Меры и средства защиты
Блокирование (нейтрализация) актуальных угроз обеспечивается выбором мер по обеспечению безопасности персональных данных и их реализацией в системе защиты персональных данных. Состав необходимых для каждого уровня защищенности персональных данных мер защиты устанавливается ФСТЭК России44. Оператор из предложенного перечня мер должен выбрать те, которые позволяют нейтрализовать актуальные угрозы безопасности при обработке персональных данных.
Если оператор считает, что отдельные меры из перечня регулятора невозможно технически реализовать в школьной информационной системе или их реализация в школьной информационной системе нецелесообразна по экономическим соображениям, он может взамен этих мер применить иные, компенсирующие меры, обеспечивающие нейтрализацию актуальных угроз. В этом случае оператор должен обосновать применение этих компенсирующих мер и доказать, что они способны нейтрализовать актуальные угрозы безопасности.
Выбираем меры по защите персональных данных
Правильный выбор мер и средств защиты информации требует специальных знаний и навыков, которые не характерны для работников школы. Поэтому на этом этапе может потребоваться консультация специалистов из организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации.
Классификация мер защиты персональных данных.
В систему защиты персональных данных в зависимости от актуальных угроз безопасности и структурно-функциональных характеристик информационной системы45 включаются следующие классы мер:
идентификацию и аутентификацию субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защиту машинных носителей информации;
регистрацию событий безопасности;
антивирусную защиту;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и информации;
обеспечение доступности персональных данных;
защиту среды виртуализации;
защиту средств обработки информации;
защиту информационной системы, ее средств и систем связи и передачи данных;
выявление инцидентов безопасности персональных данных;
управление конфигурацией информационной системой и системой защиты.
Меры по идентификации и аутентификации призваны обеспечивать присвоение субъектам доступа и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту предъявленного им идентификатора.
Меры по управлению доступом направлены на управление правами и привилегиями субъектов доступа, разграничение доступа субъектов к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль соблюдения этих правил.
Меры по ограничению программной среды служат для исключения возможности установки (инсталляции) неиспользуемого в обработке персональных данных или запрещенного к использованию программного обеспечения, в том числе средств разработки и отладки программ.
Меры по защите машинных носителей информации позволяют исключить несанкционированный доступ к носителям и персональным данным хранящимся на них, а также несанкционированное использование съемных машинных носителей информации.
Меры по регистрации событий безопасности обеспечивают распознавание, запись, хранение и защиту информации о событиях в информационной системе, относящихся к безопасности персональных данных, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
Меры по антивирусной защите направлены на обнаружение в информационной системе компьютерных программ, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования персональных данных или нейтрализацию средств защиты.
Меры по обнаружению (предотвращению) вторжений служат для обнаружения действий по несанкционированному доступу к информации с целью ее добывания, уничтожения и блокирования.
Меры по контролю (анализу) защищенности персональных обеспечивают проведение систематического анализа защищенности информационной системы и тестирование работоспособности системы защиты информации.
Меры по обеспечению целостности информационной системы и информации направлены на обнаружение фактов нарушения целостности информационной системы и информации, и позволяют восстановить информационную систему и информацию.
Меры по обеспечению доступности персональных данных обеспечивают авторизованный доступ пользователей, имеющих право доступа к персональным данным в штатном режиме эксплуатации информационной системы.
Меры по защите средств обработки информации позволяют ограничить доступ к техническим средствам обработки персональных данных, средствам обеспечения функционирования информационной системы и в помещения в которых они постоянно расположены, а также защиту технических средств от внешних воздействий.
Меры по защите информационной системы, ее средств и систем связи и передачи данных служат для защиты информации при взаимодействии сегментов информационной системы, информационной системы с другими информационными системами и информационно-телекоммуникационными сетями.
Меры по выявлению инцидентов безопасности персональных данных направлены на обнаружение, идентификацию и анализ инцидентов, а также принятие мер по их устранению.
Меры по управлению конфигурацией информационной системой и системой защиты позволяют контролировать изменения конфигурации информационной системы и системы защиты, а также проводить анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных.
Отметим, что для 3 уровня защищенности персональных данных, который характерен для школьных информационных систем, обрабатывающих биометрические и специальные категории персональных данных, меры по обнаружению вторжений, обеспечению целостности информационной системы, ограничению программной среды, обеспечению доступности персональных данных, защите среды виртуализации, выявлению инцидентов и реагированию на них выполнять не требуется, что значительно упрощает систему защиты и сокращает расходы на ее создание. А для 4 уровня защищенности персональных данных, типичного для большинства остальных школьных информационных систем, обрабатывающих общедоступные и иные категории персональных данных, дополнительно исключаются меры, направленные за защиту машинных носителей и управление конфигурацией информационной системы и системы защиты персональных данных.
Общий порядок действий по выбору мер защиты информации.
Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в системе защиты персональных данных, проводится в следующей последовательности:
выбор базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных, обрабатываемых в информационной системе;
адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам информационной системы и с учетом целей защиты персональных данных (конфиденциальности, целостности, доступности);
дополнение адаптированного базового набора мер дополнительными мерами приведенными в приказе ФСТЭК России, но не определенными в качестве базовых, но необходимых для блокирования (нейтрализации) актуальных угроз безопасности, а также дополнительными мерами, обеспечивающими выполнение требований по обеспечению безопасности персональных данных, установленными иными нормативными правовыми актами в области защиты информации.
