Средства защиты каналов при передаче пдн

Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий).

Cisco ASA 5500 предназначен для решения сразу нескольких задач – разграничения доступа к сетевым ресурсам, защиты от атак, защиты взаимодействия с удаленными территориями, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа «фишинг». Это достигается за счет объединения в одном устройстве лучших защитных средств – межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator.

Помимо описанных выше программно-технических средств защиты компания «Инфосистемы Джет» широко использует продукты других ведущих производителей на рынке информационной безопасности. К ним, в частности, относятся Oracle, Aladdin, Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят активную позицию по соответствию требований регуляторов и сертификации своих продуктов с целью их применения в решениях по защите персональных данных.

Требования к средствам защиты ПДн

Для реализации перечисленных подсистем, общая структура СЗПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации.

В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации10.

Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ.

К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Изменение условий применения средств защиты информации (происходящие, например, в ходе модернизации ИСПДн), предусмотренных указанными правилами, согласовывается с ФСТЭК и ФСБ.

Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.

Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
Все сертифицированные ФСТЭК средства защиты представлены на сайте ФСТЭК (http://www.fstec.ru/) в разделе «Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации» (http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр сертифицированных средств защиты информации».

Этапы создания СЗПДн

Рекомендуются следующие этапы создания систем защиты персональных данных:

· предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание;

· стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн;

· стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации.

Предпроекное обследование

На этапе предпроектного обследования рекомендуются следующие мероприятия:

· устанавливается необходимость обработки данных в ИСПДн;

· определяется перечень ПДн, подлежащих защите от несанкционированного доступа;

· определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ);

· определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

· определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;

· определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах;

· определяется класс ИСПДн;

· уточняется степень участия персонала в обработке данных, характер их взаимодействия между собой;

· определяются (уточняются) угрозы безопасности ПДн в конкретных условиях функционирования (разработка частной модели угроз).

Разработка технического задания

По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности данных, включаемые в техническое (частное техническое) задание на разработку системы защиты.
Техническое (частное техническое) задание на разработку СЗПДн должно содержать:

· обоснование разработки СЗПДн;

· исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн;

· ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию информационная система; конкретизацию мероприятий и требований к СЗПДн;

· перечень предполагаемых к использованию сертифицированных средств защиты информации;

· обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

· состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

Проектирование СЗПДн

На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:

· разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;

· разработка раздела технического проекта на ИСПДн в части защиты информации;

· строительно-монтажные работы в соответствии с проектной документацией;

· использование серийно выпускаемых технических средств обработки, передачи и хранения информации;

· разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

· использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка;

· сертификация программных средств защиты информации по требованиям безопасности данных в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;

· разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;

· определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПДн;

· разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

· выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности персональных данных.

Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании «Инфосистемы Джет» проводят работы с учетом следующих факторов:

• совместимости средств защиты со штатным программным обеспечением ИСПДн;
• степени снижения производительности функционирования ИСПДн по основному назначению;
• наличия подробной документации по эксплуатации средств защиты;
• возможность осуществления периодического тестирования или самотестирования средств защиты ПДн;
• возможность наращивания состава средств защиты новыми дополнительными средствами без осуществления ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты;
• гармонизации средств защиты информации с уже существующими в информационной системе;
• масштабирование (распространение) применяемых решений по защите ПДн на остальные информационные системы.

Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации

Оценка соответствия ИСПДн требованиям безопасности персональных данных

Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:

· для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации;

· для ИСПДн 3 класса – декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);

· для ИСПДн 4 класса оценка соответствия проводится по решению оператора.

Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.

Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.

Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:

1. Разработка пакета аттестационных документов. Формируется пакет организационно-распорядительной и технической документации на аттестуемую ИСПДн, содержащий:

· программу и методику аттестационных испытаний;

· проект документа «Перечень персональных данных, обрабатываемых в ИСПДн»;

· проект документа «Перечень лиц, допущенных к обработке ПДн»;

· проект документа «Перечень лиц, допущенных в помещения, в которых располагаются технические средства ИСПДн»;

· проект документа «Акт классификации ИСПДн»;

· проект документа «Акт внедрения СЗИ»;

· технический паспорт на ИСПДн;

· проекты приказов о назначении ответственных за обеспечение режима безопасности персональных данных;

· инструкция по обеспечению безопасности персональных данных;

· описание технологии обработки информации в ИСПДн.

2. Проведение аттестационных испытаний. Уровень безопасности информации, оцениваемый в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации в соответствии нормативно-методическими документами ФСТЭК России). При этом выполнятся следующие работы:

· проведение аттестационных испытаний ИСПДн;

· разработка отчетных документов.

Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.

Аттестационные испытания ИСПДн предполагают проведение следующих проверок:

· проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПДн;

· проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации;

· испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа.

Результатом работ на данном подэтапе является:

· Протокол аттестационных испытаний;

· Заключение по результатам аттестационных испытаний;

· Аттестат соответствия на ИСПДн (выдается в случае положительного Заключения);

· Акт о переводе СЗПДн в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПДн).