Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Выбираем средства защиты информации для ИСПДн: основание для выбора (часть 1)

ПДн
Выбираем средства защиты информации для ИСПДн: основание для выбора (часть 1)


При проектировании системы защиты персональных данных ключевая задача — не просто выбрать технические средства, а обосновать их применение в рамках действующей нормативной базы. В российской практике обработка и защита персональных данных в информационных системах строго регламентируется рядом обязательных документов, формирующих методическую и правовую основу построения защиты.

Нормативная база

Базовым нормативным актом является  Федеральный закон № 152-ФЗ «О персональных данных», определяющий общие требования к обработке и защите персональных данных. Его положения конкретизируются  Постановлением Правительства Российской Федерации № 1119, в котором устанавливаются требования к обеспечению безопасности персональных данных при их обработке в информационных системах в зависимости от уровня защищенности (УЗ). Непосредственно состав и содержание организационных и технических мер защиты регламентируются  приказом ФСТЭК России № 21.

Установление уровня защищённости ИСПДн является исходной точкой для построения системы защиты, поскольку данный показатель формируется на основе совокупности нескольких факторов: категории обрабатываемых персональных данных (общедоступные, специальные, биометрические и иные), численности субъектов персональных данных, актуальных типов угроз безопасности информации.

Определённый уровень защищённости непосредственно влияет на перечень требований, подлежащих обязательному исполнению. В зависимости от него формируется набор защитных мер, которые должны быть реализованы в системе, включая необходимость применения сертифицированных средств защиты информации, требования к их классу и уровню доверия, а также к способам их внедрения и эксплуатации.

При этом важно подчеркнуть, что выбор конкретных средств защиты не может осуществляться исключительно на основе обобщённых таблиц соответствия или типовых схем. Конфигурация системы защиты всегда определяется результатами моделирования угроз безопасности и особенностями построения конкретной информационной системы. Только при учёте реальных условий функционирования ИСПДн, состава технических средств, архитектуры сети, прав доступа и сценариев работы пользователей возможно сформировать обоснованный, непротиворечивый и достаточный перечень СЗИ.

Уровни защищённости ИСПДн и наборы мер для установленных УЗ

Именно уровень защищённости определяет обязательный перечень организационных и технических мер, которые должны быть реализованы для обеспечения безопасности персональных данных. Он выступает основным ориентиром при выборе и обосновании конкретных средств защиты информации, их классов, уровней доверия и способов интеграции в ИСПДн.

В таблице ниже представлены основные характеристики уровней защищённости информационных систем персональных данных и их обобщённое сопоставление с типовыми требованиями к системе защиты.

    • УЗ-1 – самые жесткие требования (спецкатегории/биометрия, крупные объёмы, серьёзные угрозы).
    • УЗ-2 – значимые объёмы и/или чувствительные данные, но угрозы менее критичные.
    • УЗ-3 – типичная корпоративная ИСПДн с обычными ПДн сотрудников/клиентов.
    • УЗ-4 – небольшие объёмы, ограниченный доступ, низкий уровень рисков.

     
    Требуемые меры на каждом уровне защищённости по приказу ФСТЭК №21

    Логика приказа простая: чем выше уровень защищённости (от 4 к 1), тем шире перечень обязательных мер. Удобнее описывать это инкрементально: УЗ-4 = базовый контур, а УЗ-3/2/1 добавляют дополнительные группы мер.

    Уровень защищённости 4 (УЗ-4) — базовый обязательный контур

    На УЗ-4 реализуется минимально необходимый набор мер, который в приложении отмечен как обязательный для всех уровней:

      • Идентификация и аутентификация (ИАФ): ИАФ.1, ИАФ.3–ИАФ.6 (учётные идентификаторы/средства аутентификации, защита ввода, аутентификация внешних пользователей при наличии).
      • Управление доступом (УПД): УПД.1–УПД.6, УПД.13–УПД.16 (управление учётками, правила разграничения, управление потоками, разделение ролей, минимальные привилегии, ограничение попыток входа, защищённый удалённый доступ, регламентация беспроводного/мобильного, взаимодействие с внешними ИС).
      • Регистрация событий безопасности (РСБ): РСБ.1–РСБ.3, РСБ.7 (что логируем, что храним и как защищаем журналы).
      • Антивирусная защита (АВЗ): АВЗ.1–АВЗ.2 (наличие АВ и обновление баз).
      • Контроль защищённости (АНЗ): АНЗ.2 (контроль установки обновлений ПО и СЗИ).
      • Виртуализация (ЗСВ): ЗСВ.1–ЗСВ.2 (ИА/УД в виртуальной инфраструктуре).
      • Физическая защита (ЗТС): ЗТС.3–ЗТС.4 (контроль физического доступа и защита от визуального просмотра).
      • Защита передачи данных (ЗИС): ЗИС.3 (защита ПДн при передаче за пределы контролируемой зоны).

