УДК 681.3.06(075)
А.С. Басан, О.Б. Макаревич ВНЕДРЕНИЕ СИСТЕМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В РАМКАХ ИННОВАЦИОННОЙ ДЕЯТЕЛЬНОСТИ ЮФУ В ОРГАНИЗАЦИЯХ ГОРОДА ТАГАНРОГА
Рассматривается организация инновационной деятельности Южно-Российского регионального центра по проблемам информационной безопасности ЮФУ (ЮР РУНЦ МБ ЮФУ) в сфере внедрения систем защиты персональных данных в организациях и предприятиях во исполнение закона № 152-ФЗ «О персональных данных», а также проведения обучающих курсов и семинаров. Рассмотрены основные требования со стороны государственных регуляторов к организациям - операторам персональных данных, а также вопросы, возникающие в процессе создания систем защиты, а также способы их решения. Рассмотрена деятельность центра по переподготовке специалистов и повышению квалификации в области защиты конфиденциальной информации.
Защита персональных данных; закон № 152-ФЗ; конфиденциальная информация; персональные данные; технические средства защиты.
A.S. Basan, O.B. Makarevich
EXECUTION WORKS FOR THE IMPLEMENTATION OF THE PROTECTION OF PERSONAL DATA IN THE ORGANIZATIONS IN THE INNOVATION
OF SRRCIS
The organization of innovative activities of the South Russian Regional Centre for Information Security SFEDU in the introduction of systems of personal data protection in organizations and enterprises, pursuant to Law № 152-FZ "On personal data" as well as holding training courses and seminars. The main requirement on the part of state regulators to organizations - operators of personal data, as well as issues arising in the process of establishing security systems, as well as their solutions. We consider the activities of the center for the retraining and further training in the protection of confidential information.
Protection of personal data, federal law number 152-FZ; confidential information, personal data; means of protection.
Вопросу защиты персональных данных (ПДн), обрабатываемых практически всеми организациями России, в настоящее время уделяется много внимания как на государственном уровне, так и на многочисленных практических семинарах и научных конференциях. Такой интерес к этой теме вызван необходимостью абсо-( ), , -чивать адекватную защиту персональных данных, которые они обрабатывают. Требования к защите достаточно чётко изложены законодательными актами, нормативными и методическими документами ФСТЭК (Федеральная служба техниче-
) ( ). -смотря на то, что требования к защите известны и доступны, грамотно выполнить их достаточно сложно - необходима квалификация в этой области знаний. Кроме , -ние средств защиты. За нарушение законодательства в области персональных данных определены достаточно суровые меры наказания - от административной до
. -фы должностного лица, его увольнение, приостановление обработки персональ-
ных данных в организации, а также лишение лицензии на основной вид деятельно.
ПДн в создании надежной системы защиты ПДн, удовлетворяющей актуальным
.
Статус персональных данных в качестве конфиденциальной информации был определен Указом Президента РФ от 06.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».
Принятие Федерального Закона № 152-ФЗ «О персональных данных» явилось логическим следствием ратификации Российской Федерацией «Европейской конвенции о защите физических лиц при автоматизированной обработке персо-», 25 2005 .
за защитой персональных данных, как вида конфиденциальной информации, за.
В первую очередь увеличилось количество контролирующих организаций, теперь регулировать обработку персональных данных на различных уровнях призваны 3 структуры:
1. РКН (Роскомнадзор), на который возложены функции по ведению реестра
, , выполнения требований федеральных законов (организационные меры защиты ). . -шая часть проверок оканчивалась предписаниями на устранение выявленных недостатков. Некоторые предписания были направлены в Прокуратуру РФ.
2. ,
применения сертифицированных криптографических средств защиты информации ( ).
при передаче персональных данных по внешним каналам связи.
3. , -
ты персональных данных, а также регламентирует процедуры оценки соответствия средств защиты информации (сертификация) и информационных систем (атаста-) .
Ст. 19 закона № 152-ФЗ обязала операторов персональных данных независимо от формы собственности принимать меры по защите персональных данных, в том числе с помощью технических средств защиты информации.
Методы и способы защиты информации с использованием сертифицированных средств защиты информации определяются приказом ФСТЭК от 05.02.10 г. № 58.
