Вопросы и ответы

C нашей точки зрения однозначного правого ответа не существует. В соответствии с п. 1.3 "Положения о методах и способах защиты информации в информационных системах персональных данных" (Приказ директора ФСТЭК России от 05.02.2010 года № 58) "Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации." Таким образом, оператор имеет право самостоятельно реализовать технические и организационные мероприятия по защите ПДн, не имея Лицензии ТЗКИ. Сторонние организации, привлекаемые для проектирования, построения и эксплуатации систем защиты обязаны иметь данную лицензию (см. также Статью 17 Федерального Закона № 128-ФЗ "О лицензировании отдельных видов деятельности"). Вместе с тем существуют другие позиции, например "Исходя из того, что государство определило, что персональные данные – конфиденциальная информация и что техническая защита конфиденциальной информации – лицензируемый вид деятельности, для разработки, создания, эксплуатации, модернизации системы технической защиты ИСПДн (содержащей конфиденциальную информацию) требуется лицензия на деятельность по ТЗКИ. Именно наличие лицензии на деятельность по ТЗКИ является обязательным условием возникновения специальной право- и дееспособности лицензиата в области осуществления лицензируемого вида деятельности и гарантирует надлежащую защиту конфиденциальной информации." см. http://www.fz152.ru/articles/120-article003.html . Данной позиции придерживается и ФСТЭК России, свидетельством этого является его Письмо в Минздрав и соцразвитие http://www.minzdravsoc.ru/docs/others/15.

В соответствии с п. 12 в) "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить "проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации" и проведение аттестации его ИСПДн не требуется. Вместе с тем, Указом Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера") персональные данные (кроме общедоступных и обезличенных) отнесены к сведениям конфиденциального характера. Порядок защиты конфиденциальной информации регламентируется "Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К)". В п. 2.17 СТР-К указано "Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации". Однако требования СТР-К являются обязательными только для защиты государственных информационных ресурсов. Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер). Вместе с тем, необходимо учесть, что в соответствии с п. 3 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных": "Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора". Так как для коммерческих структур аттестация становится не обязательной, то в этом случае вся ответственность за точное исполнение всех организационно-технических требований по защите персональных данных лежит на операторе ПДн. И в случае выявленных несоответствий в ходе государственного контроля и надзора, именно он несет за это ответственность. Если же оператор проходит процедуру оценки соответствия установленным требованиям с привлечением Лицензиатов ФСТЭК и (или) ФСБ России (по результатам которых оформляется аттестат соответствия или заключение), то, как правило, в этом случае он получает уверенность, что все меры выполнены, а в случае выявленных нарушений третье лицо разделяет риски с оператором ПДн.

Указом Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера" персональные данные (кроме общедоступных и обезличенных) отнесены к сведениям конфиденциального характера. Для защиты конфиденциальной информации должны применяться средства защиты прошедшие обязательную сертификацию в рамках системы сертификации средств защиты информации (системы сертификации ФСБ и ФСТЭК России). Федеральный закон № 99 от 4 мая 2011 г. "О лицензировании отдельных видов деятельности" определяет, что лицензированию подлежит только деятельность по распространению шифровальных (криптографических) средств, предназначенных для защиты конфиденциальной информации, а также специальные технические средства, предназначенные для негласного получения информации (данный Закон не распространяется на деятельность по защите государственной тайны). Таким образом, можно сделать вывод, что лицензия на реализацию средств защиты конфиденциальной информации, включая и персональные данные, не требуется.

Сертифицированным ПО Microsoft является лицензионное ПО со встроенными механизмами защиты, прошедшими сертификацию в системе сертификации средств защиты информации, что подтверждено сертификатом соответствия ФСТЭК России, а также настроенное и эксплуатируемое в соответствии с сертифицированными параметрами. Сертификацию проходят заявленные Microsoft встроенные средства (механизмы) защиты программного обеспечения, к которым относятся: • аутентификации и идентификации; • контроля доступа; • регистрации и учета; • аудита; • обеспечения целостности; • блокирования запуска вредоносных программ; • обеспечения функций межсетевого экранирования; • и другие. В бинарном коде сертифицированные продукты ни чем не отличаются от стандартного лицензионного программного обеспечения. Отличия состоят в условиях эксплуатации ПО, пакете предоставляемых дополнительных сервисов, сопроводительной документации и сертификационной поддержке, являющейся обязательным условиями действия сертификата.

Это государственные и коммерческие организации обрабатывающие конфиденциальную информацию в АС классов до 1Г включительно. Все организации обрабатывающие персональные данные до 2-го класса включительно. Практически в каждой организации России основной рабочей IT-средой является Windows. На сегодняшний момент сертифицированы ФСТЭК России все самые распространенные пользовательские и серверные операционные системы, которые могут являться эффективным и экономичным решением для защиты информации. Для построения системы защиты на платформе сертифицированных продуктов Microsoft не требуется изменения технологии обработки информации, использование наложенных средств защиты, специальной подготовки персонала, больших финансовых затрат. Все эти факторы позволяют организациям больше сосредоточиться на решении бизнес-задач, нежели на создании некой "надстройке" безопасности . При этом, сертифицированные продукты Microsoft являются самыми современными и совершенными средствами защиты информации, которым доверяют во всем мире.

