Несмотря на инертность нашего общества, правительство все же демонстрирует достаточно жесткую позицию в отношении соблюдения норм, касающихся информационной безопасности.
Объявленный «черный день» календаря — 1 января 2010года — уже не за горами. Это значит, что у организаций, подпадающих под определение «оператор персональных данных», осталось совсем немного времени для того, чтобы привести свои системы в соответствие с требованиями Федерального закона «О персональных данных». И чем позже это будет сделано, тем болезненнее может сказаться на бизнесе, поскольку за ограниченный период придется выполнить весьма значительный объем работ.
Отбросив все доводы в пользу отсрочек и оглядок на российский менталитет, русское «авось» и тому подобные отговорки, признаем, что гарантия защищенности данных о личности — это здравая тенденция. Благодаря мощному пиару Федерального закона силами всех вовлеченных сторон все больше граждан задумываются о том, действительно ли защищены их персональные данные, должны ли они отдавать свой паспорт на входе охраннику и могут ли они доверять тому или иному банку. Эволюции отношения к своим реквизитам и их защите в немалой степени способствуют постоянно появляющиеся в прессе заметки об утечках информации. По данным обнародованного в марте исследования аналитического центра InfoWatch, в 2008 году было зафиксировано 530 утечки, что существенно больше показателей предыдущего года. Эксперты констатируют, что растет не только количество прецедентов, но и внимание общественности к ним. Больше всего утечек (55,8%) в прошлом году зафиксировано среди коммерческих предприятий. На втором месте — общественные объединения и учебные заведения (24% случаев), на третьем — госорганы (19,6%). В сводной таблице среди стран — «лидеров» по количеству утечек информации Россия расположилась на десятом месте. Такая позиция объясняется традиционно высоким уровнем латентности в этой области: за прошлый год публичной огласке было предано всего 6 прецедентов.
Итак, с одной стороны, над компаниями довлеет показатель роста угроз информационной безопасности, с другой — требования регулятора. Зачастую в сложившейся ситуации руководители считают, что их вынуждают срочно принять меры по защите всей информационной инфраструктуры. И в этом есть доля правды. С точки зрения экономической оценки рисков новые требования законодательных актов лишь становятся еще одним риском ИБ, способным серьезно повлиять на функционирование бизнеса и, возможно, стать решающим аргументом для построения эффективных систем информационной безопасности.
Закон гласит
Согласно статье 19 ФЗ-№152, «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Основные мероприятия по защите ПД должны быть реализованы в рамках подсистем управления доступом, регистрации и учета, обеспечения целостности данных и систем, криптографической защиты, антивирусной защиты и защиты информационного взаимодействия. Более конкретный состав мероприятий по защите ПД определяется в зависимости от класса и характеристик ИС.
Во всех крупных компаниях, обладающих зрелой ИТ-инфраструктурой, уже реализованы регламенты для сохранения целостности информационных систем, развернута мощная антивирусная защита. В большинстве случаев решается вопрос регистрации и учета событий, связанных с доступом к данным и их изменениями. Не пытаясь объять необъятное, предпримем попытку разобраться в требованиях к подсистеме доступа, согласно нормативной базе связанной с защитой персональных данных, и попробуем предложить один из возможных подходов к ее созданию. Тем более что многие крупные операторы персональных данных стоят сегодня перед необходимостью обеспечения криптографической защиты информации и безопасного, контролируемого доступа к ней.
Ключевой вопрос доступа
Порядок проведения классификации информационных систем персональных данных предполагает, что по разграничению прав доступа пользователей информационные системы подразделяются на имеющие и не имеющие ограничений прав доступа.
Требования регулятора при многопользовательском режиме доступа с разными уровнями и правами доступа (с точки зрения корпоративного использования другого сценария и быть не может) в соответствующей подсистеме должны включать
• идентификацию и проверку подлинности субъектов доступа по идентификатору;
• идентификацию терминалов, технических средств обработки ПДн, узлов ИСПДн, каналов связи, внешних устройств ИСПДн;
• идентификацию программ, файлов, каталогов, полей записей и т.п.;
• контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Наиболее адекватным средством выполнения всего перечня этих требований на практике являются аппаратные электронные ключи для аутентификации и хранения криптографических ключей и сертификатов, созданные на базе смарт-карты. При выборе этих устройств целесообразно прислушаться к рекомендациям ведущих отечественных разработчиков СКЗИ. Так, например, рекомендованным средством аутентификации и носителем ключевой информации для криптопровайдера КриптоПро CSP является сертифицированный ФСТЭК электронный ключ eToken. Это устройство может использоваться в информационных системах, содержащих персональные данные (ИСПДн) второго класса и в автоматизированных системах до класса защищенности 1Г включительно.
