На главную страницу На главную страницу Помоги больным детям! Их можно спасти!
 
Справочные материалы ←

Можно ли использовать Ульяновск.BSD при работе с персональными данными?

У многих при словосочетании «персональные данные» сразу возникает ассоциация с сертифкатами ФСТЭК, ФСБ, Минобороны. И некоторые, так называемые, «специалисты в области защиты информации» могут сказать, что если операционная система не имеет сертификата ФСТЭК (ФСБ, Минобороны), то её нельзя использовать при работе с персональными данными. Такое утверждение неверно. Давайте разберёмся в этом вопросе.

Для начала прочитайте статью «Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?».

Вывод такой. При работе с персональными данными необходимо руководствоваться Постановлением Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 года и Приказом ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 года. Основываясь на этих документах становится понятно, что необходимо классифицировать свои информационные системы персональных данных (ИСПДн), построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

Перейдём от теории к практике. Кратко Постановление Правительства РФ №1119 можно представить следующим образом.

В соответствии с Постановлением Правительства РФ №1119 для ИСПДн установлено 4 уровня защищенности.

Для определения уровня защищенности (УЗ) необходимо определить тип информационной системы и актуальные угрозы.

По типам информационные системы делятся на:

  • Обрабатывающие специальные категории персональных данных;
  • Обрабатывающие биометрические персональные данные;
  • Обрабатывающие общедоступные персональные данные;
  • Обрабатывающие иные категории персональных данных;
  • Обрабатывающие персональные данные сотрудников оператора.

Актуальные угрозы делятся на следующие типы:

  • Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (НДВ в СПО), используемом в информационной системе;
  • Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (НДВ в ППО), используемом в информационной системе;
  • Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Итоговое определение уровня защищенности информационной системы персональных данных производится на основании следующей таблицы:

 

Тип ИСПДн

Категории субъектов
персональных данных

Количество субъектов
персональных данных

Тип актуальных угроз

1-й тип
(НДВ в СПО)

2-й тип
(НДВ в ППО)

3-й тип
(нет НДВ)

ИСПДн-С
(специальные)

Не сотрудники

Более 100 000

УЗ 1

УЗ 1

УЗ 2

Менее 100 000

УЗ 1

УЗ 2

УЗ 3

Сотрудники

Любое

УЗ 1

УЗ 2

УЗ 3

ИСПДн-Б
(биометрические)

Любые

Любое

УЗ 1

УЗ 2

УЗ 3

ИСПДн-И
(иные)

Не сотрудники

Более 100 000

УЗ 1

УЗ 2

УЗ 3

Менее 100 000

УЗ 1

УЗ 3

УЗ 4

Сотрудники

Любое

УЗ 1

УЗ 3

УЗ 4

ИСПДн-О
(общедоступные)

Не сотрудники

Более 100 000

УЗ 2

УЗ 2

УЗ 4

Менее 100 000

УЗ 2

УЗ 3

УЗ 4

Сотрудники

Любое

УЗ 2

УЗ 3

УЗ 4

 

Требования по защищенности для 4-го уровня:

  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
  • обеспечение сохранности носителей персональных данных;
  • утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Требования по защищенности для 3-го уровня включают в себя все требования по защищенности для 4-го уровня и дополнительно:

  • назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

Требования по защищенности для 2-го уровня включают в себя все требования по защищенности для 3-го уровня и дополнительно:

  • доступ к содержанию электронного журнала сообщений должен быть возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Требования по защищенности для 1-го уровня включают в себя все требования по защищенности для 2-го уровня и дополнительно:

  • автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
  • создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Есть один важный момент, на который стоит обратить внимание. В Постановлении Правительства РФ №1119 идёт речь о недекларированных возможностях в программном обеспечении, но не даётся указаний на способы выявления этих самых недекларированных возможностей. Это приводит к наличию различных точек зрения на этот вопрос. Мы рекомендуем руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно, имеет широкое распространение и хорошо документировано, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть вероятность наличия недокументированных функций, способных нанести вред.

Наша сборка Ульяновск.BSD является лицензионным программным обеспечением выпускаемым серийно, имеющим широкое распространение и хорошо документированным. Таким образом в Ульяновск.BSD недекларированные возможности отсутствуют. Учитывая это, и в соответствии с классификацией УЗ ИСПДн, определённой Постановлением Правительства РФ №1119, Ульяновск.BSD может использоваться в большинстве ИСПДн, классифицированых по 4-му уровню защищённости (см. зелёные клетки таблицы, представленной выше). Приложение к Приказу ФСТЭК №21 определяет базовые наборы мер по обеспечению безопасности персональных данных для соответствующих уровней защищенности. Для 4-го уровня защищенности базовый набор мер реализуется встроенными средствами Ульяновск.BSD. А значит наличие сертификата ФСТЭК (ФСБ, Минобороны) у операционной системы для выполнения требований по нейтрализации актуальных угроз в ИСПДн не обязательно. Дополнительно в случае наличия угрозы действия вредоносных компьютерных программ (вирусов) необходимо использовать антивирусный пакет, например, компоненты комплекса «Dr.Web Enterprise Security Suite», и выполнять другие требования Постановления Правительства РФ №1119 для обеспечения требуемого уровня защищенности ИСПДн.

