Top.Mail.Ru
поддержка 24/7
поддержка 24/7

Технические меры обеспечения безопасности персональных данных с примерами программного обеспечения

Эффективная система защиты. Практические рекомендации от наших экспертов. 

Экспертный материал

Демьян Раменский | Руководитель направления информационной безопасности


Система защиты информации — это комплекс организационных и технических мер

Согласно действующему законодательству, при создании информационной системы персональных данных (ПДн) необходимо принять организационные и технические меры безопасности. Причём одни без других работать не будут.

Система защиты информации

Локальные и нормативные акты, организационно-распорядительные документы (положения, регламенты, инструкции, журналы и другие) регулирующие работу с персональными данными, относятся к организационным мерам безопасности ПДн. 

К техническим мерам относится использование таких средств защиты информации, как: 

  • средства защиты от несанкционированного доступа; 

  • средства доверенной загрузки;

  • межсетевые экраны;

  • средства антивирусной защиты;

  • средства обнаружения вторжений;

  •  средства контроля и анализ защищённости; 

  • средства резервного копирования и восстановления данных;

  • средства защиты среды виртуализации;

  • криптографические средства (обеспечивающие защиту каналов связи, имеющие выход за пределы контролируемой зоны).

Модель угроз — краеугольный камень в фундаменте системы защиты информации

Для того чтобы принять адекватные и эффективные меры безопасности, нам необходимо понимать, что и от кого мы защищаем. 

Таким образом, разработка модели угроз — ключевой этап в создании эффективной системы защиты информации.  О том, как разработать модель угроз, мы писали в статье.


Разработать модель угроз для вашей ИСПДн.

Проектирование системы защиты и подбор технических мер информационной безопасности следует начать с моделирования угроз. Коротко разберём, как разработать модель угроз. Опираться будем прежде всего на банк данных угроз безопасности информации, разработанный ФСТЭК России. В современной методике (от 5 февраля 2021 года) выделяется три этапа:

  1. Определение негативных последствий.

  2. Определение объектов воздействий.

  3. Оценка возможности реализации угроз и их актуальности.

Разграничение зон ответственности

Современные информационные системы (ИС)  зачастую являются результатом деятельности нескольких групп специалистов или организаций. Например: разработчики, поставщики оборудования и ПО, провайдер облачных услуг, служба технической поддержки, персонал дата-центров.

При размещении информационной системы на облачных вычислительных мощностях особенно важно правильно разграничить и документально зафиксировать зоны ответственности между оператором (владельцем) ИС и поставщиком облачных услуг.

Для этого сначала нужно определить, по какой модели предоставляются вычислительные ресурсы.

Модель вычислительных ресурсов

Модель “Инфраструктура оператора”

Если для размещения информационной системы используются только on-premise вычислительные ресурсы оператора, то есть вся ИТ-инфраструктура полностью собственная, то ответственность полностью лежит на операторе ИС. Начиная от обеспечения физической безопасности и до уровня приложений.

Но если для функционирования информационной системы используются облачные вычисления, следует разграничить зоны ответственности между облачным провайдером и собственным IT-отделом. В зависимости от модели предоставления облачных услуг разделение ответственности будет происходить по-разному.

Модель “Инфраструктура как услуга”

В случае если информационная система размещается на вычислительных ресурсах, предоставляемых по модели IaaS (инфраструктура как услуга). Например, в публичном облаке, то поставщик услуг отвечает за физическую безопасность самого здания ЦОДа, электропитание, охлаждение, серверное и сетевое оборудование, за платформу виртуализации и каналы связи. За всё, что находится внутри виртуальных машин, отвечает клиент (оператор информационной системы).

Модель “Платформа как услуга”

Если информационная система размещается в облаке по модели PaaS (платформа как услуга) то провайдер помимо физической инфраструктуры и среды виртуализации, как в предыдущем случае, отвечает еще и за операционную систему, системное и прикладное программное обеспечение, включая СУБД и среду выполнения, а клиент (оператор ИС) отвечает за данные само приложение, включая исходный код.

Модель “Программное обеспечение как услуга”

Если же клиент (оператор ИС) арендует ПО по модели SaaS, программное обеспечение как услуга. За все угрозы безопасности ответственность несёт поставщик услуг.

Уровни защищённости (УЗ)

После разработки модели угроз можно переходить к определению требуемого уровня защищённости информационной системы. В Постановлении Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" определены 4 уровня защищённости (УЗ-1, УЗ-2, УЗ-3, УЗ-4).