В отличии от базового пакета в состав полного пакета входит программно-аппаратный комплекс усиления функций аутентификации пользователей (дополнительная защита от НСД), включающий сертифицированный электронный USB-ключ (или смарт-карту) eToken 5 и сертифицированную программу eToken Network Logon.

Самым оптимальным вариантом в таком случае является использование программы “Net_Check”, позволяющей реализовать централизованную настройку, обновление и контроль всех типов сертифицированных ОС Microsoft Windows в сети организации. Более подробно о программе “Net_Check” Вы сможете узнать по ссылке: http://www.altx-soft.ru/groups/page-268.htm

Функциональные характеристик встроенных средств защиты сертифицированного ПО приведены в его Задании по безопасности.

Оценочный уровень доверия РД ОК не имеет аналогов в требованиях РД АС и в методических документах по обеспечению безопасности ИСПДн, и является по отношению к ним дополнительными требованиями к процессу разработки средств защиты информации. Аналогом требований РД АС и методических документов по обеспечению безопасности ИСПДн являются функциональные требования из РД ОК и Заданий по безопасности (ЗБ).

Примеры сопоставления функциональных требований РД ОК, ЗБ требованиям РД АС для класса защищенности 1Г и ИСПДн 3 класса приведены в соответствующих таблицах:

• Требования ОУД 1(РД ОК) – требования по обеспечению безопасности АС кл. 1Г (РД АС) для Windows XP SP3;
• Требования ОУД 1 (РД ОК) – требования по обеспечению безопасности ИСПДн К3 для Windows XP SP3

Программы семейства "Check" – инструмент администратора (администратора безопасности), который позволяет автоматизировать процесс приведения в соответствие ПО Microsoft условиям действия Сертификатов. Программы “Check” предназначены для автоматической настройки и контроля ПО согласно Руководству по безопасной настройке, автоматизированной установки обновления, фиксации состояния и других операций с сертифицированными версиями продуктов Microsoft. Программы контроля семейства "Check" являются одной из компонент Пакетов сертифицированных версий ПО Microsoft. Программы "Check" обеспечивают:
• сбор данных и формирование отчетов о соответствии установленного продукта сертифицированной версии;
• формирование отчетов об установленных и неустановленных сертифицированных обновлениях безопасности;
• проверку загруженных обновлений на предмет соответствия сертифицированным обновлениям продуктов Microsoft;
• фиксацию и контроль целостности файлов методом контрольного суммирования по уровню 3 (ГОСТ 28147-89) с использованием сертифицированного программного средства "ФИКС-библиотека 1.0", Сертификат ФСТЭК России №677;
• контроль и настройку параметров безопасности в автоматизированном (на основании сертифицированных конфигураций) и ручном (установка значений отдельных параметров безопасности) режимах;
• формирование отчета о соответствии текущей конфигурации параметров безопасности выбранной сертифицированной конфигурации;
• создание произвольных пользовательских конфигураций параметров безопасности с возможностью наследования значений от сертифицированных конфигураций или текущего состояния системы;
• экспорт конфигураций параметров безопасности для обеспечения единых параметров настройки безопасности для группы ПЭВМ.

Net_Check — программное средство для централизованного контроля, настройки и обновления механизмов безопасности сертифицированных версий продуктов Microsoft в сети предприятия. Используется при организации обработки конфиденциальной информации и персональных данных в защищенных системах, построенных на платформе безопасности Microsoft. Программа Net_Check не входит в состав пакетов сертификации ПО Microsoft, является отдельно лицензируемым продуктом и представляет собой дальнейшее развитие локальных Программ настройки и контроля сертифицированных версий продуктов Microsoft (семейство программ "Check") и предназначена для централизованного выполнения следующих действий:
• контроль сертифицированных версий программных продуктов Microsoft;
• контроль и установка сертифицированных обновлений безопасности;
• фиксация и контроль исполняемых файлов и библиотек;
• настройка параметров безопасности в соответствие с сертифицированными конфигурациями;
• формирование отчетов о соответствии контролируемых ЭВМ требованиям к функционированию сертифицированных версий программ.
Более подробно узнать о программе "Net_Check" Вы можете у наших менеджеров отдела продаж, либо на странице: http://www.altx-soft.ru/groups/page-268.htm

Использование сертифицированных продуктов предполагает их функционирование в определенных конфигурациях, при которых программное обеспечение проходило сертификационные испытания и обеспечивает требуемый уровень безопасности. Перечень параметров и их значения приведены в Руководствах по безопасной настройке сертифицированных версий. Данные конфигурации разработаны на основе результатов сертификационных испытаний и рекомендаций, приведенных в Руководствах по безопасности Microsoft. Конфигурации определяются набором эталонных значений параметров безопасности. Применительно к продуктам Microsoft таких конфигураций, как правило, две:
• конфигурация "Корпоративный клиент" – аналог шаблона параметров безопасности "Enterprise Client", рекомендуемого для большинства защищенных автоматизированных систем;
• конфигурация "Безопасная среда" – аналог шаблона параметров безопасности SSLF (Specialized Security – Limited Functionality), рекомендуемого для создания высокозащищенных систем с ограничением функционала ПО. Для эффективного и удобного применения указанных конфигураций компанией АЛТЭКС-СОФТ разработаны программы контроля и настройки сертифицированных продуктов Мicrosoft (семейство программ "Check").