Защита персональных данных курс лекций

Глава 1 Основные понятия информационной безопасности

Оглавление

Введение

1. Лекция 1. Основные понятия информационной безопасности

1.1. Информация

1.2. Обладатель информации

1.3. Доступ к информации

1.3.1. Право доступа

1.3.2. Несанкционированный доступ к информации

1.4. Типы информации с позиции информационной безопасности

1.5. Свойства информации с позиции информационной безопасности

1.6. Обработка информации

1.7. Информационные технологии

1.8. Информационная система

1.8.1. Классификация информационных систем

1.8.1.1. Локальная информационная система

1.8.1.2. Распределенная информационная система

1.8.1.3. Автономная (изолированная) информационная система

1.8.1.4. Информационная система, имеющая подключения к сети общего пользования

1.8.1.5. Однопользовательская информационная система

1.8.1.6. Многопользовательская информационная система

1.8.1.7. Информационная система с разграничением прав доступа к информации

1.8.1.8. Государственная и муниципальная информационная система

1.8.1.8.1. Государственная информационная система

1.8.1.8.2. Муниципальная информационная система

1.8.1.8.3. Информационная система муниципального казенного учреждения

1.9. Информационная безопасность

1.10. Защита информации

1.10.1. Инвентаризация информационных систем

1.10.2. Определение уязвимостей

1.10.3. Определение угроз

1.10.4. Определение источников угроз

1.10.5. Определение рисков

1.10.6. Контрмеры (защитные меры)

1.10.7. Исходная безопасность информационных систем

1.11. Иллюстрация введенных понятий на простом примере

1.11.1. Анализ уязвимостей

1.11.2. Определение угроз

1.11.3. Определение источников угроз

1.11.4. Определение рисков

1.11.5. Контрмеры

1.12. Заключение

1.13. Вопросы для самопроверки

Обработкой персональных данных в той или иной форме занимаются все предприятия, организации, учреждения (далее, просто предприятие) независимо от форм собственности, деятельности, размеров и других отличительных факторов. Даже, если предприятие не оказывает услуги населению (физическим лицам), не взаимодействует с другими предприятиями (контрагентами), оно все же имеет в своем штате собственных сотрудников. Соответственно, предприятие обязано в соответствии с законодательством РФ вести кадровый учет, начислять и выплачивать вознаграждение сотрудникам, а также отчитываться перед государственными службами о тех или иных сторонах деятельности (например, перед пенсионным фондом).

Люди, физические лица в повседневной жизни для удовлетворения своих потребностей получают услуги от предприятий (услуги жизнеобеспечения, банковские, страховые и т.д.), становятся их клиентами и передают им сведения о себе (персональные данные – ПДн). Аналогично, поступая на работу, человек обязан передать работодателю некоторый перечень персональных данных, который определен в Трудовом Кодексе РФ.

Современные информационные технологии позволяют получать определенные услуги удаленно, т.е. без физического присутствия и физического взаимодействия клиента с представителем поставщика услуг. Для совершения сделки, например, в Интернет-магазине, персональные данные будут переданы от клиента к поставщику через не безопасную сеть международного доступа.

Если персональные данные физического лица становятся известными злоумышленнику, то они могут быть использованы им в корыстных или иных целях с нанесением материального или морального ущерба данному лицу. Следовательно, персональные данные, полученные предприятием, должны быть защищены от неправомерного использования. Это требование вытекает и из 2 статьи основного закона – Конституции РФ, и из соответствующих статей трудового кодекса РФ, и, наконец, из Федерального Закона № 152 «О персональных данных».

Казалось бы, что после выхода закона РФ № 152 в далеком 2006 году, соответствующих постановлений Правительства РФ, приказов федеральных служб, ответственных за методическое обеспечение и контроль выполнения данного закона, законопослушные предприятия должны были принять необходимые меры по защите персональных данных. Однако в полной и должной мере этого не случилось и по сей день.

Существует несколько причин, по которым этот Закон практически не выполняется:

Закон противоречив, некоторые его положения были абсурдны в момент его выхода при соотнесении с другими действующими правовыми документами и таковыми остались после многочисленных редакций. Есть положения Закона, которые логически находятся вне компетенции предприятий и не могут быть выполнены.

Защита персональных данных относится к сложной области информационной безопасности (персональные данные – это просто конкретный вид информации), малые и средние предприятия не могут позволить себе содержать специалистов в этой области. Даже при наличии специалистов техническая защита персональных данных требует дорогостоящей лицензии на проведение работ по защите конфиденциальной информации.

