Содержание
До 1 января 2011 года - даты вступления в полную силу Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ) осталось не так много времени. Все больше операторов персональных данных, которыми являются практически все организации и предприниматели, планируют и проводят комплекс мероприятий во исполнение требований данного закона и нормативных правовых актов.
Пользователей программных продуктов фирмы "1С" интересует, сертифицирован ли используемый ими программный продукт. В рамках данной статьи мы ответим на этот вопрос, но вначале попробуем взглянуть на проблему несколько глубже и рассмотрим следующие вопросы:
1) Какими нормативными правовыми актами предусмотрено проведение сертификации?
2) Кому и когда необходимо использовать сертифицированное программное обеспечение?
3) Кем может быть проведена сертификация программного обеспечения?
4) Достаточно ли использования сертифицированной программы для обеспечения защиты персональных данных?
Федеральный закон № 152-ФЗ предусматривает необходимость проведения ряда организационно-распорядительных и технических мероприятий, направленных на обеспечение защиты персональных данных.
Однако выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 (п. 1.4 Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом ФСТЭК России от 05.02.2010 № 58, далее - Приказ ФСТЭК России № 58).
Именно пунктом 2.12 Приказа ФСТЭК России № 58 предусмотрено, что программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей. При этом пунктом 7 данного приказа определено, что необходимо применять программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
Недекларированные возможности
В соответствии с определением, приведенным в Руководящем документе Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей" (введен в действие приказом Председателя Гостехкомиссии от 04.06.1999 № 114), недекларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Порядок классификации по уровню контроля отсутствия недекларированных возможностей определен указанным выше руководящим документом Гостехкомисии.
Напомним, что класс информационной системы персональных данных зависит от объема и вида обрабатываемой информации (см. таблицу). Таким образом, в случае если в ИСПДн содержатся сведения в отношении персональных данных, имеющих отношение только к одной организации (сотрудники, покупатели, учредители, потенциальные клиенты и т. п.), при этом информации, касающейся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни не содержится, такой ИСПДн может быть присвоен 3-й класс, для которого применение сертифицированного программного продукта необязательно.
Если ИСПДн содержит сведения о персданных, имеющих отношения к нескольким организациям (ведение баз в отношении нескольких организаций предусмотрено в программных продуктах фирмы "1С"), причем объем сведений значителен, то ИСПДн может быть присвоен класс К2. В таких случаях может быть рекомендовано в целях обеспечения защиты персональных данных использовать сертифицированные программные продукты.
Следует обратить внимание, что рассматриваемым приказом ФСТЭК России не определено лицо, обязанное проводить сертификацию ПО, т. е. провести сертификацию может как разработчик ПО, так и непосредственно оператор ИСПДн. То есть в случаях применения программного обеспечения, в отношении которого разработчиком не проведен контроль отсутствия недекларированных возможностей, оператором ПДн может быть проведена сертификация в системе ФСТЭК России самостоятельно.
Фирмой "1С" проведена сертификация защищенного программного комплекса "1С:Предприятие, версии 8.2z" (партии из 10 000 экземпляров продукции, маркированных знаками соответствия с № Г 420000 по № Г 429999) на соответствие требованиям руководящих документов по защите от несанкционированного доступа (НСД) - 5 класс; классификация по уровню контроля отсутствия недекларированных возможностей (НДВ) по 4 уровню контроля. Получен сертификат ФСТЭК России № 2137 со сроком действия до 20.07.2013, в соответствии с которым защищенный программный комплекс "1С:Предприятие, версии 8.2z" признан программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Полученным сертификатом подтверждено соответствие программного продукта указанным выше требованием и разрешено использование защищенного программного комплекса "1С:Предприятие, версии 8.2z" для создания автоматизированных систем до класса 1Г включительно, а также для защиты информации в ИСПДн до класса К1 включительно. Порядок использования и настройки защищенного программного комплекса "1С:Предприятие, версии 8.2z" указан в документации к программному продукту.
Важно отметить, что сертифицирована была именно платформа, а не конфигурации (например, "Бухгалтерия предприятия", "Зарплата и управление персоналом" и т. п.), так как именно на уровне платформы реализован функционал, обеспечивающий защиту информации в части управления доступом. В связи с этим для пользователей программ системы "1С:Предприятие 8" достаточно приобрести 1 сертифицированную версию платформы "1С:Предприятие 8.2z" без необходимости дополнительной сертификации каждого прикладного решения.
Защита информации от несанкционированного доступа
Защита информации от несанкционированного доступа (защита от НСД) или воздействия - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.
Несанкционированный доступ (несанкционированные действия) (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Данные требования приведены в Специальных требованиях и рекомендациях по технической защите конфиденциальной информации (СТР-К).
Напомним, что в целях обеспечения соблюдения требований законодательства по защите перс. данных в "1С:Предприятии, версия 8.2" реализован просмотр сведений о зарегистрированных событиях аутентификации и отказа в аутентификации, доступа и отказе в доступе.
