Опыт проектирования системы защиты персональных данных телекоммуникационного оператора

Александр Андрущенко,
директор направления ООО "ИНФОРИОН"

3анимаясь длительное время созданием комплексных решений в сфере защиты информации, наша компания приобрела обширный опыт выполнения подобных работ. Одним из последних интересных проектов является разработка системы обеспечения информационной безопасности (СОИБ) в интересах крупной телекоммуникационной компании. В этой статье мы поделимся новым опытом, полученным в ходе выполнения данного проекта.

Особенность объекта защиты

Прежде всего, следует отметить нетривиальность объекта защиты, в роли которого выступила одна из центральных систем OSS/BSS. Помимо значительного масштаба этой информационной системы (большое количество разнообразного сложного оборудования и приложений, несколько сотен пользователей, наличие удаленных технологических площадок, значительная сетевая инфраструктура) важную роль - с точки зрения проектирования системы безопасности - играло то обстоятельство, что в системе планировалось обрабатывать персональные данные (ПД). Эта особенность и задала основной вектор проектирования СОИБ: ввиду наличия требований к обеспечению информационной безопасности (ИБ) системы в целом и требований к защите ПД в составе СОИБ разрабатывается СЗПД - система защиты персональных данных (см. рис.). При этом, разумеется, соблюдаются все требования законодательства по защите ПД. Наконец, отметим, что в период проектирования СОИБ защищаемая система сама находилась в стадии разработки.

Изучение объекта защиты

Известна аксиома: разработка СОИБ начинается с изучения объекта защиты. Важность аудита как самой информационной системы (ИС), так и ИТ-инфраструктуры сложно переоценить. Хотелось бы отметить особенность рассматриваемого примера выполнения проекта, которая, очевидно, является характерной трудностью проведения подобных работ. Эта особенность связана с предоставлением исходных данных по защищаемой системе, которая, напомним, в нашем случае сама находится в стадии разработки, а не относится к уже существующим системам. Как следствие - низкая степень документированности архитектуры и технических решений, постоянные пересогласования вариантов интеграции составных частей, отсутствие ясности в организационных вопросах и тому подобные факторы, влияющие в конечном счете на качество выполнения работ по защите информации. В данном случае можно рекомендовать, во-первых, "запаздывающее" планирование работ по направлению ИБ, когда проектирование СОИБ идет с некоторой задержкой (как правило, 2-3 недели) относительно разработки самого объекта защиты. Во-вторых, проектировщикам СОИБ следует буквально "погрузиться" в техпроект защищаемой системы. Разумеется, для этого следует обладать необходимыми знаниями в ИТ-сфере и, что не менее важно, -иметь способность наладить взаимодействие с целым рядом рабочих групп (в том числе в рамках нескольких независимых компаний), занятых в создании ИС. В данном проекте экспертам в области безопасности приходилось вести активную работу и с заказчиком, и с подрядчиком, и со всеми контрагентами, привлеченными головным исполнителем.

Уточнение границ объекта защиты

Создание СЗПД, пусть и в рамках более масштабной СОИБ, требует соблюдения всех установок, заложенных в федеральное законодательство и методические документы регуляторов. Для того чтобы адекватно реализовывать такие установки именно там, где это необходимо, потребовалось произвести уточнение границ объекта защиты. На основе определения, приведенного в Федеральном законе № 152-ФЗ "О персональных данных", были четко выделены и зафиксированы те элементы защищаемой ИС, которые образуют информационную систему персональных данных. Как и следовало ожидать, границы ИСПД не совпали с границами ИС в целом. Это обстоятельство позволило отказаться от некоторых избыточных технических решений, поскольку необходимость обеспечивать выполнение требований по защите ПД в масштабах всей ИС сменилась необходимостью реализовать эти требования только в рамках ИСПД как ее составной части.

Дальнейшее проектирование СОИБ велось с учетом наличия в ней СЗПД, а также принципа: "СОИБ - для защиты ИС в целом, СЗПД - для защиты ИСПД, сформированной в составе ИС".

Обработка ПД и определение их перечня

Важный вопрос, который должен решить для себя оператор, - установление необходимости обработки ПД и определение их перечня. В рассматриваемом примере необходимость обработки диктовалась как технологией обслуживания клиентов, так и положениями Федерального закона № 126-ФЗ "О связи", устанавливающего возможность обработки телекоммуникационной компанией информации об абонентах. Положения статьи 53 упомянутого закона легли в основу перечня персональных данных, обрабатываемых в защищаемой ИСПД, зафиксировавшего состав ПД и правовые основания для их обработки.

