Справочные материалы ←
Можно ли использовать Ульяновск.BSD при работе с персональными данными?
У многих при словосочетании «персональные данные» сразу возникает ассоциация с сертифкатами ФСТЭК, ФСБ, Минобороны. И некоторые, так называемые, «специалисты в области защиты информации» могут сказать, что если операционная система не имеет сертификата ФСТЭК (ФСБ, Минобороны), то её нельзя использовать при работе с персональными данными. Такое утверждение неверно. Давайте разберёмся в этом вопросе.
Для начала прочитайте статью «Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?».
Вывод такой. При работе с персональными данными необходимо руководствоваться Постановлением Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 года и Приказом ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 года. Основываясь на этих документах становится понятно, что необходимо классифицировать свои информационные системы персональных данных (ИСПДн), построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.
Перейдём от теории к практике. Кратко Постановление Правительства РФ №1119 можно представить следующим образом.
В соответствии с Постановлением Правительства РФ №1119 для ИСПДн установлено 4 уровня защищенности.
Для определения уровня защищенности (УЗ) необходимо определить тип информационной системы и актуальные угрозы.
По типам информационные системы делятся на:
- Обрабатывающие специальные категории персональных данных;
- Обрабатывающие биометрические персональные данные;
- Обрабатывающие общедоступные персональные данные;
- Обрабатывающие иные категории персональных данных;
- Обрабатывающие персональные данные сотрудников оператора.
Актуальные угрозы делятся на следующие типы:
- Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (НДВ в СПО), используемом в информационной системе;
- Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (НДВ в ППО), используемом в информационной системе;
- Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Итоговое определение уровня защищенности информационной системы персональных данных производится на основании следующей таблицы:
Тип ИСПДн
|
Категории субъектов
персональных данных
|
Количество субъектов
персональных данных
|
Тип актуальных угроз
|
1-й тип
(НДВ в СПО)
|
2-й тип
(НДВ в ППО)
|
3-й тип
(нет НДВ)
|
ИСПДн-С
(специальные)
|
Не сотрудники
|
Более 100 000
|
УЗ 1
|
УЗ 1
|
УЗ 2
|
Менее 100 000
|
УЗ 1
|
УЗ 2
|
УЗ 3
|
Сотрудники
|
Любое
|
УЗ 1
|
УЗ 2
|
УЗ 3
|
ИСПДн-Б
(биометрические)
|
Любые
|
Любое
|
УЗ 1
|
УЗ 2
|
УЗ 3
|
ИСПДн-И
(иные)
|
Не сотрудники
|
Более 100 000
|
УЗ 1
|
УЗ 2
|
УЗ 3
|
Менее 100 000
|
УЗ 1
|
УЗ 3
|
УЗ 4
|
Сотрудники
|
Любое
|
УЗ 1
|
УЗ 3
|
УЗ 4
|
ИСПДн-О
(общедоступные)
|
Не сотрудники
|
Более 100 000
|
УЗ 2
|
УЗ 2
|
УЗ 4
|
Менее 100 000
|
УЗ 2
|
УЗ 3
|
УЗ 4
|
Сотрудники
|
Любое
|
УЗ 2
|
УЗ 3
|
УЗ 4
|
Требования по защищенности для 4-го уровня:
- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
- обеспечение сохранности носителей персональных данных;
- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Требования по защищенности для 3-го уровня включают в себя все требования по защищенности для 4-го уровня и дополнительно:
- назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
Требования по защищенности для 2-го уровня включают в себя все требования по защищенности для 3-го уровня и дополнительно:
- доступ к содержанию электронного журнала сообщений должен быть возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Требования по защищенности для 1-го уровня включают в себя все требования по защищенности для 2-го уровня и дополнительно:
- автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
- создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Есть один важный момент, на который стоит обратить внимание. В Постановлении Правительства РФ №1119 идёт речь о недекларированных возможностях в программном обеспечении, но не даётся указаний на способы выявления этих самых недекларированных возможностей. Это приводит к наличию различных точек зрения на этот вопрос. Мы рекомендуем руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно, имеет широкое распространение и хорошо документировано, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть вероятность наличия недокументированных функций, способных нанести вред.
Наша сборка Ульяновск.BSD является лицензионным программным обеспечением выпускаемым серийно, имеющим широкое распространение и хорошо документированным. Таким образом в Ульяновск.BSD недекларированные возможности отсутствуют. Учитывая это, и в соответствии с классификацией УЗ ИСПДн, определённой Постановлением Правительства РФ №1119, Ульяновск.BSD может использоваться в большинстве ИСПДн, классифицированых по 4-му уровню защищённости (см. зелёные клетки таблицы, представленной выше). Приложение к Приказу ФСТЭК №21 определяет базовые наборы мер по обеспечению безопасности персональных данных для соответствующих уровней защищенности. Для 4-го уровня защищенности базовый набор мер реализуется встроенными средствами Ульяновск.BSD. А значит наличие сертификата ФСТЭК (ФСБ, Минобороны) у операционной системы для выполнения требований по нейтрализации актуальных угроз в ИСПДн не обязательно. Дополнительно в случае наличия угрозы действия вредоносных компьютерных программ (вирусов) необходимо использовать антивирусный пакет, например, компоненты комплекса «Dr.Web Enterprise Security Suite», и выполнять другие требования Постановления Правительства РФ №1119 для обеспечения требуемого уровня защищенности ИСПДн.