      Уровень защищённости 3 (УЗ-3) = УЗ-4 + усиление контроля сеансов/конфигурации/уязвимостей и носителей

      Дополнительно к УЗ-4 на УЗ-3 вводятся меры:

        • Управление доступом: УПД.10–УПД.11 (блокировка сеанса по неактивности; запрет действий до ИА).
        • Носители: ЗНИ.8 (стирание/обезличивание ПДн на носителях при передаче/ремонте/утилизации + контроль).
        • Контроль защищённости: АНЗ.1, АНЗ.3–АНЗ.4 (уязвимости и их устранение; контроль работоспособности/настроек СЗИ; контроль состава ПО/ТС/СЗИ).
        • Виртуализация: ЗСВ.3, ЗСВ.9–ЗСВ.10 (логирование в ВИ; антивирус в ВИ; сегментирование ВИ).
        • Связь: ЗИС.20 (защита беспроводных соединений).
        • Управление конфигурацией: УКФ.1–УКФ.4 (кто может менять конфигурацию, управление изменениями, оценка влияния и согласование, документирование).

        Уровень защищённости 2 (УЗ-2) = УЗ-3 + IDS, целостность, резервное копирование, сегментация и процесс реагирования на инциденты

        Дополнительно к УЗ-3 на УЗ-2 добавляются:

          • ИА устройств: ИАФ.2 (идентификация/аутентификация устройств).
          • Доверенная загрузка: УПД.17.
          • Ограничение программной среды: ОПС.2 (управление установкой компонентов ПО).
          • Носители: ЗНИ.1–ЗНИ.2 (учёт носителей и управление доступом к ним).
          • Журналы: РСБ.5 (мониторинг/анализ логов и реагирование).
          • Обнаружение вторжений: СОВ.1–СОВ.2 (IDS и обновление решающих правил).
          • Доп. контроль ИА/паролей/прав: АНЗ.5.
          • Целостность и “шумовой трафик”: ОЦЛ.1, ОЦЛ.4 (контроль целостности ПО; защита от незапрашиваемых сообщений/спама).
          • Доступность: ОДТ.4–ОДТ.5 (резервное копирование и восстановление в заданный интервал).
          • Виртуализация: ЗСВ.6–ЗСВ.8 (контроль перемещения ВМ/данных, целостность ВИ, резервирование/бэкапы ВИ).
          • Сеть: ЗИС.11, ЗИС.15, ЗИС.17 (подлинность сетевых соединений; защита архивов/конфигов “только чтение”; сегментация ИС и защита периметров).
          • Инциденты: ИНЦ.1–ИНЦ.6 (ответственные, обнаружение/регистрация, уведомление, анализ причин/последствий, устранение, предотвращение повторов).

          Уровень защищённости 1 (УЗ-1) = УЗ-2 + максимальное ужесточение ПО, отказоустойчивости и разделения функций

          Поверх УЗ-2 на УЗ-1 добавляются меры, которые сильнее всего влияют на архитектуру и эксплуатацию:

            • Белые списки ПО: ОПС.3 (установка только разрешённого ПО/компонентов).
            • Отказоустойчивость: ОДТ.3 (контроль безотказности, локализация отказов, восстановление и тестирование).
            • Разделение функций: ЗИС.1 (разделение функций администрирования ИС, администрирования СЗПДн, обработки ПДн и иных функций).

            По Приказу ФСТЭК №21 состав мер зависит от уровня защищённости ИСПДн: УЗ-4 задаёт базовый обязательный контур, а при переходе к УЗ-3/УЗ-2/УЗ-1 последовательно добавляются меры усиления. Это позволяет выбирать состав защиты пропорционально рискам и критичности обработки ПДн.

            Вывод

            Выбор средств защиты информации применительно к ИСПДн не случаен. Он должен быть обоснован как нормативными требованиями, так и результатами анализа конкретной информационной системы. Основным ориентиром служит категория защищённости ИСПДн, которая определяется исходя из уровня чувствительности обрабатываемых персональных данных, объёма обработки, существующих угроз и архитектуры системы.

            Уровень защищённости определяет перечень обязательных защитных мероприятий и требования к средствам защиты информации: какие именно средства должны использоваться, какой класс и категория, каков уровень доверия к ним. При этом окончательный выбор средств защиты должен основываться не только на нормативных положениях, но и на результатах анализа угроз, архитектурных особенностях системы и условиях её работы. Рассмотрим средства защиты информации для ИСПДн подробнее в следующих статьях.

            ПДн
            Alt text
            Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
            95%
            отсеяно
            при отборе
            Антипов жжет
            Рынок генетического материала.
            Высокий, умный, здоровый = дороже.
            Почему одна сперма стоит 40 евро, а другая - 20000. И при чем тут Дарвин.

            article-title

            rcngroup

            Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.