Как известно, во главу угла при выполнении работ по защите ПД ставится классификация ИСПД. Разумеется, при создании СОИБ, имеющей в своем составе СЗПД, это мероприятие в отношении последней имеет статус обязательного. Важным фактором, влияющим на этот процесс, явилось качество проведенного аудита.
В нормативной базе по защите ПД регуляторы предусмотрели достаточно гибкий инструмент, позволяющий повысить соответствие системы защиты тем угрозам, которые действуют в отношении ПД в конкретной ИС. Этим инструментом является разделение ИСПД на типовые и специальные, а также классификация последних на основе модели угроз безопасности ПД. В рассматриваемом случае группа проектирования совместно со специалистами заказчика пришла к выводу, что защищаемая ИСПД является специальной, поскольку в ней вне зависимости от необходимости обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности. Составленная в соответствии с методическими документами ФСТЭК, частная модель угроз безопасности ПД позволила, во-первых, адекватно определить класс системы и, во-вторых, выделить именно те угрозы, которые являются актуальными и от которых следует защищаться.

Техническое проектирование

Собственно техническое проектирование СОИБ/СЗПД в рассматриваемом случае проводилось без каких-либо особенностей. Имеется достаточное количество вариантов реализации тех или иных сервисов ИБ. Проблем с выбором сертифицированных СЗИ, отвечающих перечню актуальных угроз ПД, также не возникало: на рынке представлено достаточно большое число решений, и проектировщикам остается подобрать наиболее подходящее по требованиям и условиям применения. Особенностью рассматриваемого примера явилась разработка двух групп технических решений по обеспечению ИБ. Первая группа решений ориентировалась на защиту центрального ядра системы и головного филиала заказчика, вторая - на защиту типового регионального филиала (их в структуре бизнеса насчитывается девять).

Отметим, что знание существующей у заказчика системы мер по защите информации позволит использовать уже имеющиеся СЗИ и нормативные документы во вновь создаваемой системе обеспечения безопасности и тем самым снизить конечную стоимость СОИБ и длительность ее разработки, а также избежать излишних трудностей для заказчика при внедрении новых, ранее не использовавшихся СЗИ.

Разработка нормативных документов

Очевидно, что обеспечение ИБ не базируется только на соответствующих технологиях, оборудовании и ПО. Важное место отводится организационным мерам, для чего при создании СОИБ (и СЗПД) разрабатываются необходимые нормативные документы. Поскольку в большинстве случаев система защиты создается не в "чистом поле", важным моментом является гармоничная интеграция вновь разрабатываемых документов в существующую нормативную базу заказчика. И вновь приходится указать на важность предметного пред-проектного обследования: подробная информация об имеющихся у заказчика документах в области защиты информации не только обеспечит построение целостной взаимодополняющей нормативной базы, но и позволит использовать существующие положения при подготовке новых документов по защите информации, включая ПД. Так, в приводимом здесь примере документы, разрабатываемые в рамках проектирования СОИБ, неоднократно ссылались на существующую нормативную базу по таким вопросам, как управление паролями, предоставление доступа к информационным системам, ограничение доступа к сети Интернет, порядок использования отдельных СЗИ, общие обязанности пользователей корпоративной сети. Разумеется, особенности выполнения проекта, связанные с "инкапсуляцией" СЗПД в СОИБ, внесли свой вклад в нормативную составляющую: помимо документов, обязательных к разработке и определенных требованиями ФСТЭК, были подготовлены дополнительные руководства, например частная политика ИБ защищаемой системы.

Выводы

Во-первых, наиболее важными и ответственными этапами создания СОИБ и СЗПД являются предпроектное обследование и классификация ИСПД -это те отправные точки, на которые опираются все дальнейшие действия по разработке технических решений и организационных документов. Во-вторых, следует максимально использовать возможности, заложенные регуляторами в нормативную базу. В-третьих, собственно разработка системы защиты не является чем-то из ряда вон выходящим, но требует от специалистов детальных знаний о защищаемой системе, а также о функциональных возможностях и характеристиках СЗИ. Наконец, подход, при котором система защиты персональных данных рассматривается как составная часть СОИБ, а защищаемая ИСПД - как составная часть более масштабной информационной системы, является вполне работоспособным и позволяет, с одной стороны, реализовать требования к обеспечению ИБ системы в целом, с другой - обеспечить защиту входящей в нее ИСПД, совмещая разработку соответствующих технических решений и нормативных документов в рамках одного проекта.