В соответствии с Постановлением Правительства Российской Федерации от 17.11.2007 г. № 781, средства защиты информации, применяемые в информацион-, -ветствия, т.е. сертификацию.
В настоящее время, по разным объективным и субъективным причинам, срок действия закона № 152-ФЗ в части разработанных ранее ИСПДн перенесен сначала до 1 января 2011 г., а затем и до 1 июля 2011 г. (закон № 444277-5). Однако все разрабатываемые (модернизированные) с начала 2011 г. ИСПДн уже должны со.
Факт соответствия ИСПДн действующему законодательству устанавливается в специальном документе - «Аттестате соответствия», который выдается Заказчику по результатам комплекса специальных работ, проведенных Исполнителем, имеющим лицензию ФСТЭК на деятельность по технической защите конфиденци-.
Операторы персональных данных, не сумевшие выполнить требования ФЗ-152, с 1 июля 2011 года понесут соответствующую гражданскую, административную, дисциплинарную и уголовную ответственность.
Для решения актуальных задач и проблем в области защиты информации был создан Южно-Российский региональный учебно-научный центр по проблемам информационной безопасности в системе высшей школы ЮФУ ДОР РУНЦ ИБ). Он основан приказом ректора ТРТУ от 17.07.98 г. № 257 во исполнение приказа Министерства общего и профессионального образования РФ от 20.08.97 г. № 1781. Центр является структурным подразделением Южного федерального университета. В своей основе он опирается на кафедру безопасности информационных технологий (БИТ) ТТИ ЮФУ, учебно-научный центр систем информационной безопасности кафедры БИТ и кафедры вузов региона Юга России.
Плотное взаимодействие ЮР РУНЦ ИБ с кафедрой БИТ позволяет объединять значительный штат квалифицированных инженеров в области защиты информации и научных работников.
ЮР РУНЦ ИБ имеет все необходимые лицензии ФСТЭК и ФСБ, которые необходимы для выполнения работ по защите персональных данных и конфиденциальной информации. В их число входят:
♦ лицензия ФСТЭК России на деятел ьность по технической защите конфиденциальной информации;
♦ лицензия ФСБ на распространение шифровальных (криптографических)
;
♦ лицензия ФСБ на техническое обслуживание шифровальных (криптогра-
) .
В итоге выполняются следующие важные и взаимосвязанные задачи:
1. -мации и персональных данных.
2. -.
3. Проведение научно-исследовательских и конструкторских работ в области .
В рамках заданной темы статьи будут рассмотрены две первые задачи, как наиболее близкие к потребностям реальных организаций.
2009 ., -
обрела действительную актуальность, и у организаций возникала острая потребность в квалифицированных специалистах по безопасности, в ЮР РУНЦ ИБ стали проводиться обучающие семинары и курсы, посвященные этой решению этой .
Основываясь на лицензии Министерства образования (регистрационный № 0229, свидетельство о государственной аккредитации № 0680), были организованы курсы повышения квалификации специалистов по защите информации «Техническая защита конфиденциальной информации» (72 часа), а также семинарские (8 ) « . -. ».
Обучающимся на курсах повышения квалификации выдаются удостоверения государственного образца (рис. 1.)
О КРАТКОСРОЧНОМ ИОВЫШИ1НН КВАЛИФИКАЦИИ
Нктаащп удостоверь
прошгл(а) краткосрочное обучение в (на)
учебно-научном центре по проблемам ннформашкЯга&Я ОДопл ноон
программе «Администрирование информациошю-вичислитсльных сстНЬ
Рис. 1. Пример выдаваемых удостоверений государственного образца
Таблица 1
Виды организаций Место проведения занятий Число слушателей
Интеграторы программного обеспечения и средств защиты информации (ООО «Орбита», г. Таганрог, ООО «Орбита», г. Краснодар, ООО «СандСофт-Новороссийск» и другие) г. Таганрог 50
Медицинские учреждения г. Таганрога г. Таганрог 2
Образовательные учреждения (Дагестанский государственный институт народного хозяйства при Правительстве Республики », гуманитарно-технический институт) г. Таганрог 8
Пенсионный фонд РФ, г. Москва г. Таганрог 40
Предприятия Росрезерва г. Таганрог 3
Филиал «Аэронавигация Юга» ФГУП «Госкорпорация по ОрВД»; ГУП КК "ЦИТ" Центр информационных технологий, г. Краснодар; ФГНУ НИИ "Спецвузавтоматика", г. Ростов; Северная Алания Ш.-0283 Комитет лесного хозяйства г. Таганрог 9
ГУП КК "ЦИТ" для служащих органов власти (58) Краснодар 58
Институт экономики и ВЭС ЮФУ для служащих органов власти (65) Ростов-на-Дону 65
Всего 235
Помимо 72-часовых курсов, для всех желающих организаций был проведен ряд семинарских занятий по теме «Защита персональных данных. Новое в законодательстве. Построение системы защиты». Слушателям семинара выдаются сертификаты Южного федерального университета о том, что они прошли обучение по курсу семинара (рис 2).