Импортозамещение
В Федеральном казначействе офисный пакет «Р7-Офис. Профессиональный» установлен на 30 с лишним тысяч рабочих мест. Интеграцию, тестирование и поддержку софта осуществили ЛАНИТ и НКТ (разработчик «Р7-Офис»), сообщает ЛАНИТ. Лицензии на ПО в Федеральное казначейство переданы в начале 2020 года Минцифры России в рамках централизованной закупки по постановлению правительства №658 от 8 июня 2018 г. После […] Сообщение Федеральное казначейство переходит на «Р7-Офис» появились сначала на Digital Russia. 
По итогам финала всероссийского конкурса «Цифровой прорыв» определены 45 команд-победителей, которые разделили между собой призовой фонд в размере 22,5 миллиона рублей и представят свои проекты перед топ-менеджерами корпораций и руководителями федеральных ведомств на Гранд-финале в Москве, сообщает организатор конкурса «Россия — страна возможностей». Конкурс «Цифровой прорыв» объединил вокруг себя более 93 тысяч пользователей, более 45,5 […] Сообщение Объявлены победители конкурса «Цифровой прорыв» 2020 поя... 
Научно-практическая конференция OS DAY 2020, состоявшаяся в этом ноябре, традиционно стала местом встречи разработчиков отечественных операционных систем, однако прошла в необычном формате – онлайн: доклады ее участников звучали не в зале РАН, где она обычно проводилась, а с экранов компьютеров. Темой этого года стала разработка операционных систем для встраиваемого оборудования. Организаторы конференции – девять российских […] Сообщение «Умные» системы – будущее уже вокруг нас: что обсуждали на OS DAY 2020... 
Правительство РФ и «Ростелеком» должны обеспечить дальнейшее использование в государственных органах и бюджетных медицинских и образовательных организациях технических устройств, функционирующих на основе отечественной мобильной операционной системы «Аврора» и закупленных для проведения в 2021 году Всероссийской переписи населения – такое поручение дал президент РФ Владимир Путин по итогам встречи с членами правления общероссийской общественной организации «Российский […] Сообщение Президент поручил использ... 
Председатель правительства Михаил Мишустин подписал постановление «О перечне отдельных видов технически сложных товаров с предварительно установленными российскими программами для электронных вычислительных машин, порядке составления и ведения перечня российских программ для электронных вычислительных машин, которые должны быть предварительно установлены на отдельные виды технически сложных товаров, и порядке их предварительной установки»; документ опубликован на официальном портале правовой […] Сообщение У... 
Ученые НИТУ «МИСиС» нашли способ до 10 раз снизить стоимость производства композиционных теплоотводящих материалов для промышленности и электроники, что позволяет удешевить производство тепловых радиаторов, сообщает пресс-служба организации. В качестве исходных компонентов предложено использовать синтетические каучуки и карбид кремния – обладающий высокой теплопроводностью, но плохо проводящий электрический ток. На их основе получают высоконаполненные эластомерные смеси, которые […] Сообщение Разработан эфф... 
Ассоциация разработчиков программных продуктов «Отечественный софт» и Ассоциация российских разработчиков и производителей электроники направили письмо президенту РФ Владимиру Путину с просьбой обратить внимание на ряд законодательных инициатив, идущих вразрез с государственным курсом в сфере IT, сообщает АРПП. Разработчики просят не сдвигать на три года сроки перехода субъектов критически важной информационной инфраструктуры (КИИ) на преимущественно отечественное […] Сообщение АРПП обратилась к президенту ... 
ГУП РК «Черноморнефтегаз» — крупное российское предприятие, основной сферой деятельности которого является разведка и разработка месторождений нефти и газа в Чёрном и Азовском морях. Переработанное сырьё поступает преимущественно в Крым. Как и другие государственные структуры, «Черноморнефтегаз» подпадает под действие приказа Минкомсвязи России №486 от 20.09.2018 «Об утверждении методических рекомендаций по переходу государственных компаний на преимущественное […] Сообщение Крымский «Черноморнефтегаз» внедр... 
Филиал РФЯЦ-ВНИИЭФ «НИИИС им. Ю.Е. Седакова» (структура госкорпорации «Росатом») в рамках реализации проекта по защите офисных рабочих мест приобрел 400 лицензий программного обеспечения «МойОфис Стандартный Сертифицированный» – это первая поставка лицензий для нужд субъекта критической информационной инфраструктуры, сообщает разработчик. НИИИС первым из предприятий «Росатома» реализовал проект защиты офисных рабочих мест сертифицированным программным обеспечением. Институт занимается […] Сообщение Первое п... 
Методические рекомендации цифровой трансформации госкомпаний, разработанные Минцифры, одобрены президиумом правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности, сообщает министерство во вторник. «Методрекомендации – инструмент, который позволит скоординировать работу по цифровой трансформации приоритетных отраслей экономики. Мы поставили перед собой задачу оказать госкомпаниям максимальное со... 
    Наверх       На главную страницу       Адрес электропочты   Рейтинг@Mail.ru
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.

Сергей Волков – эксперт в области информационных технологий © 2011−2020
Работает система управления сайтом «Публикатор 1.8» © 2004−2020