Использование шифровальных (криптографических) средств для обеспечения безопасности персональных данных 2009 г. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Оператор обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, распространения и т.д. 2 Нормативные документы разработанные ФСБ России ,ФСТЭК России и Минкомсвязи России «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 и разработанным на его основе документов ФСТЭК России и ФСБ России «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 В 2008 г. ФСТЭК России, ФСБ России и Минкомсвязи России разработан и подписан совместный приказ «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20, который зарегистрирован в Минюсте России за № 11462 от 3.04.2008 3 Мероприятий по техническому обеспечению безопасности персональных данных -мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с персональными данными; -мероприятия по закрытию технических каналов утечки персональных данных при их обработке в информационных системах; -мероприятия по защите от несанкционированного доступа и т.д. 4 В случае если не удалось обеспечить безопасность указанными выше методами определяется необходимость использования средств криптографии для обеспечения безопасности персональных данных и реализуется комплекс соответствующих (а при необходимости дополнительных) организационных и технических мер. При этом: -в случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России; -в случае определения оператором необходимости использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России и Методические рекомендации ФСБ России. Из двух содержащихся в документах однотипных угроз выбирается наиболее опасное. 5 В современных условиях любая система защиты информации имеет, по крайней мере, два уязвимых места: Во-первых сотрудника организации, который с одной стороны, юридически и физически слабо защищен от различных криминальных проявлений и незаконных действий. С другой стороны - юридически безответственен из-за сложностей формирования доказательной базы. Во-вторых, не защищенные каналы связи. Таким образом, необходимость применения криптосредств прежде всего проявляется в следующих случаях: -в системах, являющихся комплексами автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи. Необходимость криптографической защиты информации возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю, например - незащищенные от несанкционированного доступа средства хранения информации и каналы связи; -в системах, являющихся многопользовательскими, в которых в соответствии с моделью угроз введено разграничение прав доступа пользователей и возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами. 6 Документы, разработанные ФСБ России во исполнение Федерального закона № 152-ФЗ «О персональных данных» и Постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» 7 Методические рекомендации Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и позволяют: -сформировать модели угроз и нарушителей и на их основе определить требуемый уровень криптографической защиты персональных данных и, как следствие, требуемый класс защиты применяемого криптосредства; а также определяют встраивания криптосредства. Требования к контролю 8 В соответствии с Методическими рекомендациями: Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы). Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России. Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России. Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России. 9 Типовые требования Типовые требования предназначены для использования операторами информационных систем и определяют: -организационно-технические меры при развертывании и эксплуатации информационных систем; -порядок обращения с криптосредствами и криптоключами к ним; -мероприятия при компрометации криптоключей; -порядок размещения, специального оборудования, охраны и организации режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним. 10 Организация и обеспечение безопасности обработки персональных данных Необходимо руководствоваться следующими документами: Постановлением Правительства РФ от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»; Приказом ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005). Правилами пользования, требованиями формуляра, руководства оператора, сертификата и другими документами на используемое средство криптографической защиты. 11 При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных с использованием криптосредств оператор должен осуществлять: -установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией на эти средства; -проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации; -обучение лиц, использующих криптосредства, работе с ними; -поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним; -учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационной системе (пользователей криптосредств); -контроль за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним; -разбирательство и составление заключений по фактам нарушения условий хранения и использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений. 12 Предлагаемые виды проверок В зависимости от ведомственного состава участвующих в их проведении: Комплексные - которые проводятся одновременно по всем направлениям контроля и надзора, с проверкой соблюдения оператором обязательных требований и норм, установленных нормативными правовыми актами в области обработки персональных данных и требований к обеспечению их безопасности. Целевые - которые проводятся с целью оценки соблюдения требований к обеспечению безопасности персональных данных, установленных постановлениями Правительства РФ, при этом проверки могут проводиться: -совместно со ФСТЭК России; -силами специалистов 8 Центра ФСБ России или сотрудников территориальных органов безопасности в части использования криптосредств. 13 Необходимо отметить, что мероприятия по государственному контролю и надзору за использованием средств криптографии, применяемых для защиты персональных данных, будут проводиться исходя из следующих основных принципов: -оценка выполнения требований к обеспечению безопасности осуществляется в соответствии с требованиями Федерального закона без ознакомления с персональными данными; -работы проводятся в строгом соответствии с требованиями Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)». 14 Спасибо за внимание! Москва, 2009