Аттестация объектов информатизации обрабатывающих персональные данные

Асташкин И.В.

Выпускник группы CISO-10

Школы IT-менеджмента

РАНХиГС при Президенте РФ

Защита персональных данных – одна из наиболее актуальных и сложных задач в области информационной безопасности. Принятый в 2006 году закон «О персональных данных» №152-ФЗ, а также множество последовавших за ним нормативно-правовых актов, обязали каждую организацию, осуществляющую обработку персональных данных, обеспечивать защиту этой информации.

Однако на сегодняшний день нельзя сказать, что безопасность персональных данных осуществляется должным образом. Доказательством этому утверждению выступают многочисленные утечки баз данных с персональными данными граждан в последние годы, о которых часто упоминается в средствах массовой информации. Кардинальные изменения нормативных документов по защите персональных данных (ПДн) свидетельствуют о том, что изначально было сделано немало ошибок и принято неправильных в этой области решений. Исходя из этого, можно сделать вывод, что проблема обеспечения безопасности персональных данных до сих пор остается чрезвычайно актуальной.

Актуальность темы работы обусловлена с увеличением количества проблем, связанных с утечками персональных данных. Об этом свидетельствуют результаты исследования утечек конфиденциальной информации, проведенного Аналитическим центром InfoWatch  в 2017 году. Было обнаружено 1556 утечек данных из компаний – на 3,4% больше, чем в 2016 году. Из традиционной тройки стран с максимальным количеством утечек, значительный всплеск можно увидеть только в России, где было зафиксировано 213 утечек конфиденциальной информации – на 80% больше, чем год назад. По количеству утечек, зафиксированных аналитическим центром InfoWatch, Россия находится между Великобританией и США, где число утечек осталось примерно таким же, что и в 2015 году – 838 и 67 утечек соответственно.

За рассматриваемый период в мире было скомпрометировано больше 3 млрд. записей ПДн – в 3 раза больше, по сравнению с 2016 годом. Так же до 2 млн., более, чем в 3 раза, выросло среднее количество записей, украденных в результате одной утечки.

Поэтому вопрос защиты персональных данных является одним из основных для любого предприятия, в частности для ООО «Альфа». Для решения вопроса по защите персональных данных необходима аттестация объекта информатизации.

Подобъектом информатизации понимается совокупность информационных ресурсов, систем и средств обработки информации, которые используются согласно заданной информационной технологии, средствам обеспечения объекта информатизации, помещений или объектов (сооружений, зданий, технических средств), в которых они установлены, или помещения и объекты, предназначенные для того, чтобы вести конфиденциальные переговоры.

Под аттестацией объектов информатизации понимаются организационно-технические мероприятия, в результате которых с помощью специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или других нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. Если у организации имеется аттестат соответствия, это дает ей право обрабатывать информацию с уровнем секретности (конфиденциальности) на период времени, приведенный в аттестате.

Цель аттестации – проверить соответствие применяемых средств и мер защиты необходимому уровню безопасности. Необходимо проверить, насколько осуществлена защита:

-    от несанкционированного доступа, в том числе компьютерных вирусов;

-    от утечки через каналы ПЭМИН;

-    от утечки или воздействия на информацию за счет специальных устройств, встроенных в объект информатизации.

Существуют следующие методы проверки и испытаний при проведении аттестационных испытаний.

Экспертно-документальный метод предусматривает оценку соответствия системы защиты объекта информатизации установленным требованиям по безопасности информации. Сотрудниками органа по аттестации производится экспертная оценка полноты и достаточности мер по защите информации объекта информатизации.

Инструментальные (инструментально-расчетные) измерения и оценка защищенности проводятся специалистами органа поаттестации с использованием контрольно-измерительной аппаратуры в соответствии с требованиями действующих нормативных и методических документов по защите информации.

ГОСТом Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" определено, что специальные исследования (СИ) – выявлениес использованием контрольно-измерительной аппаратуры возможных технических каналов утечки защищаемой информации от основных и вспомогательных технических средств и систем и оценка соответствия зашиты информации требованиям нормативных документов по защите информации.

Специальная проверка (СП) - проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств в соответствии с ГОСТ Р 50922 «Защита информации. Основные термины и определения и рекомендациями по стандартизации Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения».

Объектом исследования являются информационные ресурсы компании ООО «Альфа».Разработка программного обеспечения – основная сфера деятельности компании. 

При проведении анализа существующей системы выявлены следующие недостатки в обеспечении безопасности ПДн при их обработке в ИСПДн ООО «Альфа»:

-    не обеспечивается на должном уровне контроль доступа посторонних лиц в серверное помещение, в котором ведется обработка ПДн;

-    ПДн между отделами передаются по открытым каналам связи;

-    в ИТ-инфраструктуре в настоящее время не предусмотрено сегментирование, ИСПДн разных классов защищенности функционируют в едином сегменте ЛВС;

-    комплекс мероприятий по защите ПДн в соответствии с требованиями нормативных документов Российской Федерации реализован не в полном объеме:

o  учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение в ИСПДн не реализованы;

o  не определен перечень лиц, допущенных в помещения, в которых расположено оборудование, обрабатывающее информацию, содержащую ПДн;

o  не определен перечень лиц, допущенных к обработке ПДн;

o  не реализованы следующие мероприятия по обеспечению безопасности ПДн:

§  защита межсетевого взаимодействия ИСПДн;

§  криптографическая защита ПДн, передаваемых по открытым каналам сетей общего пользования;

§  обнаружение вторжений в информационную систему;

§  анализ защищенности информационных систем, с применением сканеров безопасности;

§  использование электронных замков, смарт-карт и других носителей информации для надежной аутентификации и идентификации пользователей на АРМ и серверах.

Реализованные в ИСПДн мероприятия по защите информации не в полной мере обеспечивают реализацию требований нормативных документов РФ по обеспечению безопасности обрабатываемых персональных данных.

Для защиты персональных данных было предложеновнедрениеСрЗИ НСД DallasLock 8.0-К. Для системы защиты информации рассмотрены общие сведения, назначение, возможности, технические характеристики, сценарии использования, преимущества, сведения о сертификации по требованиям ФСБ РФ и ФСТЭК РФ.

Таким образом, была разработана СЗПДн, отвечающая требованиям законодательства и федеральных органов исполнительной власти.