Внимание! Сдесь много букв и совсем нет картинок. 🙂
Сметая стериотипы, в пятницу вечером я решил написать про защиту информации при ее обработке в государственных структурах.
В недавнем прошлом я присутствовал на совещании, где обсуждалась проблематика защиты информации, содержащую персональные данные и прочие секреты. Оператора, государственную организацию, вопрос защиты живо интересовал, в отличии от владельцев этих данных.
Мне даже стало немножко завидно, т.к. голова насчет 152-ФЗ у этих счастливчиков не болела :). Основной упор делался на использование давно откатанных и, несомненно, эффективных технологий маршрутизации VLAN, НО с помощью несертифицированных средств. Дабы использовать то, что есть и обрезать до минимума бюджет.
По следам того совещания, я собрал по всем доступным источникам и систематизировал информацию, которая, на мой взгляд, достаточно аргументированно объясняет, почему в гос. структурах использование подобных средств недопустимо.
Специфика информационного взаимодействия органов государственной власти, органов местного самоуправления состоит в том, что в их информационных системах накапливается и обрабатывается информация, которая в соответствии с действующим законодательством (указ Президента РФ №188 от 06 марта 1997) классифицируется как конфиденциальная.
Кроме того, в конце января 2007 года вступил в силу Федеральный закон №152-ФЗ «О персональных данных» от 27 июля 2006г.. Ст.19 данного закона устанавливает требования по обязательности использования шифровальных (криптографических средств) для защиты персональных данных при осуществлении их обработки.
Согласно статье 16 ФЗ N 149 «Об информации, информационных технологиях и о защите информации» Обладатель информации в случаях, установленных законодательством Российской Федерации, обязан обеспечить:
- предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
- своевременное обнаружение фактов несанкционированного доступа к информации;
- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
- постоянный контроль за обеспечением уровня защищенности информации.
Само подключение информационных систем к сетям общего пользования (в т.ч. Интернет) или использование незащищенных коммуникаций может привести к возникновению целого ряда реальных угроз безопасности.
Возложенные обязанности по защите информации и созданию и эксплуатации информационных систем требуют от Организаций:
- обеспечить защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в Ваших информационных системах;
- перекрыть каналы утечки и кражи конфиденциальной информации;
- обеспечить защиту от уничтожения данных вследствие незаконного вмешательства в информационные ресурсы и информационные системы;
- предотвращения возможности искажения, подделки хранимой и обрабатываемой информации
Осуществляя деятельность по защите информации, Организации в том числе должны руководствоваться Указом Президента РФ «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» устанавливает запрет на использование организациями и предприятиями несертифицированных шифровальных средств.
Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005) (Приложение к Приказу ФСБ России от 9 февраля 2005г. №66): п. 12 данного положения говорит о том, что «для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, установленным в соответствии с законодательством Российской Федерации».
Последнее требование, в совокупности с требованием, установленным ФЗ «О персональных данных» означает, что для защиты персональных данных, которые в свою очередь являются сведениями конфиденциального характера (в соответствии с п.1 Указа Президента РФ от 6 марта 1997г. №188 «Об утверждении перечня сведений конфиденциального характера»), необходимо использовать СКЗИ и эти СКЗИ должны быть сертифицированными.
В соответствии с Доктриной информационной безопасности Российской Федерации, необходимо принять меры к обеспечению информационной безопасности ИС и обмена данными, как при взаимодействии Оператора с внешними организациями, так и непосредственно внутри организационной структуры.
Обеспечение необходимого уровня безопасности информационных систем и ресурсов государственного учреждения, их целостности и конфиденциальности должно быть основано на:
- применении единых принципов и требований по защите информации от несанкционированного доступа или изменения на всех уровнях;
- применении средств защиты от воздействия компьютерных атак и вирусов
- использовании сертифицированных аппаратных и программных средств предупреждения и обнаружения компьютерных атак и защиты информации, разрабатываемых и производимых организациями, получившими в установленном порядке необходимые лицензии.
Мероприятия по защите информации, передаваемой по каналам связи должны обеспечивать защиту от несанкционированного доступа, просмотра и модификации информации, передаваемой по внешним каналам, посредством использования цифровых сертификатов и протоколов строгой аутентификации для взаимной аутентификации сторон при установлении сетевого соединения и криптографических алгоритмов для обеспечения конфиденциальности и целостности передаваемой информации.
Используемые СКЗИ, должны реализовывать разрешенный к использованию на территории Российской Федерации криптоалгоритм. При этом, должны выполняться требования (рекомендации), указанные в технической документации и сертификате на СКЗИ.
Для защиты потоков данных должны использоваться отечественные криптографические алгоритмы ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 28147-89
Мероприятия по организации межсетевого экранирования должны обеспечивать:
- защиту информационных ресурсов ИС от несанкционированного доступа из внешних сетей;
- разграничение и контроль доступа к сегментам и отдельным узлам ИС;
- контроль доступа пользователей «удаленных рабочих мест», партнерских предприятий (при наличии планов организатора МФЦ по выводу структуры на самоокупаемость), а также пользователей ИС к ресурсам глобальной сети Интернет;
- разграничение доступа пользователей к общим информационным ресурсам.
В соответствии с указом Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» № 611, 2004 г. необходимо ограничить рабочие станции, в которых обрабатывается информация, содержащая сведения, составляющие служебную тайну, а также для которых установлены особые правила доступа к информационным ресурсам от сети Интернет.
Резюме:
В соответствии с вышесказанным, мое мнение следующее: отказ от использования сертифицированных средств защиты информации при обработке конфиденциальной информации в государственных органах ведет к нарушению целого ряда Федеральных Законов и других нормативных актов. Статья 24 закона № 152-ФЗ гласит: “Лица, виновные в нарушении требований настоящего федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность”. Использование сколь угодно надежных, но не сертифицированных средств, при организации обработки информации ограниченного доступа между операторами ПД и другой конфиденциальной информации неизбежно влечет за собой ответственность оператора в случае утечки или проверки контролирующего органа.
действительно много букф… прочитав половину, я так и не понял, о чём здесь (: Дава в след раз картинками мысли излагай!!!
Да, постараюсь че нито найти….
Да тут ничего такого сложного, мораль сей басни такова, накосячишь — будешь отдуваться. Так что не допускайте того, чтобы вас потом звали так же, как меня xDD
Kosyachello’s last blog post..Огонек надежды