Дополнительно необходимо отметить, что в соответствии с пунктом 2.13 приказа ФСТЭК России № 58: "в зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных". Следовательно, можно и нужно говорить об используемом комплексе программных продуктов, влияющих на обеспечение защиты персональных данных.
Например, во многих организациях будут дополнительно использоваться межсетевые экраны, специализированные средства защиты информации, антивирусные программы и иное программное обеспечение. Следует учитывать, что при использовании технических, криптографичских, программных и других средств, предназначенных для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации, т. е. средства защиты информации, подлежат обязательной сертификации в соответствии с Положением о сертификации средств защиты информации, утвержденным Постановлением Правительства РФ от 26.06.1995 № 608.
Кроме того, необходимо учитывать, что мероприятия по защите персональных данных применением сертифицированных программных продуктов не ограничиваются. Как отмечалось ранее, необходимо проводить комплекс организационно-технических и правовых мероприятий, проводить который может как сама организация при наличии соответствующих специалистов, так и специализированные организации, имеющие соответствующие лицензии ФСТЭК России.
Напомним, что решением ФСТЭК России от 05.03.2010 года отменен ранее действовавший порядок подтверждения соответствия ИСПДн требованиям безопасности путем проведения сертификации (аттестации) ИСПДн 1 и 2 класса. Соответственно, в данное время вопрос подтверждения соответствия ИСПДн установленным требованиям безопасности остается открытым.
ИТОГИ:
1) Требование о проведении сертификации (контроля отсутствия недекларированных возможностей) программного обеспечения, являющегося средством защиты информации, предусмотрено приказом ФСТЭК России № 58.
2) Обязательное использование ПО, прошедшего контроль отсутствия недекларированных возможностей, предусмотрено только для информационных систем 1-го класса (см. таблицу на стр. 5), а для 2-го класса рекомендуется использовать сертифицированное программное обеспечение, для 3-го класса существует "право выбора" - использовать или нет.
3) Сертификацию программного обеспечения может проводить как разработчик, так и пользователь программного обеспечения.
4) Для соблюдения требований Федерального закона № 152-ФЗ недостаточно использовать сертифицированные программные средства - обязательно проведение всего комплекса мероприятий по защите перс. данных.
5) Пользователям программ системы "1С:Предприятие 8" достаточно приобрести сертифицированную версию платформы "1С:Предприятие 8.2z" без необходимости дополнительной сертификации каждого прикладного решения в отдельности.
1 Подробнее читайте в информационном письме фирмы "1С" на сайте http://1c.ru/szi.
Сертификация программ с целью соответствия законодательству по защите персональных данных
До 1 января 2011 года - даты вступления в полную силу Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ) осталось не так много времени. Все больше операторов персональных данных, которыми являются практически все организации и предприниматели, планируют и проводят комплекс мероприятий во исполнение требований данного закона и нормативных правовых актов.
Пользователей программных продуктов фирмы "1С" интересует, сертифицирован ли используемый ими программный продукт. В рамках данной статьи мы ответим на этот вопрос, но вначале попробуем взглянуть на проблему несколько глубже и рассмотрим следующие вопросы:
1) Какими нормативными правовыми актами предусмотрено проведение сертификации?
2) Кому и когда необходимо использовать сертифицированное программное обеспечение?
3) Кем может быть проведена сертификация программного обеспечения?
4) Достаточно ли использования сертифицированной программы для обеспечения защиты персональных данных?
Федеральный закон № 152-ФЗ предусматривает необходимость проведения ряда организационно-распорядительных и технических мероприятий, направленных на обеспечение защиты персональных данных.
Однако выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 (п. 1.4 Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом ФСТЭК России от 05.02.2010 № 58, далее - Приказ ФСТЭК России № 58).
Именно пунктом 2.12 Приказа ФСТЭК России № 58 предусмотрено, что программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей. При этом пунктом 7 данного приказа определено, что необходимо применять программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
Недекларированные возможности
В соответствии с определением, приведенным в Руководящем документе Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей" (введен в действие приказом Председателя Гостехкомиссии
от 04.06.1999 № 114), недекларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Порядок классификации по уровню контроля отсутствия недекларированных возможностей определен указанным выше руководящим документом Гостехкомисии.
Напомним, что класс информационной системы персональных данных зависит от объема и вида обрабатываемой информации (см. таблицу). Таким образом, в случае если в ИСПДн содержатся сведения в отношении персональных данных, имеющих отношение только к одной организации (сотрудники, покупатели, учредители, потенциальные клиенты и т. п.), при этом информации, касающейся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни не содержится, такой ИСПДн может быть присвоен 3-й класс, для которого применение сертифицированного программного продукта необязательно.
Если ИСПДн содержит сведения о персданных, имеющих отношения к нескольким организациям (ведение баз в отношении нескольких организаций предусмотрено в программных продуктах фирмы "1С"), причем объем сведений значителен, то ИСПДн может быть присвоен класс К2. В таких случаях может быть рекомендовано в целях обеспечения защиты персональных данных использовать сертифицированные программные продукты.