в том. что он(а) с г. по 'Зрх&вА-АО// г. І
прршсл(ла) обучение в (на) ЮР Р УН ¿4 ¿/о_..
-'У^О^.мх>^р (^гдг/гаишогЪ мн.и Ёе/1- т «
и«С8флк**
<УСМ- | а-1
Рис. 2. Пример сертификатов, выдаваемых ЮФУ
Слушатели семинарских занятий получают базовые знания, необходимые для грамотного выполнения работ по созданию системы защиты персональных данных .
работы по защите, если они были выполнены сторонними организациями. Достиг. 2.
2
Виды организаций Место проведения занятий Число слушателей
Бюджетные организации г. Таганрога (Больницы,поликлиники, образовательные учреждения) г. Таганрог 24
Организации здравоохранения Ростовской области г. Ростов-на-Дону 50
Администрация Краснодарского края г. Краснодар 40
Всего 114
, , -чение работников организаций-операторов персональных данных в области защиты информации является одной из приоритетных задач на ближайшее время в РФ - это отмечает и ФСТЭК России в методических документах.
Начиная с 1 июля 2011 г., закон № 152 «О персональных данных» в полной мере вступил в силу. В силу этого проблема создания системы защиты обрабатываемых данных приобрела особую актуальность. В рамках инновационной деятельности и для выполнения работ по защите конфиденциальной информации (в том числе персональных данных) ЮР РУНЦ ИБ были получены необходимые лицензии ФСТЭК и ФСБ.
В первую очередь интерес представляет методологический подход ЮР РУНЦ ИБ в поэтапном создании системы защиты ПДн согласно требованиям законодательства и методическим документам регуляторов.
Этап 1. Предпроектное обследование объекта информатизации
Шаг 1. Сбор технических показателей и анализ технологических процессов
Цели:
♦ определение технических характеристик системы;
♦ определение технологичес ких характеристик системы.
:
♦
методом (с использованием специализированных технических и про);
♦ устный опрос сотрудников Заказчика, обладающих информацией по рассматриваемым вопросам в пределах их компетенции.
:
♦ заполненные опросные листы в бумажном либо электронном виде;
♦ сгенерированные электронные отчеты по результатам применения инст-
;
♦ согласованное с Заказчиком «Описание технологического процесса обработки информации».
Шаг 2. Оценка текущего уровня защиты информации :
♦ выявление уязв имостей системы.
:
♦ ( ), -нием средств анализа защищённости программных компонентов локальных вычислительных сетей;
♦ криптоанализ парольной информации (в целях проверки соответствия па-
). -казчиком проводятся мероприятия по перехвату сетевого трафика, криптоанализу перехваченных хэшей паролей пользователей с применением радужных таблиц (rainbow table), мероприятия по анализу устойчивости ПЭВМ и серверов к активным методам перехвата информации (р^личные методы MITM атак, фишинг и др.), мероприятия по оценке устойчивости серверной инфраструктуры Заказчика к атакам хакеров (удадённое тести-
Metasploit Framework, анализ веб-страниц, форумов, почтовых серверов и т.д.);
♦ анализ групповых политик безопасности.
:
♦ сгенерированные электронные отчёты средств анализа защищенности, отражающие текущее состояние информационной безопасности ресурсов
;
♦ перечень рекомендаций по устранению выявленных недостатков.
Шаг 3. Подготовка документации по результатам обследования
:
♦ документальное оформление результатов предварительного обследования.
:
♦ эксп ертно-документальный.
