Сертификация СЭД на соответствие Закону «О персональных данных» Алексей Сидак, Центр безопасности информации Андрей Гриб, компания БОСС-Референт

3 Область автоматизации Прикладное ПО Системное ПО Системы хранения и передачи информации

4 Нормативная база Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства РФ от г.) Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства РФ от г.) Порядок проведения классификации информационных систем персональных данных (Приказы ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/20) Порядок проведения классификации информационных систем персональных данных (Приказы ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/20) Нормативные документы ФСТЭК России Нормативные документы ФСБ России Нормативные документы ФСБ России ++

Базирование на требованиях апробированных документов: – РД АС – РД СВТ – РД МЭ – РД НДВ – СТР-К Учет уровня развития средств и способов защиты информации: – Контроль защищенности – Антивирусная защита – Расширенные требования по управлению доступом, регистрации, сигнализации о нарушениях защиты Преемственность требований 5

6 Общая схема подхода к защите персональных данных Обследование ИСПДн Категорирование ИСПДн Определение базового набора требований безопасности к ИСПДн (РД ФСТЭК, ФСБ) Разработка моделей угроз и нарушителя ТЗ на ИСПДн Профиль защиты ИСПДн Проект СЗИ ИСПДн на основе типовых решений по защите ИСПДн Реализация организационно- технических мер ЗИ Внедрение средств ЗИ Разработка организационно- распорядительной документации Аттестация ИСПДн

Обследование объекта информатизации как правило является первым шагом на пути внедрения системы защиты персональных данных. По результатам обследования выдается Отчет об обследовании, показывающий проблемы, препятствующие развертыванию системы защиты персональных данных, а также – пути решения этих проблем. 7 Предпроектное обследование

Определение класса системы обработки персональных данных Определение дополнительных классификационных признаков системы обработки персональных данных 8 Классификация системы

По категории обрабатываемых персональных данных: 9 Определение класса системы КатегорияОписание 1 КатегорияПерсональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. 2 КатегорияПерсональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к 1 Категории. 3 КатегорияПерсональные данные, позволяющие идентифицировать субъекта персональных данных. 4 КатегорияОбезличенные и/или общедоступные персональные данные.

По объему обрабатываемых персональных данных: 10 Определение класса системы Описание 1В информационной системе одновременно обрабатываются персональные данные более чем субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом. 2В информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования. 3В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Объем Категория 321 Категория 4К4 Категория 3К3 К2 Категория 2К3К2К1 Категория 1К1 11 Определение класса системы

Определяются для каждой конкретной системы согласно Приказам ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/ Классификационные признаки

Результатом классификации системы обработки персональных данных является базовый набор требований по информационной безопасности. Базовый набор требований по информационной безопасности уточняется впоследствии по результатам разработки Модели угроз. 13 Результат классификации системы

Модель угроз 14

Разработка системы защиты персональных данных осуществляется по Техническому заданию в соответствии с порядком, определённым в СТР-К, нормативных документах ФСТЭК России по обеспечению безопасности персональных данных и национальных стандартах по созданию автоматизированных систем в защищенном исполнении. 15 Техническое задание

Профиль защиты представляет собой совокупность минимальных требований для некоторого вида изделий или систем информационных технологий. Эта конструкция идеально подходит для задания обоснованных требований обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных. 16 Профиль защиты

Включает следующие основные элементы: Информационную характеристику объекта защиты Требования, предъявляемые к системе защиты персональных данных Технические решения по построению системы защиты персональных данных, включая: Структуру и состав системы защиты Проектные решения по системе защиты Спецификацию средств защиты 17 Проект системы защиты

Использование встраиваемых в СПО функций позволяет реализовать следующее: Управление доступом к персональным данным Регистрация доступа к персональным данным Учет записей персональных данных Сигнализация нарушения защиты персональных данных Контроль целостности встроенных средств защиты персональных данных и д.р. 18 Встраиваемые функции

