Федеральный закон "О персональных данных" постепенно обретает форму и силу. Принятый еще в 2006 году, он только нынешним летом набрал критическую массу для своей реальной работы. Это произошло после того, как Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) приняла четыре ключевых документа: рекомендации по построению защиты персональных данных с их классификацией, базовую модель угроз, методику определения актуальности угроз и список мероприятий по организации защиты персональных данных.
Этого набора документов оказалось достаточно для того, чтобы отечественные интеграторские компании начали предлагать услуги по подготовке информационных систем заказчиков к аттестации в соответствии с законом "О персональных данных". Свои наработки в этом направлении раскрыла компания "ДиалогНаука" на семинаре "Практические аспекты защиты персональных данных", который состоялся 18 сентября.
Концептуально последовательность действий для "операторов персональных данных" такова: базовая модель безопасности определяет типовой набор угроз, по которому затем в соответствии с методикой строится частная модель безопасности конкретного оператора персональных данных. Эта модель представляет собой набор актуальных угроз, для каждой из которых в соответствии с ее актуальностью по рекомендациям формируется набор необходимых инструментов защиты; их-то и должен установить у себя оператор персональных данных. Правильность защиты аттестует одна из лабораторий, входящих в систему ФСТЭК.
Ключевые требования к создаваемой частной модели безопасности задаются в соответствии с классификацией персональных данных. Самый высший класс - К1 - охраняется почти как государственная тайна. К этой категории относятся данные, разглашение которых может привести к "значительным негативным последствиям" для субъекта. Далее классы идут по убывающей: разглашение данных класса К2 приводит к "негативным последствиям", К3 - к "незначительным последствиям", а К4 вообще не влияет на субъекта. При этом системы классов К1 и К2 должны получать аттестат ФСТЭК, операторы систем К3 могут просто декларировать свою защищенность, а К4 защищается вообще по решению оператора - без участия ФСТЭК.
Операторам данных классов К1, К2 и некоторых систем К3, если они сами захотят реализовывать систему защиты, придется получать лицензию ФСТЭК на проведение соответствующих работ. В противном случае аналогичной лицензией должен обладать интегратор, который готовит систему к аттестации.
Существенными характеристиками информационных систем, обрабатывающих персональные данные, являются объем записей, режим доступа (однопользовательский или многопользовательский) и распределенность данных (автономные, локальные или распределенные системы). К примеру, для однопользовательских систем не нужны средства разграничения доступа, а для распределенных приходится устанавливать межсетевые экраны.
Наиболее сложными к реализации требованиями являются защита от утечек данных по техническим каналам (звуковой, видовой, побочные электро-магнитные излучения), которую, возможно, придется реализовать операторам данных уровня К1 и К2. Раньше подобные требования предъявлялись только к системам, обрабатывающим государственную тайну. В общем же список требований к защите аналогичен тому, который содержится в руководящем документе по защите от несанкционированного доступа. Только в новых требованиях существенно расширен набор используемых средств защиты - в нем есть и системы обнаружения вторжений, и детекторы уязвимостей.
Методика определения актуальности угроз по своей идеологии похожа на управление рисками, как это принято в международной практике. В частности, актуальность угрозы определяется как произведение исходной защищенности системы на частоту реализации угрозы. Для сравнения, риск оценивается как произведение ущерба от события на вероятность его совершения. Определены правила качественной оценки защищенности. Она имеет три уровня - низкий, средний и высокий. Частота реализации определяется по экспертным оценкам и имеет четыре уровня. Таким образом, международная модель оценки риска и его снижения реализована в отечественной традиции построения модели злоумышленника и угроз.
Сейчас концепция требований ФСТЭК по защите персональных данных доведена до системных интеграторов - они будут готовить необходимый пакет документов и дорабатывать существующие системы защиты. Правда, пока нет требований на криптографическую составляющую защиты: она традиционно находится в ведении ФСБ. Тем не менее уже понятно, какие защитные продукты для каких систем нужно будет использовать, а криптографические модули в них можно будет подстроить и потом. Интеграторы уже предлагают услуги по аудиту систем и подготовке их к аттестации, которые необходимо будет завершить к 1 января 2010 года, когда требования закона станут обязательными для всех, кто владеет хоть какими-нибудь персональными данными.