:
♦ согласованное с заказчиком «Анадитическое обоснование необходимости
»;
♦ согласованная с заказчиком «Модель нарушителя и модель актуальных угроз»;
♦ согласованное с заказчиком «Техническое задание на создание системы
»;
♦ оформленный «Акт классификации информационной системы персональ-
».
Этап 2. Организация деятельности по защите ПДн
Цель:
♦ создание нормативно-правового базиса, необходимого для функционирования подсистемы обеспечения информационной безопасности.
:
♦ экспертный анализ существующей нормативно-правовой базы Заказчика (должностных инструкций, положений, организационной структуры) с оценкой соответствия представленных документов требованиям руководящих документов ФСТЭК, ФСБ, РКН.
:
♦ распределение ответственности за и нформационную безопасность организации между должностными лицами;
♦ дополненные и исправленные внутренние документы Заказчика. При необходимости специалистами компании даётся разъяснение по каждому факту исправления документа;
♦ комплекс проектов вновь созданных внутренних документов Заказчика, отвечающий требованиям регуляторов;
♦ комплекс рекомендаций по организации взаимодействия с внешними организациями и физическими лицами;
♦ проект системы з ащиты информации.
Этап 3. Поставка технических средств защиты информации
Поставка сертифицированных средств защиты информации в соответствии со
.
Этап 4. Пусконаладочные работы
:
♦ штатное, в соответствии с эксплуатационной документацией, функционирование компонентов системы защиты информации на объекте информа-
.
:
♦ экспертные, программно-технические и инструментальные.
:
♦
.
Этап 5. Аттестация информационной системы персональных данных :
♦
персональных данных требованиям регуляторов.
:
♦ экспертно-документальные и инструментальные.
:
♦ комплект аттестаци онной документации, утвержденный руководителем ЮР РУНЦ ИБ, включающий протоколы аттестационных испытаний и «Аттестат соответствия» информационной системы требованиям по
.
, -
ных данных (ИСПДн) - это комплекс работ, включающих в себя различные проверки и выдачу Аттестата соответствия. Организация, выдавшая Аттестат соответ-
,
информации требованиям ФСТЭК и, в случае наличия обоснованных претензий со
,
совместно с Заказчиком (ст.783, ч.2 ст. 723 Гражданского кодекса Российской Фе). -, -.
В соответствии с требованиями «Положения о методах и способах защиты
»,
приказом ФСТЭК от 05.02.2010 г. № 58, комплекс организационно-технических мероприятий по созданию системы защиты информации должен предусматривать внедрение следующих основных подсистем:
♦ подсистема упр авления доступом;
♦ подсистема регистраци и и мониторинга событий;
♦ подсистема обеспечения целостности;
♦ подсистема за щиты баз данных;
♦ подсистема анал иза защищенности;
♦ подсистема анти вирусной защиты;
♦ подсистема защиты от сетевых вторжений;
♦ подсистема межсетевого экранирования.
Одним из наиболее частых вопросов, которые задают организации-операторы
, - -ям законодательства. Сложность ответа на этот вопрос состоит в том, что комплекс мероприятий, который нужно провести для создания системы защиты, определяется при детальном анкетировании конкретной организации. На стоимость влияют множество факторов. Вот, например, некоторые из них:
1. . -зациях отсутствуют лицензии на операционные системы или другое
( ), -. -пользуемого ПО вносится в ряд важных организационных и аттестационных документов (техпаспорт объекта информатизации, протоколы аттестационного обследования и прочие). Поэтому прежде чем начинать работы, следует закупить лицензии на необходимое ПО, если они отсутствуют. Например, легализация ОС Windows на одной рабочей станции может обойтись до 5600 руб.
2. -щественного пользования за пределы контролируемой зоны. Обычно такая ситуация возникает, когда организация имеет филиалы или располагается в пределах нескольких далеко расположенных зданий, или существует необходимость передачи отчётности по Интернету (например, в фонды медицинского страхования или другие). В этом случае возникает актуальная угроза перехвата передаваемого трафика. В связи с удаленностью точек обмена информацией предотвратить угрозу организационным способом (например, визуальным наблюдением) не получится. Поэтому необходимо покупать криптографические средства защиты передаваемой информации. Кроме того, необходимо разрабатывать дополнительную документацию: модель угроз по ФСБ, инструкции, журналы и прочее. Всё это повышает стоимость работ.