Привлечение системных интеграторов, имеющих лицензии на защиту конфиденциальной информации и защиту данных с помощью криптографических методов (шифрование данных), непомерно дорого в сравнении с действующими наказаниями для предприятий и должностных лиц за неисполнение закона.

Правовой нигилизм руководителей предприятий, четко понимающих необязательность исполнения Законов в современной России.

Двойные стандарты государственных органов, с одной стороны требующих выполнения закона подведомственными государственными и муниципальными учреждениями, а с другой стороны не обеспечивающих их бюджетными финансовыми средствами для его выполнения.

Не смотря на вышесказанное руководителям и собственникам предприятий все же придется принимать непростые решения:

Продолжать игнорировать требования закона. В этом случае они должны тщательно оценить принимаемый риск, так как неисполнение закона может привести к административному или уголовному преследованию именно руководителей. Адекватная оценка риска, выражаемая в вероятности полноценной проверки предприятия контролирующими органами, поможет выбрать правильную стратегию из двух возможных: что эффективнее, вложить средства в защиту персональных данных или в выплату штрафов государству и возможно в компенсацию нанесенного вреда физическим лицам.

Начать выполнение требований закона. Приняв такое решение, также выбирается непростой путь. Надо ответить на следующие вопросы: что нужно сделать для построения эффективной и приемлемой по стоимости защиты персональных данных и что нужно сделать для успешного прохождения проверки контролирующими органами. Как ни странно, но российская реальность такова, что хорошая система защиты не является достаточным условием успешности проверки. Многие предприятия склоняются к тому, что проще «защититься» от контролирующих органов, чем создавать действительно эффективную систему, обеспечивающую требуемую безопасность персональных данных.

Продолжить и далее поэтапно вводить подсистемы защиты. Наиболее правильная стратегия, позволяющая распределить на длительное время финансовые и прочие ресурсы, постепенно приближаясь к требуемому уровню защищенности персональных данных.

Какое бы не было выбрано решение без анализа и понимания нормативных актов, которые содержат требования к правовым, организационным и техническим аспектам защиты, не обойтись. Кроме этого, руководителям очень полезно хотя бы схематично ознакомиться с общими принципами построения систем, обеспечивающих безопасность персональных данных.

Есть еще круг лиц (ответственные за обработку персональных данных, администраторы безопасности), которым предписано Законом выполнение непростых обязанностей по поддержанию безопасности персональных данных. Как правило, этими лицами назначаются сотрудники, которые очень далеки при выполнении своих прямых обязанностей от проблем информационной безопасности. На малых и средних предприятиях эта непосильная ноша возлагается на юрисконсультов, инспекторов отдела кадров, бухгалтеров. Этот курс лекций поможет им более квалифицировано, с большим пониманием и ответственностью действительно «сопровождать» безопасность, а не только надеяться на то, что проверки и прочие неприятности минуют их.

Некоторые руководители могут принять решение о построении систем защиты персональных данных силами собственных сотрудников. Эти сотрудники должны иметь правовую культуру, обладать навыками разработки сложных систем в области информационной безопасности. Изучив данный курс, эта категория сотрудников получит не только теоретические знания, но и практический опыт, которые можно приобрести и самостоятельно, только времени и сил потребуется на порядок больше.

Наконец, если принято решение о проведении работ по защите, персональных данных специализированной организацией – системным интегратором, эти лекции послужат хорошим подспорьем тому сотруднику предприятия, который будет обязан от имени предприятия участвовать в предпроектном исследовании, подготовке требований технического задания, приемке систем защиты.

В данном курсе скрупулезно будут рассмотрены все основные положения законодательства в области защиты персональных данных, даны необходимые для понимания сведения из области информационной безопасности и предложены типовые решения и проекты, реализация которых обеспечит как реальную безопасность, так и успешность выездной или документарной проверки предприятия контролирующими органами.

В процессе создания этих методических материалов использованы личный практический опыт автора и многочисленные открытые источники информации, среди которых особенно хочется отметить партнеров ООО «Технологии Управления Ресурсами»:

ЗАО «Диалог-Наука»;

ООО «DrWeb»;

Корпорацию «Майкрософт»;

Kerio Technologies Inc;

GFI;

Acronis Inc.

1. Основные понятия информационной безопасности

В Федеральном законе «О персональных данных» приводятся обобщенные формулировки понятий, связанных с обработкой ПДн, обобщенные требования к процедурам обработки и обобщенные требования к защите ПДн. Дальнейшая конкретизация понятийной базы и требований приводится в постановлениях Правительства и приказах соответствующих государственных служб. Подробное описание «кто есть, кто» в правовом пространстве «защита персональных данных» изложено в лекции «Правовое обеспечение защиты персональных данных».