Помимо перечисленных требований по идентификации субъектов, участвующих в информационном обмене, устройства класса eToken позволяют решать задачу регистрации и учета входа/выхода субъектов доступа в систему и из нее.
Когда счет идет на тысячи
Задача проектирования, разработки и внедрения подсистемы обеспечения доступа к конфиденциальной информации и персональным данным усложняется на порядок, если речь идет о многофилиальных корпорациях или территориально распределенных коммерческих и госструктурах. Понятно, что для крупных компаний решение проблемы централизованного управления всегда уникально, здесь не может быть «общего рецепта». Однако стремление снизить возможные риски, связанные с администрированием подсистемы доступа, является общим для всех. С этой точки зрения адекватным подходом является внедрение специализированных систем управления жизненным циклом идентификаторов(Token Management System), на базе которых реализуется интеграция, применение и учет идентификаторов в масштабах предприятия.
Базовые функции TMS включают инициализацию токена, ввод в эксплуатацию, персонализацию токена, добавление возможности доступа к различным ресурсам, а также его отзыв, замену или временную выдачу нового токена, разблокирование ПИН-кода, обслуживание вышедшего из строя устройства и отзыв его.
Система TMS, основанная на открытой архитектуре, обладает рядом преимуществ в части экономии ресурсов и затрат. Открытая архитектура позволяет не только легко интегрировать систему управления токенами в существующую ИТ-инфраструктуру и системы управления идентификацией и доступом (IAM), но и оказывать налаженную поддержку целому спектру приложений безопасности. «Открытые» ТМS дают возможность управлять использованием токенов с решениями по безопасности сторонних разработчиков. Эта возможность достигается путем применения «коннекторов» TMS — настраиваемых подключаемых модулей, использующихся на сервере. Кроме того, система TMS предоставляет набор интерфейсов, который может быть использован разработчиком для написания собственных коннекторов, позволяющих поставщикам решений безопасности дополнять свои использующие токены решения средствами администрирования.
Использование системы управления доступом и идентификацией субъектов информационного обмена в сочетании с решениями для криптографической защиты данных и соответствующими организационными мерами позволяет реализовать и такие требования, как периодическое тестирование и восстановление СЗИ. Не будет лишним добавить, что система TMS, как и средства аутентификации и хранения ключевой информации, для управления которыми она предназначена, имеет необходимый для построения СЗИСПДн сертификат соответствия.
В качестве резюме
В свете статьи 19 закона «О персональных данных» информационная система с зашифрованными данными, доступ к которой могут получить только авторизованные пользователи, использующие персонализированные электронные ключи, сможет пройти аттестацию и получить лицензию ФСТЭК без дополнительных сложностей. Следует понимать, что только при организации четкой и однозначной идентификации, аутентификации и авторизации пользователей оператор персональных данных может гарантировать, что доступ к персональным данным для выполнения своих служебных обязанностей имеет лишь ограниченный круг ответственных лиц. При условии использования отечественных криптографических алгоритмов шифрования украсть персональные данные пользователей в данном случае будет практически невозможно.
Если взвешенно оценить требования закона «О персональных данных», то можно прогнозировать постепенную трансформацию информационных систем российских организаций. Благодаря новой инициативе правительства со временем системы ИБ станут значительно разумнее. Все это этапы перехода к зрелому отношению к информационным технологиям и информационной безопасности. Надо отметить, что в рамках экономического кризиса многие компании начинают рационализировать применение информационных технологий, стремясь повысить их эффективность и сократить издержки. Похоже, информационная безопасность не станет исключением, и, несмотря на существующие сегодня ограничения в средствах, компаниям все же придется взяться за реализацию эффективной системы ИБ и построение надежной инфраструктуры разграничения доступа к конфиденциальным данным.
Windows 7
версия для печати
другие статьи автора
оставить комментарий (0) 