Возможность полного контроля персональных данных на уровне записей, полей записей и любых других форм хранения информации Сопровождение единым разработчиком Сертификационная поддержка Возможность построения комплексного решения Возможность широкого тиражирования Унификация многочисленных систем обработки персональных данных 19 Эффект встраиваемых функций

Сертифицированная платформа (ОС, СУБД) Сертифицированное СПО со встроенными механизмами защиты Изложение организационных мероприятий для объекта информатизации Комплект эксплуатационных и организационно-распорядительных документов 20 Состав комплексного решения

Гарантированное выполнение всех требований по защите персональных данных на множестве типовых объектов Возможность использования партнерской сети основных разработчиков для тиражирования решения Легкость в модернизации ранее созданных систем обработки персональных данных Сокращение стоимости и сроков внедрения в большое количество систем обработки персональных данных 21 Преимущества комплексного решения

Организационно-технические меры по обеспечению безопасности персональных данных включают процедуры, регламенты, инструкции, положения которых должны выполняться на объекте информатизации, чтобы обеспечить достаточный уровень контроля и управлять информационной безопасностью. 22 Организационно-технические меры

ОРД – организационно-распорядительная документация. Организационно-распорядительные документы содержат состав и содержание организационно- технических мероприятий по обеспечению безопасности персональных данных на объекте информатизации. Организационно-распорядительные документы должны быть разработаны до ввода объекта информатизации в эксплуатацию. 23 ОРД

Аттестация – процесс подтверждения соответствия системы требованиям по безопасности информации, установленных соответствующими нормативными и руководящими документами регулирующих органов (ФСТЭК России, ФСБ России). 24 Аттестация

Процесс аттестации информационных систем персональных данных процедурно ничем не отличается от процесса аттестации систем на другие классы защищенности, определяемые руководящими документами ФСТЭК России. Аттестатом может подтверждаться соответствие системы одновременно нескольким классам, например, классу 1Г в соответствии с РД АС и классу К3 для информационных систем персональных данных. 25 Аттестация

Настоящим АТТЕСТАТОМ удостоверяется, что: Автоматизированная информационная система ……….. - «АС …» соответствует требованиям нормативной документации по безопасности информации в части защиты от несанкционированного доступа по классам защищенности: класс 1Г – в соответствии с классификацией Руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»; класс К3 – в соответствии с Порядком проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/20). Состав технических и программных средств АС … представлен в Техническом паспорте на Автоматизированную информационную систему …….. 2. Организационная структура, уровень подготовки специалистов, обеспечивают поддержание уровня защищенности АС … в процессе эксплуатации в соответствии с установленными требованиями. 3. Аттестация АС … выполнена в соответствии с Программой и методикой аттестационных испытаний..., утвержденной Председателем Центра безопасности информации ___ ноября 2008 г. 4. С учетом результатов аттестационных испытаний в АС …. разрешается обработка конфиденциальной информации. 5. При эксплуатации АС …. запрещается без согласования с органом по аттестации: изменять состав технических и программных средств, входящих в АС ….; изменять установленный порядок доступа персонала к циркулирующей в АС … служебной и конфиденциальной информации и режим допуска лиц в помещения с оборудованием АС ….; осуществлять другие технические и организационные мероприятия, которые могут создать предпосылки для утечки защищаемой информации за счет несанкционированного доступа к информации. 6. Контроль за эффективностью реализованных мер и средств защиты возлагается на ответственных за обеспечение информационной безопасности АС …. 7. Подробные результаты аттестационных испытаний приведены в Заключении по результатам аттестационных испытаний на соответствие требованиям по безопасности информации Автоматизированной информационной системы ……………………. 3 - «АС …» от ___ декабря 2009 г. 8. «Аттестат соответствия» выдан сроком на 3 года, в течение которого должна быть обеспечена неизменность условий функционирования АС ….. 9. Перечень характеристик, об изменениях которых требуется обязательно извещать орган по аттестации: состав и размещение технических и программных средств АС ….; состав и настройки установленных в АС ….. средств защиты от несанкционированного доступа к информации; изменения в технологическом процессе обработки информации в АС …... Руководитель аттестационной комиссии ______________ __ января 2009 г. Пример Аттестата соответствия

