На главную страницу На главную страницу Помоги больным детям! Их можно спасти!
 
Справочные материалы ←

Можно ли использовать Ульяновск.BSD при работе с персональными данными?

У многих при словосочетании «персональные данные» сразу возникает ассоциация с сертифкатами ФСТЭК, ФСБ, Минобороны. И некоторые, так называемые, «специалисты в области защиты информации» могут сказать, что если операционная система не имеет сертификата ФСТЭК (ФСБ, Минобороны), то её нельзя использовать при работе с персональными данными. Такое утверждение неверно. Давайте разберёмся в этом вопросе.

Для начала прочитайте статью «Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?».

Вывод такой. При работе с персональными данными необходимо руководствоваться Постановлением Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 года и Приказом ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 года. Основываясь на этих документах становится понятно, что необходимо классифицировать свои информационные системы персональных данных (ИСПДн), построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

Перейдём от теории к практике. Кратко Постановление Правительства РФ №1119 можно представить следующим образом.

В соответствии с Постановлением Правительства РФ №1119 для ИСПДн установлено 4 уровня защищенности.

Для определения уровня защищенности (УЗ) необходимо определить тип информационной системы и актуальные угрозы.

По типам информационные системы делятся на:

  • Обрабатывающие специальные категории персональных данных;
  • Обрабатывающие биометрические персональные данные;
  • Обрабатывающие общедоступные персональные данные;
  • Обрабатывающие иные категории персональных данных;
  • Обрабатывающие персональные данные сотрудников оператора.

Актуальные угрозы делятся на следующие типы:

  • Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (НДВ в СПО), используемом в информационной системе;
  • Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (НДВ в ППО), используемом в информационной системе;
  • Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Итоговое определение уровня защищенности информационной системы персональных данных производится на основании следующей таблицы:

 

Тип ИСПДн

Категории субъектов
персональных данных

Количество субъектов
персональных данных

Тип актуальных угроз

1-й тип
(НДВ в СПО)

2-й тип
(НДВ в ППО)

3-й тип
(нет НДВ)

ИСПДн-С
(специальные)

Не сотрудники

Более 100 000

УЗ 1

УЗ 1

УЗ 2

Менее 100 000

УЗ 1

УЗ 2

УЗ 3

Сотрудники

Любое

УЗ 1

УЗ 2

УЗ 3

ИСПДн-Б
(биометрические)

Любые

Любое

УЗ 1

УЗ 2

УЗ 3

ИСПДн-И
(иные)

Не сотрудники

Более 100 000

УЗ 1

УЗ 2

УЗ 3

Менее 100 000

УЗ 1

УЗ 3

УЗ 4

Сотрудники

Любое

УЗ 1

УЗ 3

УЗ 4

ИСПДн-О
(общедоступные)

Не сотрудники

Более 100 000

УЗ 2

УЗ 2

УЗ 4

Менее 100 000

УЗ 2

УЗ 3

УЗ 4

Сотрудники

Любое

УЗ 2

УЗ 3

УЗ 4

 

Требования по защищенности для 4-го уровня:

  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
  • обеспечение сохранности носителей персональных данных;
  • утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Требования по защищенности для 3-го уровня включают в себя все требования по защищенности для 4-го уровня и дополнительно:

  • назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

Требования по защищенности для 2-го уровня включают в себя все требования по защищенности для 3-го уровня и дополнительно:

  • доступ к содержанию электронного журнала сообщений должен быть возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Требования по защищенности для 1-го уровня включают в себя все требования по защищенности для 2-го уровня и дополнительно:

  • автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
  • создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Есть один важный момент, на который стоит обратить внимание. В Постановлении Правительства РФ №1119 идёт речь о недекларированных возможностях в программном обеспечении, но не даётся указаний на способы выявления этих самых недекларированных возможностей. Это приводит к наличию различных точек зрения на этот вопрос. Мы рекомендуем руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно, имеет широкое распространение и хорошо документировано, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть вероятность наличия недокументированных функций, способных нанести вред.

Наша сборка Ульяновск.BSD является лицензионным программным обеспечением выпускаемым серийно, имеющим широкое распространение и хорошо документированным. Таким образом в Ульяновск.BSD недекларированные возможности отсутствуют. Учитывая это, и в соответствии с классификацией УЗ ИСПДн, определённой Постановлением Правительства РФ №1119, Ульяновск.BSD может использоваться в большинстве ИСПДн, классифицированых по 4-му уровню защищённости (см. зелёные клетки таблицы, представленной выше). Приложение к Приказу ФСТЭК №21 определяет базовые наборы мер по обеспечению безопасности персональных данных для соответствующих уровней защищенности. Для 4-го уровня защищенности базовый набор мер реализуется встроенными средствами Ульяновск.BSD. А значит наличие сертификата ФСТЭК (ФСБ, Минобороны) у операционной системы для выполнения требований по нейтрализации актуальных угроз в ИСПДн не обязательно. Дополнительно в случае наличия угрозы действия вредоносных компьютерных программ (вирусов) необходимо использовать антивирусный пакет, например, «Dr.Web Gateway Security Suite» («Dr.Web Enterprise Security Suite») или «Kaspersky Security для файловых серверов» («Kaspersky Endpoint Security»), и выполнять другие требования Постановления Правительства РФ №1119 для обеспечения требуемого уровня защищенности ИСПДн.