3. .
4 класса (К1, К2, КЗ, К4). Основная масса реально работающих систем может быть отнесена к классам К2 и КЗ. Для таких систем можно использовать штатные средства защиты от несанкционированного доступа ( ) . -, -тации. Однако, если класс ИСПДн равен К1, то штатные средства защиты не подходят, и нужно закупать сертифицированные ФСТЭК по клас-1 . требует дополнительных расходов.
, , -, , организации без анкетирования представляется маловероятным.
Для лучшего представления о стоимости закупки средств защиты информации можно привести табл. 3. В ней приведена спецификация на закупку средств защиты для одной рабочей станции, подключенной к сети Интернет, на которой функционирует ИСПДн класса КЗ. Конфиденциальная информация по сети не передается. Это типовой вариант бухгалтерского или кадрового рабочего места.
Таблица 2
% п/п Наименование Количество Стоимость, руб.
Средства защиты от НС Д
1 Дистрибутив сертифицированной ОС Windows ХР 1 1 300
2 Полный пакет для сертифицированной версии ОС Windows XP Professional 1 2 600
3 Пакет «Бздовый контроль» для сертифицированной версии OC Windows XP Professional для использования 1 1 200
4 Лицензия на использование программы контроля сертифицированной версии ОС Windows XP Professional (XP_ Check 3.0) 1 900
5 ПАК усиления функций безопасности ОС MS Windows XP Professional -сертифицированный USB-ключ eToken PRO 1 1 200
Средства защиты межсетевого взаимодействия
6 Установочный комплект Security Studio Endpoint Protection (Personal Firewall, HIPS). Межсетевой экран и средство обнаружения вторжений 1 300
7 Право на использование Средств защиты информации Security Studio Endpoint Protection: Personal Firewall, HIPS 1 2 440
Средство защиты от вирусов и других вредоносных программ
8 Антивирус Dr.Web Desktop Security Suite, на 12 месяцев, неисключительное право 1 990
9 Медиа-комплект для Windows . Dr.Web 1 900
ИТОГО 1 1830
К представленной таблице можно добавить лишь, что существует достаточно много вариантов формирования спецификации на основе различных производителей программного обеспечения. В данном примере приведен наиболее оптимальный на наш взгляд набор средств защиты для заданной выше ИСПДн. Важно за,
быть сертифицированными ФСТЭК (дня криптографии ФСБ).
На сегодняшний день ЮР РУНЦ ИБ успешно выполнил работы по защите систем персональных данных в больницах, поликлиниках, детских санаториях города Таганрога. Муниципалитет города во исполнение закона № 152-ФЗ «О персональных данных» в первую очередь выделяет бюджет для защиты таких органи, .
Таким образом, Южно-Российский региональный учебно-научный центр по проблемам информационной безопасности в системе высшей школы ЮФУ ДОР ) -тельности по защите конфиденциальной информации и персональных данных организаций и предприятий, проводит внедрения систем защиты, а также регулярно организует курсы и семинары повышения квалификации в этой области.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Федеральный закон от 27.07.06 г. № 152-ФЗ «О персональных данных».
2. Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.08 г. № 55/86/20.
3. Указ Президента РФ от 06.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера" (с изменениями на 23 сентября 2005 г.).
4. Приказ ФСТЭК России №58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных" от 5 февраля 2010 г.
Статью рекомендовал к опубликованию д.т.н., профессор Я.Е. Ромм.
Макаревич Олег Борисович - Технологический институт федерального государственного автономного образовательного учреждения высшего профессионального образования «Южный федеральный университет» в г. Таганроге; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634312018; кафедра безопасности информационных технологий; зав. кафедрой.
Баеаи Александр Сергеевич - e-mail: [email protected]; тел.: 89885370968; кафедра безопасности информационных технологий; доцент.
Makarevich Oleg Borisovich - Taganrog Institute of Technology - Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chehov street, Taganrog, 347928, Russia; phone: +78634312018; the department of security in data processing technologies; chief of the department.
Basan Alexandr Sergeevich - e-mail: [email protected]; phone: +79885370968; the department of security in data processing technologies; associate professor.