Последнее изменение:
12.07.2021 18:41:48
|
Импортозамещение
Одобрены основные принципы реализации программы льготного лизинга беспилотных летательных аппаратов; программа начнёт работать в апреле после доведения средств из бюджета РФ в «Государственную транспортную лизинговую компанию» (АО «ГТЛК»), сообщает сайт правительства в четверг. Документ, согласованный с игроками рынка, описывает требования к поставщикам, порядок рассмотрения поступающих заявок от потенциальных клиентов, размер авансирования, предел объёма программы в […]
Сообщение Льготный лизинг отечествен... →
Об авторе: Анатолий Шалыто, профессор, д.т.н., Университет ИТМО. С интересом узнал, что 26 марта 2024 года на платформе Foncode прошли соревнования на «Кубок Санкт-Петербурга» по спортивному программированию в дисциплине «Программирование алгоритмическое». Цель этих соревнований – отбор лучших спортсменов для формирования сборной команды (видимо, Санкт-Петербурга) на Кубок России по спортивному программированию. Формы проведения соревнований даже по […]
Сообщение От добра добра не ищут появились сначала на ... →
Российская авиакомпания «Аэрофлот» заключила контракт на поставку 11 500 планшетов Т1100 на операционной системе (ОС) «Аврора» от IT-холдинга Fplus, сообщают «Ведомости» со ссылкой на представителей авиакомпании и производителя планшетов. Планшетами на «Авроре» планируется заменить iPad сотрудников авиакомпании. Как сообщили в компании «Открытая мобильная платформа», авиакомпания приобрела девять тысяч отечественных планшетов для сотрудников и бортпроводников, которые […]
Сообщение «Аэрофлот» заключил контр... →
Сервис «Автоматизированное рабочее место государственного служащего» (коммуникационный сервис «АРМ ГС») используют полмиллиона госслужащих, сообщило в среду Минцифры. Сервис включает в себя мессенджер, календарь, почту, видеоконференцсвязь и другое ПО. Сейчас к нему подключены 54 федеральных ведомства и четыре подведомственные организации. Пилотное тестирование сервиса уже завершено. В нём принимали участие, кроме региональных ведомств и организаций, Госдума и […]
Сообщение «Автоматизированное рабочее место... →
«Группа Астра» и компания Visiology, российский разработчик корпоративной BI-платформы, завершили испытания на совместимость ОС Astra Linux и новых версий платформы Visiology (обновления 2.34 и 3.5.1), сообщает «Астра» в среду. Совместимость официально подтверждается сертификатом, выданным в рамках программы технологического партнерства Ready for Astra. В ходе тестирования специалисты «Группы Астра» также убедились в корректной работе версии Visiology […]
Сообщение Visiology подтвердила совместимость с Astr... →
С 26 по 28 апреля в Москве пройдет окружной хакатон проекта «Цифровой прорыв. Сезон: искусственный интеллект», регистрация на хакатон открыта, сообщает «Россия – страна возможностей» во вторник. Команды IT-специалистов со всей России будут соревноваться за призовой фонд 3 миллиона рублей. Хакатон проводится в рамках федерального проекта «Искусственный интеллект» национального проекта «Цифровая экономика». Хакатон Центрального федерального […]
Сообщение Открыта регистрация на окружной хакатон ЦФО проекта «Ци... →
По предварительным данным Минцифры России, выручка российских IT-компаний составила в 2023 году 5,5 триллионов рублей и увеличилась за год на 43%; это в 2,6 раза больше, чем в 2019 году, сообщил во вторник Максут Шадаев на заседании IT-комитета Госдумы. Выручка от реализации отечественных решений составила 2,8 триллиона рублей (+31% за 2023 год). Количество специалистов увеличилось […]
Сообщение Выручка российских IT-компаний выросла за год на 43% — Минцифры появились сначала на Digital Russia. →
Председатель правительства Михаил Мишустин поручил Минэкономразвития и Минфину проработать вопрос о дополнительном выделении в 2024 году 1 миллиарда рублей на реализацию мероприятий по развитию действующих и поддержку новых проектов технологических компаний, сообщает government.ru в среду. Доклад в правительство ответственные должны представить до 5 апреля. Поручение дано по итогам стратегической сессии о реализации инициатив социально-экономического развития […]
Сообщение Мишустин поручил выделить дополнит... →
Минпромторг объявил во вторник о начале конкурсного отбора заявок на гранты на сертификацию беспилотных авиационных систем (БАС); сбор заявок продлится до 12 апреля. Гранты в форме субсидий будут предоставляться российским организациям, планирующим получение сертификатов типа на отечественные БАС. Критерием отбора организаций является опыт в разработке воздушных судов и БАС. Инструментом охватываются такие типы машин, как […]
Сообщение Стартовал конкурс на получение грантов на сертификацию беспилотных авиац... →
Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» определила сроки обеспечения совместимости классов программного обеспечения (ПО) с российским операционными системами (ОС) и предложила Минцифры включить эти сведения в перечень дополнительных требований к реестру ПО, сообщает АРПП во вторник. Напомним, дополнительные требования к отечественному офисному программному обеспечению, включённому в реестр российского ПО, были установлены постановлением правительства от […]
Сообщение АРПП ... →
|