Уровни защищённости (УЗ)

Требуемый уровень защищённости зависит от типа актуальных угроз (по наличию недокументированных возможностей (НДВ) в системном и прикладном ПО), категории персональных данных (специальные, биометрические, общедоступные, иные), принадлежности и от количества субъектов персональных данных, которые обрабатываются в информационной системе (менее или более 100 000 субъектов ПДн).

В документе определены 3 типа актуальных угроз:

Угрозы 1-го типа — угрозы, связанные с наличием НДВ в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа — угрозы, связанные с наличием НДВ в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа — угрозы, не связанные с наличием НДВ в системном и прикладном программном обеспечении, используемом в информационной системе.

Для каждого из четырех уровней защищенности установлены требования, которые необходимо выполнять при обработке персональных данных в информационных системах.


Требования для уровней защищенности

Состав и содержание мер безопасности

Состав и содержание организационных и технических мер безопасности для каждой информационной системы определяется исходя из требуемого уровня защищённости в соответствии с приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

В данном документе для четырех уровней защищенности приведены 109 мер, направленных на предотвращение неправомерного или случайного доступа (уничтожение, изменение, блокирование, копирование, предоставление, распространение), а также иных неправомерных действий в отношении персональных данных, обрабатываемых в информационной системе.

Вышеуказанные меры организованы по пятнадцати группам:

  1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);

  2. Управление доступом субъектов доступа к объектам доступа (УПД);

  3. Ограничение программной среды (ОПС);

  4. Защита машинных носителей персональных данных (ЗНИ);

  5. Регистрация событий безопасности (РСБ);

  6. Антивирусная защита (АВЗ);

  7. Обнаружение вторжений (СОВ);

  8. Контроль (анализ) защищенности персональных данных (АНЗ);

  9. Обеспечение целостности информационной системы и персональных данных (ОЦЛ);

  10. Обеспечение доступности персональных данных (ОДТ);

  11. Защита среды виртуализации (ЗСВ);

  12. Защита технических средств (ЗТС);

  13. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС);

  14. Выявление инцидентов и реагирование на них (ИНЦ);

  15. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ).

Определение мер безопасности, подлежащих реализации в рамках создания системы защиты персональных данных, осуществляется в четыре этапа:

  1. Определение базового набора мер;

  2. Адаптация базового набора мер;

  3. Уточнение адаптированного базового набора мер;

  4. Дополнение уточненного адаптированного базового набора мер.

Определение базового набора мер для установленного уровня защищенности осуществляется в соответствии с приложением к приказу ФСТЭК № 21.

Адаптация базового набора мер осуществляется путем исключения мер, не связанных с информационными технологиями. используемыми в ИС, или ее структурно-функциональными характеристиками.

Уточнение адаптированного базового набора мер осуществляется с учетом не выбранных ранее мер, приведенных в приложении к приказу ФСТЭК №21, в результате чего определяются меры безопасности, направленные на нейтрализацию всех актуальных угроз для конкретной информационной системы.

Дополнение уточненного адаптированного базового набора мер осуществляется в целях обеспечения выполнения требований действующего законодательства в области безопасности персональных данных и защиты информации.

При этом важно помнить, что меры безопасности, реализованные в рамках создания системы защиты информации, должны быть направлены на нейтрализацию актуальных угроз безопасности, определенных на этапе моделирования угроз.

При невозможности технической реализации отдельных выбранных мер, а также с учетом экономической целесообразности на этапах адаптации и уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности.

Средства защиты информации (СЗИ)

Для применения в системе защиты персональных данных допускаются только СЗИ, прошедшие в установленном порядке процедуру оценки соответствия.

Поэтому в нашем дата-центре по модели IaaS предоставляются СЗИ и СКЗИ, сертифицированные ФСТЭК и ФСБ России.

Сертифицированные операционные системы (ОС)

Большинство мер из таких групп, как: идентификация и аутентификация (ИАФ), управление доступом (УПД), ограничение программной среды (ОПС), регистрация событий безопасности (РСБ), обеспечение целостности (ОЦЛ), могут быть закрыты сертифицированными российскими операционными системами. Клиентам нашего дата-центра мы предлагаем российские ОС: Astra Linux, Альт Linux, Rosa Linux.