Алгоритм действий по выбору мер защиты информации приведен в Приложении № 4.
Определение базового набора мер защиты информации.
Определение базового набора мер защиты является первым шагом в выборе мер защиты. Состав базового набора мер защиты информации напрямую зависит от требуемого уровня защищенности персональных данных, который был определен для персональных данных, обрабатываемых в школе. В качестве начального выбирается один из четырех базовых наборов мер защиты информации из приложения к приказу ФСТЭК России.
Требования базового набора мер защиты являются минимальными требованиями, выполнение которых должно быть обеспечено, если эта мера не исключена на последующем этапе (этап адаптации базового набора мер защиты). Содержание каждой базовой меры защиты информации можно найти в приказе ФСТЭК России.
Состав и содержание базового набора мер защиты для 3 уровня защищенности персональных данных, а также способы их реализации и типы необходимых технических средств защиты приведен в Приложении № 8.
Адаптация базового набора мер.
Вторым шагом после является изменение начально выбранного базового набора мер защиты в части его максимальной адаптации к структуре школьной информационной системы и особенностям ее эксплуатации. При адаптации базового набора мер защиты информации надо учитывать:
цели и задачи защиты персональных данных в информационной системе;
мероприятия проводимые по обеспечению безопасности в школе в целом;
применяемые информационные технологии и структурно-функциональные характеристики информационной системы.
Адаптация базового набора мер защиты предусматривает исключение мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе. Например, в школьной информационной системе при обработке персональных данных не используются технологии виртуализации или беспроводного подключения компьютеров. В этом случае все меры, направленные на защиту среды виртуализации или каналов беспроводного доступа и приведенные в базовом наборе мер защиты, могут быть исключены. Нам этом этапе набор мер защиты может существенно сократиться по сравнению с базовым.
Уточнение адаптированного набора мер.
После адаптации базового набора мер, проводится уточнение адаптированного набора мер защиты информации. Это делается для того, чтобы оценить возможности этого набора мер защиты информации адекватно блокировать (нейтрализовать) все актуальные угрозы безопасности, включенные в модель угроз, или, по крайней мере, снизить вероятность их реализации исходя из условий функционирования информационной системы. Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень актуальных угроз безопасности информации и их характеристики (потенциал, оснащенность, мотивация), включенные в модель угроз безопасности информации.
При уточнении адаптированного набора мер защиты информации для каждой угрозы безопасности информации, включенной модель угроз, из адаптированного набора мер защиты информации сопоставляется мера защиты информации, обеспечивающая блокирование этой угрозы или снижающая вероятность ее реализации. В случае, если адаптированный набор мер защиты информации не обеспечивает перекрытие всех угроз безопасности информации в него включаются дополнительные меры защиты информации, покрывающие эти угрозы. Такие меры выбираются из состава мер, приведенных в приложении к приказу ФСТЭК России для соответствующего уровня защищенности персональных данных. При этом содержание такой меры защиты информации определяется с учетом потенциала нарушителя. В результате этих действий, вполне вероятно, что набор мер защиты будет расширен.
На этом же этапе проводится выбор компенсирующих мер блокирования (нейтрализации) актуальных угроз безопасности и обоснование необходимости их реализации.
Дополнение уточненного адаптированного набора мер.
Если в информационной системе кроме персональных данных обрабатывается другая информация, для которой законами установлены особые требования по защите (например, в бухгалтерии наряду с фамилией именем и отчеством работников школы может обрабатываться информация, отнесенная к банковской или налоговой тайне), то в этом случае уточненный адаптированный набор мер надо дополнить специфическими мерами, обеспечивающими выполнение особых требований, если они не перекрываются уже выбранными.
При дополнении уточненного адаптированного набора мер защиты может быть обосновано, что меры защиты информации, включенные в уточненный адаптированный набор мер защиты информации, достаточны для выполнения требования, установленного специальными нормативными актами и в этом случае дополнение уточненного адаптированного базового набора мер защиты не требуется. А может быть потребуется усиление требований к некоторым мерам защиты, ранее включенным в уточненный адаптированный набор мер, и обоснование их достаточности для выполнения установленного нормативным актом требования.
Выбираем средства защиты информации.
Некоторые меры защиты информации требуют технической реализации, то есть использования встроенных в программное обеспечение специальных функций безопасности, либо применения дополнительных средств защиты. Согласно требованиям регуляторов, все средства защиты информации, используемые для защиты персональных данных должны пройти обязательную процедуру оценки соответствия требованиям законодательства РФ по безопасности информации. Такая оценка проводится в форме сертификации средств защиты. Поэтому для выбора средств защиты целесообразно использовать Реестры средств защиты информации, прошедших сертификацию и публикуемых на официальных сайтах ФСТЭК России и ФСБ России.
При оценке (сертификации) средств защиты определяется тот набор функций безопасности, которые они могут реализовать. В зависимости от набора этих функций, средствам защиты присваивается класс защищенности в зависимости от их предназначения. Для каждого уровня защищенности персональных данных требуются средства защиты определенного класса. Для облегчения выбора нужного средства защиты, в Приложении № 6 указаны типы средств защиты, которые можно использовать для реализации мер защиты для 3 уровня защищенности персональных данных, а в Приложении № 7 дано соотношение классов средств защиты с требуемыми уровнями защищенности персональных данных.
|
