Главная  > Решения  > Комплексные решения  > Защита персональных данных

Защита персональных данных

Глоссарий

ПДн – персональные данные

ИС – информационная система

ИСПДн – информационная система персональных данных

СКЗИ – средство криптографической защиты информации

УЗ – уровень защищенности

СПО – специальное программное обеспечение

ППО – прикладное программное обеспечение

Краткая справка из законодательства

После множества переносов 1 января 2011 года вступил в силу Федеральный закон от 27.07.2006 года №152 «О персональных данных» и начали действовать санкции за неисполнение требований (административная и уголовная ответственность). Основная цель закона – защитить права и свободы граждан при обработке личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну.

Федеральный закон обязал операторов персональных данных «принимать необходимые организационные и технические меры для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Для обеспечения реализации положений Федерального закона выпущены следующие документы:

  • Постановление Правительства РФ от 01.11.2012 г. № 11191, которое определяет классификацию ИСПДн, возможных угроз и уровней защищенности ПДн;
  • Приказ ФСТЭК России от 18.02.2013 г. № 212, определяющий перечень мер защиты, которые должны быть реализованы в зависимости от уровня защищенности ИСПДн для нейтрализации актуальных угроз, а также требования к сертификации применяемых средств защиты информации.
  • Приказ ФСБ России от 10.07.2014 г. № 3783, определяющий состав организационных и технических мер, которые необходимо реализовывать при применении в ИСПДн средств криптографической защиты информации. Документ также содержит требования к классу защиты СКЗИ в зависимости от уровня защищенности ПДн.

Определено 4 группы обрабатываемых ПДн:

1 группа — специальные категории ПДн, к которым относится информация о национальной и расовой принадлежности субъекта, о религиозных, философских, либо политических убеждениях, информация о здоровье и интимной жизни субъекта;
2 группа — биометрические ПДн, данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;
3 группа — общедоступные ПДн, сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в предыдущих группах.

Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИС, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия.

Угрозы подразделяются на 3 типа:

1 тип — Актуальны для ИС, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в СПО, используемом в ИС.
2 тип — Актуальны для ИС, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в ППО, используемом в ИС.
3 тип — Актуальны для ИС, если для нее актуальны угрозы, не связанные с наличием НДВ.

Определено 4 уровня защищённости (УЗ) персональных данных (представлены в таблице 1), различающихся перечнем необходимых к выполнению требований и устанавливаемых в зависимости от категории обрабатываемых персональных данных, типа актуальных угроз и числа субъектов персональных данных.


Таблица 1. Уровни защищенности (УЗ) персональных данных

Тип ИС Сотрудники оператора Кол-во субъектов Тип актуальных угроз
1 2 3
ИСПДн-С
Специальные
нет >100 000 УЗ-1 УЗ-1 УЗ-2
нет <100 000 УЗ-1 УЗ-2 УЗ-3
да Любое
ИСПДн-Б
Биометрические
да/нет Любое УЗ-1 УЗ-2 УЗ-3
ИСПДн-И
Иные
нет >100 000 УЗ-1 УЗ-2 УЗ-3
нет <100 000 УЗ-2 УЗ-3 УЗ-4
да Любое
ИСПДн-О
Общедоступные
нет >100 000 УЗ-2 УЗ-2 УЗ-4
нет <100 000 УЗ-2 УЗ-3 УЗ-4
да Любое УЗ-2 УЗ-3 УЗ-4

 

Описание решения С-Терра

Продукты компании С-Терра, сертифицированные регуляторами – ФСБ России и ФСТЭК России, позволяют обеспечить защиту персональных данных в ИСПДн любого уровня защищенности.