Наложенные СЗИ от НСД

При использовании зарубежных коммерческих и свободных ОС, таких как Windows, CentOS, Debian, Ubuntu, необходимо использовать наложенные средства защиты информации. В нашем облаке для клиентов доступны решения от компании «Код Безопасности»: Secret Net Studio для ОС Windows и Secret Net LSP для Linux-систем. А также Dallas Lock  и Dallas Lock Linux для Windows и Linux соответственно, от компании «Конфидент».

Стоит отметить, что определенные сложности при установке Secret Net LSP возникают в связи с достаточно жесткими системными требованиями в части совместимости с не очень большим перечнем операционных систем и даже версий ядра. Но у нас в облаке имеются шаблоны для развёртывания ВМ с ОС, совместимыми с данным СЗИ.

Средства доверенной загрузки (СДЗ)

Для обеспечения выполнения требований к доверенной загрузке используются СДЗ, такие как: ПАК «Соболь», СДЗ Dallas Lock, ПМДЗ ViPNet SafeBoot. Для доверенной загрузки ВМ в виртуальной среде применяется соответствующий функционал средств защиты среды виртуализации (СЗСВ). Особо хочется отметить, что наши клиенты могут приобрести не только сами СДЗ, но и услуги по их установке, настройке и технической поддержке.

Межсетевые экраны (МЭ)

Межсетевые экраны применяются для реализации следующих мер безопасности:

  • Организация защищенного контура ИСПДн;

  • Управление трафиком (фильтрация, маршрутизация, контроль соединений); 

  • Управление взаимодействием с внешними информационными системами;

  • Сегментирование информационной системы;

  • Защита периметров сегментов информационной системы;

ФСТЭК России выделяет 5 типов межсетевых экранов исходя из точки их размещения:

  • МЭ уровня сети (тип "А") – межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа "А" могут иметь только программно-техническое исполнение.

  • МЭ уровня логических границ сети (тип "Б") – межсетевой экран, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Межсетевые экраны типа "Б" могут иметь программное или программно-техническое исполнение.

  • МЭ уровня узла (тип "В") – межсетевой экран, применяемый на узле (хосте) информационной системы. Межсетевые экраны типа "В" могут иметь только программное исполнение и устанавливаются на мобильных или стационарных технических средствах конкретного узла информационной системы.

  • МЭ уровня веб-сервера (тип "Г") – межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Межсетевые экраны типа "Г" могут иметь программное или программно-техническое исполнение.

  • МЭ уровня промышленной сети (тип "Д") – межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами. Межсетевые экраны типа "Д" могут иметь программное или программно-техническое исполнение.

Клиенты нашего дата-центра имеют возможность получать межсетевые экраны типов А, Б, В и Г  как услугу, включающую не только предоставление оборудования или ПО, но и услуги по установке и настройке, а также технической поддержке данного вида СЗИ. Данные услуги предоставляются на базе решений семейства ViPNet («ИнфоТеКС»), а также «Континент» и Secret Net («Код Безопасности»).

Средства антивирусной защиты (САВЗ)

Средства антивирусной защиты применяются в ИСПДн для борьбы с вредоносными программами при любом уровне защищенности. Сточки зрения приказа ФСТЭК № 21, важно чтобы антивирус имел следующие функции:

  • Реализация антивирусной защиты — АВЗ.1;

  • Обновление базы данных признаков вредоносных компьютерных программ (вирусов) — АВЗ.2;

В облаке Corpsoft24 доступны следующие сертифицированные САВЗ: Kaspersky и Dr.Web.

Оба решения имеют сертификаты ФСТЭК России и могут работать как в автономном режиме, так и в сетевом (под управлением сервера безопасности). Также решения имеют вариант развёртывания для виртуальных сред с использованием легкого агента (или без такового).

Сравнению антивирусов в интернете посвящено много статей, поэтому мы не будем проводить подробный анализ. Решения имеют как свои преимущества, так и свои недостатки. Основные отличия, которые мы можем выделить, это то, что Dr.Web немного дешевле, а Kaspersky более требователен к вычислительным ресурсам процессора и памяти.

Средства обнаружения вторжений (СОВ)

В настоящее время в реестре СЗИ ФСТЭК России насчитывается более десятка различных решений с функционалом СОВ. Следует отметить, что средства обнаружения вторжений делятся на 2 типа: уровня сети и уровня хоста. В портфеле облачных услуг Corpsoft24 имеются СОВ обоих типов.

Среди них хотелось бы отметить:

  • ViPNet IDS NS — СОВ уровня сети и ViPNet IDS HS —  СОВ уровня хоста от компании «ИнфоТеКС»;

  • «Континент» — СОВ уровня сети и Secret Net Studio с модулем СОВ для уровня хоста от компании «Код Безопасности».

