Інформаційна безпека, захист інформації по 152 ФЗ про персональні дані у всіх послугах Техносерв Cloud

Побудова системи захисту інформації
Два ізольованих сегмента Техносерв Cloud
ДОВІДКОВА ІНФОРМАЦІЯ
Визначення рівня захищеності персональних даних

Корпоративна інформаційна система будь-якої великої організації являє собою розподілену і неоднорідну систему, що включає до свого складу безліч процесів: управління персоналом, користувачами, інформаційною безпекою, програмними і технічними засобами та ін. Ця система зазвичай взаємодіє з різними мережами загального користування та глобальними корпоративними мережами. У зв'язку з цим значно ускладнюється завдання правильного, ефективного та безпечного управління цією системою, конфігурування різних її компонент і забезпечення захищеної взаємодії між ними. Як наслідок, збільшується кількість недоліків, порушень і вразливих місць в системі.

Разом з тим, в останні роки неухильно зростає число кібератак, більш того, з кожним роком атаки стають все більш складними і витонченими. У 2017 році ключовими були атаки вимагачів WannaCry, ExPetr і BadRabbit. Дані атаки показали, що під ударом можуть опинитися приватні компанії і державні установи будь-якого розміру і будь-якого роду діяльності.

У той же час законодавство не стоїть на місці, постійно виходять нові нормативно-правові акти, що визначають вимоги щодо захисту інформації. На даний момент найбільш зарегульованими областями є наступне:

захист персональних даних;
захист державних інформаційних систем;
забезпечення захисту інформації при здійсненні переказів грошових коштів;
захист відомостей, що становлять комерційну таємницю;
захист об'єктів критичної інформаційної інфраструктури (нова область, в 2018 році виходить безліч нормативно-правових актів).

При цьому законодавством визначені не тільки вимоги щодо захисту інформації, а й перевірки регулюючими органами виконання цих вимог.

Таким чином, однією з найбільш критичних завдань будь-якого російського підприємства і державного органу, яке обробляє інформацію обмеженого доступу, є забезпечення інформаційної безпеки.

Побудова системи захисту інформації

Створення системи інформаційної безпеки, що відповідає вимогам російського законодавства, власними силами є, як правило, технічно складної і витратною завданням, так як необхідно за обмежений проміжок часу вирішити величезну кількість завдань: розробка проектного рішення, впровадження засобів захисту, розробка організаційно-розпорядчої документації та впровадження процесів інформаційної безпеки, навчання працівників та інше.

Схематично, основні етапи процесу побудови системи захисту інформації наведені на малюнку нижче.

На етапі обстеження здійснюється збір і аналіз даних про інформаційну систему клієнта і застосовних вимог законодавства РФ, уточнення потреб клієнта, остаточний вибір ізольованого сегмента платформи Техносерв Cloud ( «Захищений» або «Закритий») і вироблення пропозицій щодо розмежування зон відповідальності в частині забезпечення інформаційної безпеки .

Розробка (актуалізація) моделі загроз і порушника, а також актів класифікації (для державних систем і систем персональних даних) проводиться опціонально за вашим бажанням.

На етапі проектування, наші фахівці розробляють технічне завдання і технічний проект системи захисту інформаційної системи, розміщеної в ізольованому сегменті платформи Техносерв Cloud. При цьому в рамках технічного проектування враховуються засоби захисту, вже застосовуються для забезпечення інформаційної безпеки інфраструктури ізольованого сегмента Техносерв Cloud (періметрових засоби захисту, засоби захисту середовища віртуалізації і ін.).

В рамках міграції фахівці компанії «Техносерв» надають супровід міграції інформаційної системи і застосовуваних клієнтом засобів захисту в ізольований сегмент Техносерв Cloud.

За вашим бажанням фахівці «Техносерв» можуть додатково надати наступні послуги:

впровадження додаткових (в тому числі сертифікованих) засобів захисту інформації;
організація захищеного віддаленого доступу з майданчиків клієнта до його системі в ізольованому сегменті Техносерв Cloud (в тому числі із застосуванням сертифікованих засобів криптографічного захисту інформації);
розробка комплекту документаційного забезпечення, що задовольняє вимогам законодавства РФ і внутрішнім стандартам клієнта;
атестація інформаційної системи клієнта, розміщеної в ізольованому сегменті платформи Техносерв Cloud за вимогами безпеки інформації (компанія «Техносерв» володіє ліцензією ФСТЕК Росії, що дає право надавати послуги з атестації на відповідність вимогам щодо захисту інформації);
періодичне сканування інформаційної системи клієнта, розміщеної в ізольованому сегменті Техносерв Cloud на наявність вразливостей в процесі її експлуатації.

Також фахівці компанії «Техносерв» завжди надають клієнтам консультаційну допомогу в рамках вирішення будь-якої з вищезазначених завдань.

Свої запитання, пов'язані з інформаційною безпекою в хмарі, направляйте, будь ласка, на адресу [email protected] .

Два ізольованих сегмента Техносерв Cloud

Платформа Техносерв Cloud розділена на два ізольованих один від одного сегмента: сегмент «Захищений» і сегмент «Закритий». Необхідність розміщення інформаційних систем клієнтів в тому чи іншому сегменті визначається вимогами законодавства РФ і внутрішніх документів клієнта до забезпечення інформаційної безпеки.

У таблиці нижче наведені відмінності між закритим і захищеним сегментами платформи Техносерв Cloud.

