Практика внедрения систем защиты персональных данных

Алексей Липатов
Технический руководитель направления отдела информационной безопасности компании "Открытые Технологии"

С принятием Федерального закона от 27.07.06 г. № 152-ФЗ "О персональных данных" большинство российских организаций столкнулось с необходимостью применения комплекса мер и средств защиты персональных данных (ПД). Рассмотрим более подробно практику внедрения и эксплуатации систем защиты, призванных обеспечить безопасность информации.

Для обеспечения безопасности ПД в организации требуется построить систему защиты персональных данных. В ходе ее создания нужно предусмотреть комплекс организационных, технических, программных мер и средств по защите ПД при автоматизированной обработке, хранении и передаче.

Внедрение системы защиты персональных данных осуществляется с учетом законодательных требований РФ по информационной безопасности и производится в следующем порядке.

Первый этап (разработка системы защиты ПД)

На первом этапе проекта (разработка системы) проводится обследование информационной системы персональных данных (ИСПД) на предмет выполнения требований по обеспечению их безопасности и определения требований по защите информации. Производится сбор и предварительная обработка исходных данных о системе и принятых мерах защиты, составляется перечень защищаемых информационных активов; анализируется эффективность существующих защитных мер и степень их соответствия требованиям нормативно-методических документов ФСТЭК и ФСБ России. Далее формируется частная модель угроз безопасности ПД применительно к конкретным условиям функционирования, определяется класс системы.

Вслед за этим разрабатываются предложения по необходимым защитным мерам как организационного, так и технического характера.

Непосредственное определение требований по обеспечению безопасности данных осуществляется в рамках технического задания (ТЗ) на создание системы защиты ПД. Такое ТЗ должно содержать:

1. Исходные данные о системе в техническом, программном, информационном и организационном аспектах.
2. Требования к создаваемой системе, формируемые на основе положений РД ФСТЭК и ФСБ России и установленного класса системы (либо частной модели угроз ИБ - для специальных систем).
3. Перечень руководящих и нормативных документов, в соответствии с которыми будет создаваться система защиты ПД.
4. Перечень предполагаемых к использованию средств обеспечения безопасности.
5. Состав, содержание, сроки и результаты проведения работ по этапам создания системы.

После оформления технического задания необходимо осуществить разработку технического проекта и рабочей документации. В частности, подготовить пояснительную записку, излагающую принятые решения по организационным мерам, а также внедряемым техническим и программным средствам обеспечения безопасности ПД.

Второй этап (внедрение системы защиты ПД)

На втором этапе проекта - этапе непосредственного внедрения системы защиты персональных данных - проводится поставка средств защиты информации, их пусконаладка, внедрение организационных мер защиты, обучение сотрудников по ИБ, опытная эксплуатация системы и ее аттестация на соответствие требованиям по безопасности.
При построении системы следует учитывать некоторые важные моменты.

Так, при создании подсистемы защиты от несанкционированного доступа на базе встроенных, например, в операционные системы механизмов защиты такие механизмы должны пройти сертификационные испытания в системе сертификации ФСТЭК России на отсутствие недекларированных возможностей.

При построении системы обнаружения вторжений следует использовать также системы обнаружения атак, сертифицированные уже ФСБ России. А для проведения организацией, имеющей информационные системы класса К1, К2 и К3, мероприятий по защите ПД своими силами в штате компании должно быть не менее двух специалистов, имеющих диплом о высшем образовании в области ИБ или свидетельство государственного образца о повышении квалификации в сфере защиты информации, а также лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Для защиты системы шифровальными средствами и обслуживания их своими силами организация должна получить еще лицензию ФСБ России на техническое обслуживание шифровальных средств.

Доказано на опыте

Внедрение системы защиты персональных данных в соответствии с предлагаемой выше методологией позволяет получить организации целый ряд преимуществ, таких как: снижение рисков, связанных с регуляторами, объективное повышение уровня ИБ корпоративной системы и, как следствие, доверие к организации со стороны партнеров и клиентов.