Законодательная база Российской Федерации

ПИСЬМО Рособразования от 22.10.2009 N 17-187 "ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ"

Проектирование и реализация систем защиты типовых ИСПДн, существенно проще, чем специализированных. При этом разработка технического проекта обычно сводится к выбору наименее затратного подходящего типового технического решения.

Стадия реализации типовых ИСПДн 3 класса сводится к приобретению и внедрению типовых технических средств защиты ПДн и адаптации типового комплекта нормативной и регламентирующей документации.

Стадия ввода в действие включает опытную эксплуатацию системы защиты ПДн, приемо-сдаточные испытания, аттестацию или декларирование соответствия требованиям по безопасности информации, обучение персонала.

На заключительном этапе работ осуществляется подготовка уведомления (или соответствующих изменений) в территориальное подразделение Роскомнадзора.

При реализации средств защиты необходимо иметь ввиду, что обязательные требования по защите ПДн для ИСПДн класса К4, обрабатывающих обезличенные или общедоступные персональные данные, случае не устанавливаются.

Обязательные мероприятия по защите персональных данных в типовых нераспределенных ИСПДн класса К3 могут быть осуществлены без привлечения специалистов в области информационной безопасности. Если в таких системах АРМ пользователей, работающих персональными данными, не подключены к сети (локальной или Интернет), а обмен данными осуществляется с помощью маркированных съемных носителей, то достаточно использовать средства защиты информации (СЗИ), встроенные в сертифицированные ФСТЭК России ОС Windows XP/Vista.

Продукты Майкрософт, сертифицированные во ФСТЭК России, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Майкрософт. Однако в соответствии с законодательством России каждый экземпляр сертифицированного ФСТЭК России продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая специальный знак соответствия с уникальным номером. В комплекте с сертифицированным программным продуктом поставляется специальная эксплуатационная документация, в соответствии с которой осуществляется настройка и контроль сертифицированных параметров этого программного обеспечения.

Кроме того, обладатель сертифицированной версии продукта, имеет защищенный доступ к специализированному сайту для получения сертифицированных обновлений. Сертифицированные продукты Майкрософт имеют оценочный уровень доверия ОУД1 (усиленный) и могут использоваться в составе информационных систем персональных данных.

Настройка и конфигурирование сертифицированной ФСТЭК России ОС Windows XP может осуществляться самостоятельно или приобретаемыми у официальных поставщиков средствами. Более подробная информация о конфигурировании ОС Windows XP в соответствии с требованиями безопасности представлена на сайтах (www.microsoft.com/Rus/Security/Certificate/Default.mspx, www.altx-soft.ru).

Дополнительная защита информации АРМ, в которых один виртуальный пользователь (со своим логином и паролем) получает возможность выхода в Интернет, а другой - работать с персональными данными, может быть осуществлена с помощью утилиты DevCon. Это свободно распространяемая Майкрософт программа с интерфейсом командной строки, которая позволяет включать, выключать, перезапускать, обновлять, удалять и опрашивать отдельные устройства или группы устройств.

Для отключения сетевой карты АРМ пользователя персональных данных при его входе в систему может быть предусмотрено выполнение команды "devcon disable.... Таким образом, данный виртуальный пользователь не может работать в сети, но может работать с персональными данными. Для включения сетевой карты у другого виртуального пользователя сети, при его входе в систему в автозагрузке может быть предусмотрено выполнение команды "devcon enable.... Это дает доступ к сетевым сервисам и услугам корпоративной сети и Интернет, но не позволяет работать с персональными данными. Доступ пользователей к директориям (папкам) с персональными данными при этом должен быть разграничен средствами ОС Windows XP.

Совпадение программных кодов сертифицированных ФСТЭК России и обычных лицензионных ОС Windows XP, имеющихся практически в каждом учреждении, дает возможность осуществить самостоятельную апробацию и опытную эксплуатацию системы защиты ИСПДн до приобретения сертифицированных продуктов. Если в результате опытной эксплуатации возможностей СЗИ ОС Windows XP окажется недостаточно, то от приобретения сертифицированной версии продукта можно отказаться и приобрести специализированные СЗИ, устанавливаемые поверх обычной лицензионной ОС Windows XP. Государственный реестр СЗИ, сертифицированных ФСТЭК России, можно загрузить с официального сайта www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls.

В более сложных случаях, чем нераспределенные ИСПДн класса К3, для выполнения работ необходимо привлекать специалистов специализированных организаций: www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls, www.fstec.ru/_doc/per_org_at/_orgat.xls.