Проблема
Мы постоянно находимся под контролем различных государственных и муниципальных органов власти, коммерческих и правоохранительных структур. Паспортные столы и поликлиники, банки и пенсионные фонды, гостиницы и ЖЭКи, ГИБДД и избирательные комиссии, кадровые агентства и HR-подразделения работодателей... Все они собирают, группируют, анализируют, систематизируют, передают, получают персональные данные о нас. И не всегда они прилагают усилия для охраны этих сведений; зачастую теряя их или продавая мошенникам и нечистым на руку покупателям.
Защита персональных данных (ПДн) последние годы была и остается одной из острейших проблем в информационной сфере и взаимоотношениях государства, граждан и бизнеса. Постоянные утечки информации из государственных органов, банков, операторов связи и медицинских учреждений, продажа этих данных в Интернете или на компьютерных лотках; все это наносит ущерб и нарушает основные права на неприкосновенность частной жизни, дарованные каждому гражданину Конституцией РФ.
Обзор законодательства по персональным данным
Для защиты основных свобод и прав граждан разные государства Европы приняли различные нормативно-правовые акты. Не стала исключением и Россия, где с января 2007 года вступил в силу Федеральный Закон РФ от 27 июля 2006 года No152-ФЗ «О персональных данных». Он направлен на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации, а также международных обязательств Российской Федерации по ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных в соответствие с Федеральным Законом от 19 декабря 2005 года No160 «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
Законом предусматриваются общие унифицированные требования к сбору и обработке персональных данных физических лиц во всех сферах, где используются эти данные, принципы трансграничной передачи персональных данных, а также меры государственного контроля за деятельностью государственных органов, органов местного самоуправления, юридических и физических лиц, связанной с обработкой персональных данных.
В соответствие с 19-й статьей Закона оператор персональных данных при их обработке обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Общие требования к защите персональных данных были установлены Правительством Российской Федерации в Постановлении от 01 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а их дальнейшая детализация приведена в нормативных правовых актах Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ).
Помимо исполнения указанных нормативных актов сегодня наметилась тенденция разработки и применения отраслевых стандартов и рекомендаций в области защиты персональных данных. На данный момент их разработано уже немало. В частности, к их числу можно отнести:
- Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»
- Методические рекомендации для организации защиты информации при обработке ПДн в учреждениях здравоохранения, социальной сферы, труда и занятости, разработанные в Минздравсоцразвитии
- Требования Рособразования
- Стандарт Национальной ассоциации негосударственных пенсионных фондов «Организация
-
обработки и защиты персональных данных в негосударственных пенсионных фондах»
- Стандарт Национальной ассоциации участников фондового рынка «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами - профессиональными участниками рынка ценных бумаг»
- Рекомендации по защите персональных данных в информационных системах персональных данных оператора связи (НИР Тритон).
Меры защиты персональных данных
Согласно нормативных документам ФСТЭК и ФСБ состав и содержание мер защиты персональных данных определяется оператором персональных данных в зависимости от уровня защищенности персональных данных, структурно-функциональных характеристик информационных систем, реализуемых ИТ, особенностей функционирования информационных систем, а также от целей защиты персональных данных.
В состав мер по обеспечению безопасности ПДн, описанных в приказе ФСТЭК No21 от 18.02.2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», входят следующие блоки требований:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
Модель обеспечения безопасности персональных данных Cisco
Повышенное внимание к вопросам информационной безопасности персональных данных вызывается развитием мобильных технологий и облачных вычислений, используемых
при обработке персональных данных. Проблемой являются также и изощренные, целенаправленные атаки, целью которых становится личная информация граждан – реквизиты доступа к различным сайтам, скан-копии паспортов, сведения о личной жизни и т.п. При этом проблема заключается не столько в самих атаках, сколько в меняющемся характере сетей и появлении так называемых "расширенных сетей", которые выходят за пределы традиционных межсетевых экранов и включают в свой состав облачные инфраструктуры и центры обработки данных, а также оконечные устройства, в том числе виртуальные и мобильные. Модель информационной безопасности Cisco, ориентированная на угрозы, позволяет защитить информационные системы персональных данных от атак любого типа на всех направлениях, причем постоянно, в любой момент времени.
Чтобы надежно защититься от всевозможных атак на всех направлениях, необходимо тщательно исследовать современную сетевую среду и устройства, обрабатывающие персональные данные. Кроме того, защита должна строиться на основе глубокого понимания и анализа образа мышления нападающих. Портфель интегрированных решений Cisco выполняет эти задачи, обеспечивая небывалую прозрачность и непрерывную защиту от самых изощренных атак. Он позволяет заказчикам действовать более быстро и интеллектуально до атаки, во время атаки и после ее отражения. И при этом в полном соответствии с требованиями российского законодательства.
Решения Cisco по информационной безопасности позволяют выполнить технические требования, указанные в вышеперечисленных нормативных документах ФСТЭК и ФСБ. Одним из требований, которые предъявляются к средствам защиты информации, применяемым в информационных системах, обрабатывающих персональные данные, является прохождение в установленном порядке процедуры оценки соответствия. В качестве одной из форм такой оценки может быть выбрана и сертификация по требованиям безопасности информации (возможны и другие формы оценки соответствия). В этом случае заказчикам компании Cisco беспокоится не надо – почти весь спектр решений Cisco по защите информации сертифицирован по требованиям информационной безопасности. Общее число полученных решениями Cisco сертификатов превышает 550, что существенно превышает число сертификатов, полученных какой-либо другой компанией (российской или зарубежной), работающей на отечественном рынке информационной безопасности.