Фактически ФЗ «О персональных данных» обязывает все предприятия разработать, внедрить и сопровождать систему защиты (специфической) информации и, следовательно, даже только для адекватного понимания этого закона и выпущенных в его развитие подзаконных актов необходимо знание базовых понятий информационной безопасности.

1.1. Информация

Все отношения по защите информации, которые возникают на предприятиях Российской Федерации, применяющих информационные технологии, регулируются ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Понятие «информация» является базовым, фундаментальным понятием (также как, например, понятие «объект») и поэтому по сути неопределяемым. Нет более общего понятия, через которое его можно было бы определить классическим способом (отнесением к ближайшему роду и указанием видовых отличий или перечислением его элементов). Единственное, что можно сделать в таких случаях – это привести синонимы данного понятия. Подобным образом поступили с определением информации в упомянутом Федеральном законе. Итак, информация – это сведения (сообщения, данные) независимо от формы их представления. Информация как абстрактная сущность не может существовать отдельно сама по себе и неразрывно связана с носителем. Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Носителем одной и той же информации может быть бумага, звуковые волны, световые волны и т.д. Заметьте, что при таком понимании ничего не говорится об интерпретации (толковании) информации. Например, любое бессмысленное утверждение или бессмысленная фраза типа «дерево береза курит сигареты с фильтром» – информация.

В современном обществе информация приравнивается к таким же активам, как и здания, сооружения, транспортные средства и т.д. и часто выступает в качестве товара. Более того для отдельных предприятий стоимость информационных активов может превышать стоимость всех других. Для них утрата информации может привести вообще к прекращению деятельности предприятия.

1.2. Обладатель информации

Физическое или юридическое лицо может стать (законным) обладателем информации, если оно самостоятельно создало ее или получило на основании закона или договора с обладателем информации право разрешать или ограничивать доступ к ней. Человек, родившийся на территории России, в соответствии с законом становится обладателем фамилии, имени, отчества, места рождения и иной персональной информации. Юридическое лицо при приеме на работу физического лица становится обладателем персональной информации этого лица на основании трудового кодекса РФ и трудового договора. Автор этой лекции, самостоятельно ее сотворивший, – законный обладатель информации. Если господин Петров получил по обычной почте адресованный ему конверт от банка «Х Банк» с предложением получить кредит в банке, и с этим банком у Петрова нет действующего договора, то банк незаконный обладатель персональной информации Петрова.

1.3. Доступ к информации

Чтобы воспользоваться информацией, необходимо иметь к ней доступ, т.е. иметь право (полное или ограниченное право доступа, полученное от обладателя) на ее обработку. Другими словами, доступ к информации – это возможность получения информации и ее использования. Например, доступ к тексту гимна РФ никому не ограничен, любой желающий может скопировать его с официального сайта и выучить. Однако доступ к полной платежной ведомости предприятия может быть закрыт даже для его сотрудников.

1.3.1. Право доступа

Право доступа – это совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы (информации, её носителям, процессам и другим ресурсам), которые установлены правовыми документами или обладателем информации. Права доступа определяют набор действий (например, чтение, запись, модификация), разрешённых для выполнения субъектам (например, пользователям системы) над информацией. Для этого требуется некая система разграничения прав доступа для предоставления субъектам различных прав доступа к информации.

Например, операционная система Windows (XP/7/8/10 или некая другая) содержит штатные средства разграничения прав доступа пользователя к информации. Типовые средства основываются на процедуре входа пользователя в систему, состоящей из идентификации пользователя (ввод имени пользователя), аутентификации (ввод пароля, доказательство подлинности пользователя), авторизации (предоставление прав доступа).

Аналогичные средства разграничения прав доступа имеют и прикладные программы.

1.3.2. Несанкционированный доступ к информации

Несанкционированный доступ к информации – доступ к информации с нарушением прав разграничения доступа, определенных обладателем и реализуемых штатными средствами информационной системы.

Злоумышленник может загрузить свою операционную систему, например, с оптического привода компьютера, и получить несанкционированный доступ к информации. Если пользователь вошел в программу расчета заработной платы под именем другого пользователя с подбором его пароля, то он совершил несанкционированный доступ к информации.