Следует обратить внимание, что рассматриваемым приказом ФСТЭК России не определено лицо, обязанное проводить сертификацию ПО, т. е. провести сертификацию может как разработчик ПО, так и непосредственно оператор ИСПДн. То есть в случаях применения программного обеспечения, в отношении которого разработчиком не проведен контроль отсутствия недекларированных возможностей, оператором ПДн может быть проведена сертификация в системе ФСТЭК России самостоятельно.
Фирмой "1С" проведена сертификация защищенного программного комплекса "1С:Предприятие, версии 8.2z" (партии из 10 000 экземпляров продукции, маркированных знаками соответствия с № Г 420000 по № Г 429999) на соответствие требованиям руководящих документов по защите от несанкционированного доступа (НСД) - 5 класс; классификация по уровню контроля отсутствия недекларированных возможностей (НДВ) по 4 уровню контроля. Получен сертификат ФСТЭК России № 2137 со сроком действия до 20.07.2013, в соответствии с которым защищенный программный комплекс "1С:Предприятие, версии 8.2z" признан программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Полученным сертификатом подтверждено соответствие программного продукта указанным выше требованием и разрешено использование защищенного программного комплекса "1С:Предприятие, версии 8.2z" для создания автоматизированных систем до класса 1Г включительно, а также для защиты информации в ИСПДн до класса К1 включительно. Порядок использования и настройки защищенного программного комплекса "1С:Предприятие, версии 8.2z" указан в документации к программному продукту.
Важно отметить, что сертифицирована была именно платформа, а не конфигурации (например, "Бухгалтерия предприятия", "Зарплата и управление персоналом" и т. п.), так как именно на уровне платформы реализован функционал, обеспечивающий защиту информации в части управления доступом. В связи с этим для пользователей программ системы "1С:Предприятие 8" достаточно приобрести 1 сертифицированную версию платформы "1С:Предприятие 8.2z" без необходимости дополнительной сертификации каждого прикладного решения.
Защита информации от несанкционированного доступа
Защита информации от несанкционированного доступа (защита от НСД) или воздействия - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.
Несанкционированный доступ (несанкционированные действия) (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Данные требования приведены в Специальных требованиях и рекомендациях по технической защите конфиденциальной информации (СТР-К).
Напомним, что в целях обеспечения соблюдения требований законодательства по защите перс. данных в "1С:Предприятии, версия 8.2" реализован просмотр сведений о зарегистрированных событиях аутентификации и отказа в аутентификации, доступа и отказе в доступе.
Дополнительно необходимо отметить, что в соответствии с пунктом 2.13 приказа ФСТЭК России № 58: "в зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных". Следовательно, можно и нужно говорить об используемом комплексе программных продуктов, влияющих на обеспечение защиты персональных данных.
Например, во многих организациях будут дополнительно использоваться межсетевые экраны, специализированные средства защиты информации, антивирусные программы и иное программное обеспечение. Следует учитывать, что при использовании технических, криптографичских, программных и других средств, предназначенных для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации, т. е. средства защиты информации, подлежат обязательной сертификации в соответствии с Положением о сертификации средств защиты информации, утвержденным Постановлением Правительства РФ от 26.06.1995 № 608.
Кроме того, необходимо учитывать, что мероприятия по защите персональных данных применением сертифицированных программных продуктов не ограничиваются. Как отмечалось ранее, необходимо проводить комплекс организационно-технических и правовых мероприятий, проводить который может как сама организация при наличии соответствующих специалистов, так и специализированные организации, имеющие соответствующие лицензии ФСТЭК России.
Напомним, что решением ФСТЭК России от 05.03.2010 года отменен ранее действовавший порядок подтверждения соответствия ИСПДн требованиям безопасности путем проведения сертификации (аттестации) ИСПДн 1 и 2 класса. Соответственно, в данное время вопрос подтверждения соответствия ИСПДн установленным требованиям безопасности остается открытым.
ИТОГИ:
1) Требование о проведении сертификации (контроля отсутствия недекларированных возможностей) программного обеспечения, являющегося средством защиты информации, предусмотрено приказом ФСТЭК России № 58.
2) Обязательное использование ПО, прошедшего контроль отсутствия недекларированных возможностей, предусмотрено только для информационных систем 1-го класса (см. таблицу на стр. 5), а для 2-го класса рекомендуется использовать сертифицированное программное обеспечение, для 3-го класса существует "право выбора" - использовать или нет.
3) Сертификацию программного обеспечения может проводить как разработчик, так и пользователь программного обеспечения.
4) Для соблюдения требований Федерального закона № 152-ФЗ недостаточно использовать сертифицированные программные средства - обязательно проведение всего комплекса мероприятий по защите перс. данных.
5) Пользователям программ системы "1С:Предприятие 8" достаточно приобрести сертифицированную версию платформы "1С:Предприятие 8.2z" без необходимости дополнительной сертификации каждого прикладного решения в отдельности.
1 Подробнее читайте в информационном письме фирмы "1С" на сайте http://1c.ru/szi.