Для криптографической защиты персональных данных компания Cisco предлагает разработанные совместно с российским производителем средств защиты, компанией С-терра СиЭсПи, VPN-решения – NME-RVPN для маршрутизаторов Cisco ISR и ISR G2, а также S-Terra VPN Gate на базе серверов Cisco UCS. Оба изделия сертифицированы в ФСБ по классам КС1/КС2/КС3.
Примечание:
ASA-X – Cisco ASA 5500-X (5512, 5515, 5525, 5545, 5555, 5585), а также IOS Firewall
ASA-SM – Cisco ASA Service Module для Catalyst 6500 / Catalyst 6800 / Catalyst 7600
NGFW – Cisco ASA NGFW, Cisco AVC, Sourcefire NGFW
IPS – Cisco IPS 4200/4300/4500, Cisco IOS IPS, Cisco IPS-AIM, Cisco AIP-IPS
NGIPS – Sourcefire NGIPS
wIPS – Cisco Wireless Adaptive IPS
AMP – Sourcefire Advanced Malware Protection
ISE – Cisco Identity Service Engine, включая Virtual ISE
ESA – Cisco E-mail Security Appliance, включая Virtual ESA
WSA – WSA – Cisco Web Security Appliance, включая Virtual WSA, а также Cisco Cloud Web Security CTD – Cisco Cyber Threat Defense
AC – Cisco AnyConnect
VSG – Virtual Security Gateway
ASAv – Virtual ASA
Для централизованного управления решениями, указанными в таблице, используются системы Cisco Security Manager и FireSIGHT.
Архитектура защиты персональных данных
Сетевая инфраструктура является основой для предоставления различных сервисов и обеспечения жизнедеятельности многих процессов предприятия, обрабатывающих персональные данные. Ее защита является важной составляющей архитектуры ИБ. На основе опыта работы с десятками тысяч клиентов компания Cisco разработала архитектуру защищенной сети предприятия, главная цель которой состоит в том, чтобы предоставить заинтересованным сторонам информацию о современном опыте проектирования и развертывания безопасных сетей, не мешающих росту бизнеса, а способствующих ему. Исходя из принципа глубокоэшелонированной обороны сетей от внешних и внутренних атак, архитектура SAFE призвана помочь тем, кто проектирует сети и анализирует требования к сетевой безопасности. Данный подход нацелен не на механическую установку межсетевого экрана, системы обнаружения атак или иных вышеперечисленных средств защиты, а на анализ ожидаемых угроз и разработку различных методов борьбы с ними. Эта стратегия приводит к созданию многоуровневой и модульной системы защиты, при которой прорыв одного уровня не означает прорыва всей системы безопасности.
К основным достоинствам архитектуры Cisco можно отнести следующие ее особенности:
- Обеспечение основы для построения безопасных, высоко доступных и интегрированных сетей.
- Открытая, модульная, расширяемая и масштабируемая структура.
- Упрощение разработки, внедрения и управления информационной безопасностью.
- Эффективное поэтапное внедрение с учетом альтернативных решении? и компенсирующих мер по защите персональных данных.
- Использование лучших продуктов и сервисов информационной безопасности благодаря интеграции с решениями глобальных партнеров Cisco.
Участие Cisco в разработке нормативных требований по защите ПДн.
Помимо предложения эффективных технических решений по защите персональных данных, компания Cisco активно участвует и в нормотворческой деятельности по данному вопросу. В частности сотрудники российского офиса Cisco:
- Участвуют в экспертизе и выработке предложений по изменению законопроектов в области персональных данных.
- Участвовали в работе рабочей группы Банка России и АРБ по разработке 4-й версии Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» в части требований по защите персональных данных.
- Участвуют в работе ПК1 Технического комитета No122 по вопросам стандартизации информационной безопасности финансовых операций и, в частности, подготовке новой версии Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
- Участвуют в экспертизе отраслевых стандартов и требований федеральных органов исполнительной власти по защите персональных данных.
Заключение
Защита персональных данных – одна из приоритетных задач на сегодняшний день для служб информационной безопасности современной организации. Ее важность определяется не только наличием более десяти статей в Уголовном и Трудовом Кодексах, а также Кодексе об административных правонарушениях, предусматривающих наказание за нарушение законодательства по персональным данным, но и вхождением России в мировое сообщество, уже давно прилагающее немало усилий к защите основных свобод и прав граждан, к числу которых относится и тайна частной жизни. Активизация деятельности России на мировой арене, активное сотрудничество с Евросоюзом, вступление в ВТО, требования ОЭСР и ООН... Все это заставляет нас уделять больше внимания защите персональных данных граждан, своих сотрудников, заказчиков, партнеров, контрагентов. И компания Cisco, обладающая многолетним опытом работы в области информационной безопасности, а также принимающая активное участие в разработке и экспертизе нормативных требований по защите персональных данных, готова помочь в решении данной задачи.