Оба решения сертифицированы ФСТЭК России и позволяют реализовать требования приказа ФСТЭК № 21 в части СОВ. А именно:

  • Обнаружение вторжений (СОВ.1);

  • Обновление базы решающих правил (СОВ.2).

Решения позволяют организовать централизованное управление и сбор данных об инцидентах информационной безопасности.

Контроль и анализ защищенности (АНЗ)

Для автоматизированного контроля и анализа защищенности в облаке Corpsoft24 применяются сканеры уязвимостей XSpider от компании Positive Technologies и Сканер-ВС производителя НПО «Эшелон».

Оба решения сертифицированы и имеют функциональность, необходимую для реализации требований приказа ФСТЭК № 21 в части контроля и АНЗ персональных данных. А именно:

  • Выявление и анализ уязвимостей;

  • Контроль установки обновлений;

  • Контроль состава технических средств;

  • Контроль правил генерации и смены паролей.

Резервное копирование

На рынке систем резервного копирования (СРК) и восстановления данных существует довольно большой выбор решений. Например, Veeam Backup & Replication, Acronis Backup & Recovery, Veritas, Commvault. Рассмотреть и взвесить все плюсы и минусы в рамках данной статьи мы не можем. Очевидно, что при выборе СРК следует отталкиваться от таких параметров, как технологическая совместимость и цена. Однако есть еще и соображения политические. В рамках импортозамещения стоит рассматривать решения российских производителей. Например, RuBackup.

Защита среды виртуализации

Для защиты платформ виртуализации и гипервизоров таких производителей как Microsoft (Hyper-V) и VMware (ESXi) применяются специализированные средства защиты среды виртуализации (СЗСВ). Среди сертифицированных решений можно выделить vGate («Код Безопасности») и СЗИ ВИ Dallas Lock («Конфидент»).

Решения обладают достаточно широкой функциональностью, начиная от регистрации событий информационной безопасности, заканчивая разграничением доступа к виртуальным машинам. Принципиально схема работы примерно следующая. Существует два рабочих места: администратор виртуальной инфраструктуры (АВИ) и администратор информационной безопасности (АИБ). АВИ управляет виртуальной инфраструктурой, а АИБ через политики информационной безопасности - правами доступа к ней. В разрыв между центром управления средой виртуализации и гипервизором ставится сервер защиты среды виртуализации, который пропускает или нет управляющие команды от администратора виртуальной инфраструктуры к гипервизору в зависимости от прав, назначенных администратором информационной безопасности.

Криптографическая защита информации

Некоторые требования приказа ФСТЭК № 21 можно выполнить на практике только с использованием средств криптографической защиты информации (СКЗИ). Например, такие как:

  • Реализация защищенного удаленного доступа через внешние телекоммуникационные сети (УПД.13).

  • Обеспечение защиты ПДн от раскрытия, модификации и навязывания при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны (ЗИС.3).

В рамках услуги ГОСТ VPN Corpsoft24 предоставляет клиентам следующие СКЗИ по модели IaaS:

  • ViPNet от компании «ИнфоТеКС»;

  • «Континент» от компании «Код Безопасности».

ГОСТ VPN — это услуга по защите информации при передаче по открытым каналам связи с применением алгоритмов шифрования, соответствующих ГОСТ, и криптографических средств, прошедших процедуру оценки соответствия (сертификацию) в ФСБ России.

Тема применения СКЗИ настолько обширна, что она, безусловно, заслуживает отдельной статьи. Упомянем основные нормативно-правовые акты, регулирующие данную область:

  • Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

  • Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)".

  • Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" .

  • "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" (утв. ФСБ России 31.03.2015 N 149/7/2/6-432).

Оценка эффективности применяемых мер защиты

Перед вводом системы в эксплуатацию необходимо провести оценку эффективности мер защиты. Для государственных информационных систем необходима аттестация. Для остальных организаций аттестация не является обязательной, а оценка мер эффективности может быть проведена в виде испытаний системы защиты. 

Требования к поставщикам услуг 

Если вы приняли решение передать обеспечение безопасности ИСПДн облачному провайдеру, обращайте внимание на наличие у него необходимых лицензий. Для подобной деятельности у поставщика должна быть лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации и лицензия ФСБ России на распространение шифровальных средств, а также оказаний услуг в области криптографической защиты информации.

Хостинг ИСПДн с соблюдением требований законодательства.

Загрузка ...