параметр сегмента

захищений

закритий

Розміщення систем, в яких обробляються відомості, що становлять комерційну таємницю клієнта

Так

Розміщення інформаційних систем персональних даних

До 3 рівня захищеності персональних даних включно

До 1 рівня захищеності персональних даних включно

Розміщення державних інформаційних систем Немає До 1 класу захищеності включно Розміщення систем, що обробляють відомості про перекази грошових коштів та / або дані власників банківських карт Так Ні

Відповідність законодавству РФ

Наказ ФСТЕК Росії від 18.02.2013 №21 (3 і 4 рівні захищеності);
Payment Card Industry Data Security Standard (PCI DSS);
Положення Банку Росії від 09.06.2012 №382-п;
Стандарт Банку Росії (СТО БР).

Наказ ФСТЕК Росії від 11.02.2013 №17 (до 1 класу захищеності включно);
Наказ ФСТЕК Росії від 18.02.2013 №21 (до 1 рівня захищеності включно).

Середовища віртуалізації OpenStack-KVM, VMware VMware Засоби захисту Сертифіковані і несертифіковані засоби захисту Виключно сертифіковані засоби захисту

сертифікація /

атестація

Сертифікат відповідності (як сервіс-провайдера) вимогам PCI DSS

Інфраструктура сегмента атестована на відповідність вимогам захисту інформації, що пред'являються до державних систем до 1 класу захищеності включно і системам персональних даних з рівнем захищеності до 1 включно.

ДОВІДКОВА ІНФОРМАЦІЯ

Класифікація державних інформаційних систем

Класифікація державних інформаційних систем здійснюється за трьома класами захищеності відповідно до вимог Наказу ФСТЕК Росії від 11.02.2013 №17 «Про затвердження вимог про захист інформації, яка не становить державну таємницю, що міститься в державних інформаційних системах».

Клас державної інформаційної системи визначається в залежності від значимості, оброблюваної в ній інформації і масштабу системи.

Значимість інформації визначається ступенем можливого збитку для власника інформації або оператора від порушення конфіденційності (неправомірного доступу, копіювання, надання або поширення), цілісності (неправомірних знищень або модифікування) або доступності (неправомірного блокування) інформації. Ступінь можливого збитку визначається власником інформації або оператором самостійно (експертним або іншими методами) і може бути високим, середнім або низьким.

Масштаб державної інформаційної може бути наступним:

Федеральний - якщо система функціонує на території РФ (в межах федерального округу) і має сегменти в суб'єктах Російської Федерації, муніципальних утвореннях і (або) організація;
Регіональний - якщо система функціонує на території суб'єкта РФ і має сегменти в одному або декількох муніципальних утвореннях і (або) підвідомчих і інших організаціях;
Об'єктовий - якщо система функціонує на об'єктах одного федерального органу державної влади, органу державної влади суб'єкта Російської

Федерації, муніципального освіти і (або) організації і не має сегментів в територіальних органах, представництвах, філіях, підвідомчих і інших організаціях.

Безпосередньо клас захищеності визначається відповідно до відомостей, наведених в таблиці нижче.

Рівень значущості (УЗ) інформації

Масштаб інформаційної системи

Федеральний

регіональний

об'єктовий

УЗ 1

До 1

УЗ 2

До 1

До 2

УЗ 3

До 2

До 3

Визначення рівня захищеності персональних даних

Рівень захищеності персональних даних при їх обробці в інформаційній системі персональних даних визначається відповідно до вимог Постанови Уряду РФ від 01.11.2012 №1119 «Про затвердження вимог до захисту персональних даних під час їх обробки в інформаційних системах персональних даних».

Рівень захищеності персональних даних визначається за наступними критеріями:

тип актуальних загроз безпеки персональних даних (в залежності від можливої наявності декларованих можливостей в системному і прикладному програмному забезпеченні інформаційної системи виділяється 3 типи загроз);
тип і категорія оброблюваних персональних даних;
обсяг оброблюваних персональних даних.

Правила визначення рівня захищеності персональних даних наведені в таблиці нижче.

Оброблювані персональні дані Обсяг персональних даних Тип актуальних загроз Загрози 1-го типу Загрози 2-го типу Загрози 3-го типу Спеціальні категорії ПДН Понад 100 тис. УЗ 1 УЗ 1 УЗ 2 Менш 100 тис. УЗ 1 УЗ 2 УЗ 3 Спеціальні категорії ПДН співробітників оператора Будь УЗ 1 УЗ 2 УЗ 3 Біометричні ПДН Будь УЗ 1 УЗ 2 УЗ 3 Інші категорії ПДН Понад 100 тис. УЗ 1 УЗ 2 УЗ 3 Менш 100 тис. УЗ 1 УЗ 3 УЗ 4 Інші категорії ПДН співробітників оператора Будь УЗ 1 УЗ 3 УЗ 4 Загальнодоступні ПДН Понад 100 тис. УЗ 2 УЗ 2 УЗ 4 Менш 100 тис.
УЗ 2 УЗ 3 УЗ 4 Загальнодоступні ПДН співробітників оператора Будь УЗ 2 УЗ 3 УЗ 4

Чим вище рівень захищеності персональних даних (клас захищеності державної системи), тим більше заходів щодо захисту інформації потрібно виконати. Якщо помилково визначити більш високий рівень захищеності персональних даних (клас захищеності державної системи), то, відповідно, доведеться створювати дорожчу систему захисту інформації. При цьому вибір нижчого рівня захищеності персональних даних (класу захищеності державної системи), ніж він є насправді, може привести до порушення вимог законодавства.