Комментарии
Добавляя комментарий, убедитесь, что он соответствует теме. Подумайте, будет ли он интересен другим. Спам, умышленная реклама и личная переписка не допускаются. Соблюдайте правила русского языка. Комментарии публикуются после проверки модератором и могут быть удалены без объяснения причин. Ответы на заданные в комментариях вопросы могут исходить от любого пользователя и являются неофициальными.
Импортозамещение
Минкомсвязь опубликовала в четверг проект правил предоставления в 2019 году субсидии из федерального бюджета в виде имущественного взноса Российской Федерации в государственную корпорацию развития «ВЭБ.РФ» с целью последующего вклада в уставный капитал ООО «ВЭБ Инновации» для осуществления в 2019, 2020 и 2021 годах финансовой поддержки проектов по созданию и модернизации отечественного программного обеспечения в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экон... 
Группа компаний Astra Linux, разработчик российского рынка операционных систем, сообщает об успешном завершении инспекционного контроля операционной системы специального назначения Astra Linux Special Edition (релиз «Ленинград») для процессорной архитектуры «Эльбрус» без использования механизма бинарной трансляции в системах сертификации средств защиты информации Министерства обороны Российской Федерации и ФСБ России, сообщила пресс-служба ГК Astra Linux. Операционная система Astra Linux Special Edition (р... 
Минкомсвязь ввела в эксплуатацию Единый реестр программ для электронных вычислительных машин и баз данных государств – членов Евразийского экономического союза (ЕАЭС), сообщило министерство во вторник поздно вечером. Включение в реестр программных продуктов позволяет их правообладателям участвовать в госзакупках в России наравне с российскими компаниями. Об этом заявил глава министерства Константин Носков, выступая на втором Евразийском цифровом форуме EADF’2019 в Минске. В организацию ЕАЭС кроме России вх... 
В правила, которым должно соответствовать российское программное обеспечение, теперь включается новое требование: «гарантийное обслуживание, техническая поддержка и модернизация программного обеспечения осуществляются российской коммерческой или некоммерческой организацией без преобладающего иностранного участия либо гражданином Российской Федерации». [su_pullquote]Минкомсвязь намерена разрешить SaaS для госзакупок ПО – проект постановления правительства[/su_pullquote] Кроме того, дополнено требование - пр... 
Постановление правительства РФ от 29.03.2019 № 380 «О внесении изменений в государственную программу Российской Федерации «Развитие здравоохранения», опубликованное на минувшей неделе, вносит изменения в правила предоставления и распределения субсидий бюджетам субъектов Российской Федерации на реализацию региональных проектов «Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы здравоохранения (ЕГИСЗ)». Согласно новым положениям: • при закупке товаро... 
Как стало известно D-Russia.ru в пятницу, групповой онлайн-чат для оперативного общения сотрудников Минкомсвязи и руководителей, отвечающих за IT и цифровое развитие в региональных правительствах, перенесён из мессенджера Telegram в TamTam. Министр цифрового развития, связи и массовых коммуникаций РФ Константин Носков и его заместитель Олег Пак открыли учётные записи в ТамТам 26 марта, затем в первых числах апреля за ними последовали около 30 региональных IT-министров. В Минкомсвязи от официальных коммент... 
Департамент Смоленской области по информационным технологиям решил задачу организации централизованного защищенного доступа в Интернет с использованием нескольких различных механизмов аутентификации пользователей и фильтрации содержимого информационного обмена. Техническим решением стало внедрение прокси-сервера Dozor Web Proxy, сообщает компания «Ростелеком-Solar». ДИТ Смоленской области является органом исполнительной власти в сфере ИТ, связи, по вопросам обеспечения предоставления государственных и муни... 
Группа компаний Astra Linux, ведущий разработчик российского рынка операционных систем, сообщила об успешном завершении внедрения ОС Astra Linux Special Edition в 353 учебных учреждениях Республики Крым в рамках проекта ФИС ФРДО (Федеральный реестр сведений документов об образовании и (или) о квалификации, документах об обучении). Проект спроектирован и реализован телекоммуникационной компанией «Миранда-медиа»совместно с министерством образования, науки и молодежи Республики Крым. Построенная сеть связывае... 
В 2019 году минимальный индикатор эффективности перехода на отечественное ПО составит 40%. (Здесь и далее для всех примеров будут использоваться положения приказа Минкомсвязи России от 04.07.2018 №335 для органов исполнительной власти субъектов Российской Федерации. Приказ Минкомсвязи России от 25.09.2017 №495 для федеральных органов исполнительной власти и приказ Минкомсвязи России от 20.09.2018 №486 для государственных компаний отличается принципами подсчёта индикаторов эффективности – в 2019 году для фе... 
Отечественные разработчики «РЕД СОФТ» и «Новые коммуникационные технологии» заключили соглашение о технологическом сотрудничестве, которое предусматривает поддержку совместимости продуктов. Специалисты компаний провели успешные испытания, подтвердив полноценную и бесперебойную работу программного продукта «Р7-Офис» на российской операционной системе «РЕД ОС», сообщают компании. «Р7-Офис. Профессиональный» - редакторы документов, таблиц и презентаций для госучреждений и образования. «Р7-Офис» предлагает шир... 
    Наверх       На главную страницу       Адрес электропочты   Рейтинг@Mail.ru
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.

Сергей Волков – эксперт в области информационных технологий © 2011−2019
Работает система управления сайтом «Публикатор 1.7» © 2004−2019