Таблица 2. Применение продуктов С-Терра для защиты ПДн разных УЗ

Область применения Продукт УЗ-1 УЗ-2 УЗ-3 УЗ-4
Криптографическая защита удаленного доступа к ресурсам ИС C-Терра Шлюз, С-Терра Юнит,
С-Терра Виртуальный Шлюз,
С-Терра CSCO-STVM,
С-Терра Клиент, С-Терра Клиент А
+ + +
Межсетевое экранирование C-Терра Шлюз, С-Терра Виртуальный Шлюз, С-Терра CSCO-STVM, С-Терра Клиент + + + +
Защита от вторжений С-Терра СОВ + + + +

 

Пример 1. Территориально распределённые компоненты ИСПДн

ЗАДАЧА: Защитить ПДн при их передаче через недоверенную сеть в соответствии с законодательством. Организация состоит из головного офиса и 20 филиалов. Связь филиалов с головным офисом осуществляется через недоверенную сеть - интернет. В головном офисе развернута база данных, содержащая ПДн, к которой необходим доступ из филиалов. В филиалах рабочие места сотрудников оснащены ноутбуками и РС на ОС Windows. В головном офисе требуется резервирование оборудования. Класс защиты СКЗИ – КС2.

Состав продуктов:

Центральный офис Региональные филиалы
2 x С-Терра Шлюз
1 x С-Терра СОВ
С-Терра КП на 100 VPN-устройств
20 х С-Терра Шлюз со встроенным С-Терра СОВ

 

Решение базируется на продуктах С-Терра Шлюз и С-Терра СОВ в различных форм-факторах. В центральном офисе два шлюза безопасности С-Терра Шлюз объединены в отказоустойчивый VRRP кластер. В архитектуре шлюзов безопасности С-Терра Шлюз используется стандартизированный стек протоколов IKE/IPsec, реализованный в соответствии с ГОСТ алгоритмами шифрования. В актуальной версии С-Терра Шлюз может использоваться для защиты любых сетевых топологий (TCP/IP).

Межсетевой экран интегрирован в С-Терра Шлюз, и по умолчанию С-Терра Шлюз выполняет функции межсетевого экрана с контролем состояния сессий.

С-Терра СОВ в центральном офисе применяется в исполнении на отдельной аппаратной платформе. В региональных филиалах устанавливаются шлюзы безопасности С-Терра Шлюз со встроенным С‑Терра СОВ, что представляет собой одну 1U аппаратную платформу.

В средних и больших сетях не обойтись без системы централизованного управления. С-Терра КП может выполнять функции центра управления сертификатами путем интеграции с сервисом Microsoft CA и криптопровайдером КриптоПро CSP. С помощью системы С-Терра КП процесс замены цифровых сертификатов централизуется и автоматизируется, поддерживаются и групповые операции обновления.

Пример 2. Удаленный доступ к ресурсам ИСПДн

ЗАДАЧА: Защитить ПДн при их передаче через недоверенную сеть в соответствии с законодательством. В организации развернута база данных, содержащая ПДн, к которой необходим доступ 10 сотрудникам, работающим удаленно. Сотрудники используют ноутбуки с ОС Windows (5 рабочих мест), планшеты с разными операционными системами: Android, iOS и др. Резервирование оборудования не требуется. Класс защиты СКЗИ – КС1.

Состав продуктов:

Центральный офис Удалённые пользователи
1 x С-Терра Шлюз
С-Терра КП на 10 VPN-устройств
5 х С-Терра Клиент
5 х С-Терра Юнит
либо
1 х С-Терра Виртуальный Шлюз
С-Терра КП на 10 VPN-устройств

 

Решение базируется на продуктах С-Терра Шлюз, С-Терра Клиент и С-Терра Юнит. В центральном офисе устанавливается шлюз безопасности С-Терра Шлюз (на аппаратной платформе или в виртуальном исполнении), к которому будут осуществляться все клиентские подключения, и С‑Терра КП.

Удаленным пользователям на рабочие места с ОС Windows устанавливаются дистрибутивы С‑Терра Клиент. Реализована поддержка всех актуальных версий Windows. Клиенты могут использовать любой подходящий вариант подключения (Ethernet, Wi-fi, 4G-модем).

Удаленным пользователям к мобильным устройствам для взаимодействия с ИСПДн подключается С‑Терра Юнит – специализированный персональный шлюз безопасности. Он очень компактен и не зависит от операционной системы устройства, трафик которого защищает. По умолчанию поддерживаются как проводные, так и беспроводные (WiFi, 3G/4G) каналы связи. Скорость шифрования устройства составляет до 10 Мбит/с. Данной пропускной способности достаточно для обеспечения корректной работы телефонов, ноутбуков, планшетов, промышленных контроллеров и других типов устройств.



1 Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

2 Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

3 Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»