1.4. Типы информации с позиции информационной безопасности

Всю информацию с позиции информационной безопасности подразделяют на два типа:

Информация неограниченного доступа или общедоступная информация. Это информация, находящаяся в свободном доступе любому лицу, может распространяться и передаваться без каких-либо ограничений. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен обладателем. Примером такой информации служит текст Конституции России. Другой пример, – номера телефонов абонентов в телефонной книге, выпущенной телефонным оператором с письменного согласия абонентов.

Информация ограниченного доступа или конфиденциальная информация. Доступ к этой информации ограничивается либо по инициативе обладателя, либо директивно соответствующими государственными органами, такими как Государственная Дума, Федеральная Служба по Техническому и экспортному Контролю (ФСТЭК), Федеральная Служба Безопасности (ФСБ), во исполнение федеральных законов и указов президента.

В свою очередь, конфиденциальная информация подразделяется на следующие виды:

Служебная тайна (информация с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащаяся в государственных (муниципальных) информационных ресурсах, накопленная за счет государственного (муниципального) бюджета и являющаяся собственностью государства, защита которой осуществляется в интересах государства);

Профессиональная тайна (сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);

Коммерческая тайна; (ФЗ о коммерческой тайне № 98 от 29.6.2004 г.);

Банковская тайна (ФЗ о банках и банковской деятельности №395-1 от 2.12.1990 г.);

Персональные данные (ФЗ о персональных данных № 152 от 27.06.2006 г.)

Государственная тайна. (Указ президента РФ № 351 от 17.03.2008 г.)

1.5. Свойства информации с позиции информационной безопасности

Существует несколько подходов к выделению из многочисленных свойств информации тех характеристик, на основе которых формируется само понятие информационной безопасности. Здесь будут выбраны характеристики, ставшие в некотором смысле классическими:

Доступность информации – возможность субъекту информационных отношений за приемлемое время получить требуемую информационную услугу.

Целостность информации – устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки, результатом которого может быть уничтожение или искажение информации.

Конфиденциальность информации – требование обладателя информации о запрете несанкционированного доступа к информации.

Неотрекаемость – возможность доказать авторство информационного сообщения.

Все эти свойства будут более подробно проанализированы после ввода понятия «информационная система»

1.6. Обработка информации

Информация может использоваться в первозданном виде, в той форме, в которой она возникла, или в более удобном (обработанном) виде для пользователя. Понятие «обработка информации» не менее базовое, чем понятие самой информации. ФЗ №149 не дает определения данного понятия. Самое общее определение может быть таким: обработка информации – любые действия с информацией. Чтобы немного конкретизировать действия обычно перечисляют примеры действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление), уничтожение.

Некоторые из перечисленных действий на бытовом уровне не воспринимаются в качестве «обработки», например, хранение информации, однако при рассмотрении вопросов информационной безопасности под обработкой также понимают и хранение. Примером обработки информации может служить начисление заработной платы сотрудникам предприятия.

1.7. Информационные технологии

Обработка информации как алгоритмический процесс, состоящий из последовательных и(или) параллельных действий над ней и приводящий к необходимому результату (получение новой информации, упорядочивание, структурирование и т.д.) называется информационной технологией.

Если сведения о контрагентах предприятия внесены на отдельные картонные карточки, а затем карточки упорядочены в алфавитном порядке по названиям предприятий, то это пример (устаревшей) информационной технологии поиска информации.

1.8. Информационная система

Для автоматизации обработки информации используют технические средства. В начале и середине двадцатого века это были логарифмические линейки, арифмометры и нечто аналогичное. Сейчас это компьютеры, многочисленный спектр периферийного оборудования компьютеров (принтеры, сканеры и т.д.), сети передачи данных. Технические средства, используемые непосредственно для реализации информационных технологий, называют основными техническими средствами и системами (ОТСС). Для обеспечения работоспособности ОТСС требуется электроэнергия, системы кондиционирования, контрольно-измерительная аппаратура и т.д. Подобные технические средства, которые не используются непосредственно для обработки информации, но без которых обработка неосуществима, называются вспомогательными техническими средствами и системами (ВТСС) или поддерживающей инфраструктурой.

Теперь можно дать определение информационной системы: «информационная система – совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и средств». Это понятие информационной системы, взятое из федерального закона 149-ФЗ, несмотря на кажущуюся сложность при переводе на обычный язык абсолютно просто для восприятия. Информационная система – это компьютеры (средства), управляемые прикладными программами (информационные технологии), определяющими нужный процесс обработки информации. Например, персональный компьютер (средства), на котором установлена программа расчета заработной платы (информационная технология) сотрудников предприятия (информация) – типичный пример информационной системы.