Polibase FAQ:16062 — различия между версиями

Материал из Cybernetic Systems
Перейти к: навигация, поиск
(Что должно соответствовать требованиям 152-ФЗ)
(Что должно соответствовать требованиям 152-ФЗ)
Строка 32: Строка 32:
 
Обратимся опять к определениям, данным в законе: «Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств».  
 
Обратимся опять к определениям, данным в законе: «Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств».  
  
Таким образом, ИСПДн заказчика — это нечто гораздо большее, чем программный продукт, используемый в ее составе. Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн — это автоматизированная система, а программный продукт — это часть комплекса технических средств, средство вычислительной техники. <u>Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных.</u>
+
<u>Таким образом, ИСПДн заказчика — это нечто гораздо большее, чем программный продукт, используемый в ее составе.</u> Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн — это автоматизированная система, а программный продукт — это часть комплекса технических средств, средство вычислительной техники. <u>Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных.</u>
  
 
<u>И никакой документ о соответствии программного продукта каким-либо требованиям не решит этой проблемы.</u>
 
<u>И никакой документ о соответствии программного продукта каким-либо требованиям не решит этой проблемы.</u>

Версия 11:36, 18 апреля 2019

1 К вопросу о безопасности персональных данных и о федеральном законе №152-ФЗ “Об обработке персональных данных”

ВОПРОС:

Добрый день, просим ответить на один важный вопрос:

В соответствии с Федеральным законом №152-ФЗ “Об обработке персональных данных” в информационной системе CS Polibase осуществляется обработка специальной категории персональных данных – данных о состоянии здоровья.

В рамках подзаконных актов к закону определены 3 перечня возможных угроз информационных систем обработки ПД:

- Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

- Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

- Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Если я все правильно помню, то эти угрозы могут определить только разработчики информационных систем исходя из требований ФСТЭК, ФСБ и ФАПСИ, были приказы этих органов по определению угроз информационных систем.

Вопрос в следующем: проводились ли Вами какие-либо мероприятия по определению таких угроз и есть ли какие-либо на это документы?

ОТВЕТ

К сожалению, в этом вопросе много неточностей и он демонстрирует типичное недопонимание смысла федерального закона №152-ФЗ “Об обработке персональных данных”. Именно поэтому постараемся на него ответить.

1.1 Что должно соответствовать требованиям 152-ФЗ

Давайте определимся сначала, ЧТО должно соответствовать требованиям 152-ФЗ?

Сегодня мало кто разрабатывает собственную программную систему автоматизации. На рынке представлено достаточно много тиражируемых программных продуктов, производимых независимыми разработчиками, и заказчики выбирают продукт, наиболее удовлетворяющий требованиям предприятия. Заказчики часто спрашивают у производителей, удовлетворяет ли их программное обеспечение требованиям закона о персональных данных, рассчитывая таким образом решить проблему соответствия своей информационной системы персональных данных (ИСПДн) требованиям закона. Однако следует понимать, что собственно программная информационная система, как тиражируемый программный продукт, не является той ИСПДн, о которой идет речь в законе «О персональных данных».

Обратимся опять к определениям, данным в законе: «Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств».

Таким образом, ИСПДн заказчика — это нечто гораздо большее, чем программный продукт, используемый в ее составе. Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн — это автоматизированная система, а программный продукт — это часть комплекса технических средств, средство вычислительной техники. Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных.

И никакой документ о соответствии программного продукта каким-либо требованиям не решит этой проблемы.

(ответ п.1.1 подготовлен на основе источника cnews.ru)

1.2 Кто определяет тип угроз информационной безопасности?

Вы пишете: “Если я все правильно помню, то эти угрозы могут определить только разработчики информационных систем исходя из требований ФСТЭК, ФСБ и ФАПСИ”.

Это неверное утверждение.

В пункте п. 7 Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" явно указано:

п.7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

См. там же:

п.3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

п.4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".

1.3 Некоторые дополнительные юридические разъяснения

Некоторые дополнительные юридические разъяснения, которые, надеемся, будут Вам полезны:

(ответ п.1.3) подготовлен на основе информационного письма фирмы "1С", опубликованном на сайте http://1c.ru/szi.)

Начало цитаты

Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

Следует обратить внимание, что рассматриваемым приказом ФСТЭК России не определено лицо, обязанное проводить сертификацию ПО, т. е. провести сертификацию может как разработчик ПО, так и непосредственно оператор ИСПДн. То есть в случаях применения программного обеспечения, в отношении которого разработчиком не проведен контроль отсутствия недекларированных возможностей, оператором ИСПДн может быть проведена сертификация в системе ФСТЭК России самостоятельно.

Дополнительно необходимо отметить, что в соответствии с пунктом 2.13 приказа ФСТЭК России № 58: "в зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных". Следовательно, можно и нужно говорить об используемом комплексе программных продуктов, влияющих на обеспечение защиты персональных данных.

Например, во многих организациях будут дополнительно использоваться межсетевые экраны, специализированные средства защиты информации, антивирусные программы и иное программное обеспечение.

Кроме того, необходимо учитывать, что мероприятия по защите персональных данных применением сертифицированных программных продуктов не ограничиваются. Как отмечалось ранее, необходимо проводить комплекс организационно-технических и правовых мероприятий, проводить который может как сама организация при наличии соответствующих специалистов, так и специализированные организации, имеющие соответствующие лицензии ФСТЭК России.

Таким образом, для соблюдения требований Федерального закона № 152-ФЗ недостаточно использовать сертифицированные программные средства - обязательно проведение всего комплекса мероприятий по защите персональных данных.

Напомним, что решением ФСТЭК России от 05.03.2010 года отменен ранее действовавший порядок подтверждения соответствия ИСПДн требованиям безопасности путем проведения сертификации (аттестации) ИСПДн 1 и 2 класса. Соответственно, в данное время вопрос подтверждения соответствия ИСПДн установленным требованиям безопасности остается открытым.

Конец цитаты

1.4 Декларация о защите информации от несанкционированного доступа в системе CS Polibase

В целях обеспечения соблюдения требований законодательства по защите персональных данных в программной системе "CS Polibase" реализован механизм защиты данных от несанкционированного доступа на основе учетных записей пользователей и системы управлениями правами и ограничениями, а также механизм аудита действий пользователей и просмотра сведений о зарегистрированных событиях аудита.

Кроме этого, поскольку система CS Polibase использует СУБД Oracle, то система защиты информации от несанкционированного доступа CS Polibase в значительной степени использует систему защиты от несанкционированного доступа СУБД Oracle. В частности, процедуры резервного копирования базы данных и ее восстановления используют стандартные процедуры резервного копирования и восстановления СУБД Oracle. Установление индивидуальных паролей СУБД Oracle для системного пользователя и пользователя базы данных CS Polibase, которые защищают базу данных CS Polibase от несанкционированных копирования и восстановления, является целиком и полностью ответственностью оператора (пользователя) системы CS Polibase.

Мы, как разработчики, декларируем, что программная система "CS Polibase" является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Процедура сертификации, подтверждающая эту декларацию, нами не проводилась в силу достаточной очевидности приведенного утверждения.

Вернуться на заглавную страницу