиться с тем, кто будет обеспечивать безопасность ПДн. Для крупных организаций, имеющих собственную службу безопасности и набор необходимых лицензий, предпочтительным будет самостоятельное построение и сопровождение системы защиты информации. В то же время, для большинства мелких и средних компаний оптимальным вариантом является заключение договора со сторонними специализированными организациями на разработку и внедрение системы защиты и последующий аутсорсинг обеспечения информационной безопасности. Такой подход позволяет как сократить расходы на обучение и содержание штатного персонала, так и переложить большинство рисков, связанных с безопасностью информации.

При формировании требований к системе защиты следует исходить из того, что практически любая система является специальной: кроме конфиденциальности в большинстве случаев необходимо обеспечить целостность данных и их доступность. Для специальных систем требования по защите не являются жесткими и определяются на основании частной модели угроз. С одной стороны, такой подход требует высокой квалификации разработчика и накладывает на него дополнительную ответственность за полноту и актуальность модели. С другой стороны, модель угроз позволяет значительно снизить требования по сравнению с типовыми системами за счет отсеивания неактуальных угроз. При этом необходимо отметить, что построение защиты на основе модели угроз является принципиально новым для российского государственного регулирования в области технической защиты информации. Несомненно, ранее существовали модели нарушителя или модели иностранных технических разведок, но они использовались исключительно для выработки четких нормативных требований к защите, которые находили свое отражение в соответствующих документах уполномоченных органов. Теперь же такой подход может быть применен любым оператором ПДн при построении защиты конкретной системы с учетом ее специфики.

Заключение

В заключении следует указать, что организация защите ИСПДн происходит в весьма жесткие сроки и требует анализа и выполнения новых требований, предъявляемых к мерам, сервисам и средствам защиты информации. Решение проблемы защиты персональных данных кроется в тесном взаимодействии операторов персональных данных, производителей программного обеспечения и средств защиты информации, организаций, специализирующихся на защите информации, и государственных органов на всех этапах жизненного цикла информационных систем.

Список литературы

1. Марков А.С., Никулин М.Ю., Цирлов В.Л. Сертификация средств защиты персональных данных: революция или эволюция? - «Защита информации. Инсайд». - 2008.- №5.
2. Сухинин Б.М. Проблемные вопросы защиты персональных данных – Тез.докладов XI Международной конференции РусКрипто'2009. – Москва, 2-5 апреля 2009 г.
3. Левиев Д.О. Практический опыт защиты персональных данных в кредитно-финансовых организациях – Тез.докладов V Международной специализированная выставка-конференция Infosecurity Russia 2008, - Москва, 7–9 октября 2008 г.