Персональные данные в системах электронного документооборота Обработка обращений граждан Электронные административные регламенты и оказание госуслуг Обработка заявлений физических лиц в коммерческих организациях Данные о сотрудниках организации в модуле «Справочник организации»

Объем Категория 321 Категория 4К4 Категория 3К3 К2 Категория 2К3К2К1 Категория 1К1 28 Оценка класса ИСПДн для систем электронного документооборота

29 Прикладное ПО Системное ПО Системы хранения и передачи информации Аудит безопасности (FAU) Защита данных пользователей (FDP) Идентификация и аутентификация (FIA) Управление безопасностью (FMT) Защита ФБО (FPT) Доступ ОО (FTA) Распределение функций безопасности с системах электронного документооборота

30 СЭД БОСС-Референт OpenReferent on SoftwareUnited (IBM Lotus Domino/Notes + Red Hat Enterprise Linux) Системы хранения и передачи информации ФСТЭК НДВ-4 ФСТЭК ОУД4 ФСТЭК НДВ-4 ФСТЭК ОУД2 Структура сертификации системы электронного документооборота на примере СЭД «БОСС-Референт» Системное ПО Прикладное ПО

Сертификат ОУД (ФСТЭК) Официальное наименование: «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий», (Гостехкомиссия России, 2002 г.) – для оценочного уровня доверия Уровни: от 1 до 7 Что проверяется на сертификационных испытаниях: уровень защищенности ПО корректность работы функций безопасности

Сертификат НДВ (ФСТЭК) Официальное наименование: «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) Уровни: от 4 до 1 Что проверяется на сертификационных испытаниях: Отсутствие «черных ходов» в программном коде

Сведения, предоставляемые разработчиком на сертификационные испытания ОУД Задание по безопасности - основной документ, содержащий описание функций ПО в части безопасности. Описание проектных решений, относящихся к реализации функций безопасности ПО. Тесты, используемые разработчиком для проверки функций безопасности, и подтверждения, что используемые тесты покрывают весь заявленный функционал безопасности. Эксплуатационная документация. НДВ Исходные тексты продукта. Описание, из каких компонент состоит продукт до уровня отдельного исполняемого файла. Описание того, из каких файлов с исходными текстами собираются исполняемые файлы продукта. Описание процедур сборки из исходных текстов дистрибутива, предоставляемого конечным пользователям. Получающийся в результате сборки дистрибутив должен совпадать с тем, который распространяется разработчиком.

Версионность сертифицированных программных продуктов При выпуске обновлений сертифицированного ПО проводится инспекционный контроль: ФБ затронуты ФБ не затронуты Разработчик ПО Новый сертификат Испытательная лаборатория Уведомление ФСТЭК и новые Контрольные суммы

Производство сертифицированных программных продуктов Производство Комплектов сертифицированного ПО – процедура верификации дистрибутивов ПО, находящегося на физических носителях инсталляционного комплекта ПО и формирования Комплекта сертифицированного ПО. Комплект сертифицированного ПО: Верифицированный инсталляционный комплект ПО Эксплуатационная документация ПО, включая Руководство по безопасной настройке и контролю сертифицированного ПС Формуляр на сертифицированное ПС Лицензионное свидетельство ПС Набор информационных материалов Способы производства сертифицированного ПО: Серийное производство (требуется аттестация производства) Партия Единичный экземпляр

36 Спасибо за внимание! Андрей Гриб Генеральный директор , г. Москва, ул. Кржижановского, д.21а тел. (495) Алексей Сидак Директор департамента систем информационной безопасности Кандидат технических наук , Московская обл., г. Юбилейный ул. Пионерская, д. 1/4 тел. (495)