Федеральный закон № 152 контролирует безопасность персональных данных граждан Российской Федерации — данных, обрабатываемых в любых информационных системах компаний нашей страны. Принят он был еще в июне 2006 года, однако существовал фактически только на бумаге. Дело в том, что согласно тексту, существующие информационные системы должны были быть приведены в соответствие требованиям до 1 января 2011 года. Причем достаточно долгое время не хватало подзаконных актов и четких определений. Так что практически ни в одной организации не задумывались об этом. В конце концов, было решено отложить начало проверок на 1 июля текущего года. И этот срок уже почти наверняка окончательный. Контролирующие органы готовы начинать проверки и наказывать компании, которые не выполнили свои обязательства. Причем данный перенос не касается вновь создаваемых или модернизируемых информационных систем персональных данных: они должны соответствовать требованиям закона уже с 1 января.
Кто же попадает под действие ФЗ «О защите персональных данных»? В тексте закона указано, что он касается физических и юридических лиц, обрабатывающих (а также просто хранящих) персональные данные. Фактически речь идет о любых компаниях, ведь как минимум информация о сотрудниках хранится у всех. Однако больше всего нуждаются в системе защиты (а соответственно, скорее всего, будут первыми проверяться) те компании, которые оказывают услуги частным лицам с заключением договоров. Спектр предприятий, попадающих под данное описание, весьма велик: банки, страховые компании, сотовые операторы, интернет-провайдеры, турагентства, риелторы, нотариусы, железнодорожные и авиаперевозчики, все медицинские учреждения, учреждения образования и многие, многие другие. Во всех подобных организациях хранятся персональные данные большого количества физических лиц. И все они, вне зависимости от принадлежности и формы собственности, обязаны заботиться о безопасности этих данных.
.
Естественно, главный вопрос — а действительно ли использование сертифицированного программного обеспечения необходимо или же это просто попытка спекуляции разработчиков и продавцов программ в ситуации ажиотажа? Ответ на него можно найти в «Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (утвержден постановлением Правительства РФ от 17 ноября 2007 г. № 781). Пятый пункт этого документа гласит: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия». Ему вторит и пункт 2.1 «Положения о методах и способах защиты информации в информационных системах персональных данных» (утвержден приказом № 58 ФСТЭК России от 5 февраля 2010 г.).
Способы подтверждения соответствия определяются Федеральным законом «О техническом регулировании». В статье 20 этого документа говорится о том, что оно может выражаться в форме принятия декларации о соответствии (декларирование соответствия) или обязательной сертификации. Ну а поскольку систем декларирования еще не существует, то ФСТЭК и ФСБ России определили, что подтверждением соответствия должна служить обязательная сертификация (они имеют на это право согласно упомянутому выше положению). Таким образом, в настоящее время использование сертифицированного программного обеспечения действительно необходимо. Вполне возможно, что в дальнейшем все-таки будет разработан механизм декларирования соответствия. Однако в обозримом будущем этого не предвидится.
Итак, использование сертифицированного программного обеспечения для защиты информации в информационных систем персональных данных обязательно. Но что именно должно быть сертифицировано? В первую очередь это, конечно же, сама операционная система. Ведь она тоже является средством обеспечения безопасности (как минимум, в ней реализовано распределение прав доступа и защита от несанкционированного доступа к информации), а значит, подлежит обязательной сертификации. Проще всего тем компаниям, в информационных системах которых используются операционные системы Microsoft. Все они, начиная с Windows XP и заканчивая Windows 7, имеют необходимые сертификаты. С различными вариантами операционной системы Linux дела обстоят сложнее. Некоторые из них также сертифицированы (например, сертифицированные версии есть у ALT Linux), однако гораздо больше дистрибутивов, не имеющих сертификатов.
Естественно, сертификаты необходимы для всех «явных» средств защиты, используемых в информационных системах персональных данных. И в первую очередь это касается антивирусов. Они обязательно должны быть сертифицированы на предмет отсутствия недокументированных возможностей. В принципе сегодня такие сертификаты имеют практически все известные антивирусные решения. В некоторых компаниях применяются усиленные средства аутентификации пользователей, основанные на применении токенов и смарт-карт. Такие инструменты также должны быть сертифицированными.
Если в информационных системах персональных данных применяется шифрование информации, то на криптографические средства также требуется сертификат. Однако тут надо отметить один важный нюанс. Дело в том, что ФСТЭК может проверить продукт, предназначенный для шифрования информации, только на отсутствие в нем недокументированных возможностей. Качество криптографии проверяет ФСБ РФ. Поэтому чаще всего в самих программах для шифрования отсутствует реализация криптографических алгоритмов. Вместо этого есть возможность подключения внешних криптопровайдеров, в том числе сертифицированных ФСБ.
Есть и еще один момент, о котором часто забывают. Если информационная система персональных данных подключена к сетям общего пользования (то есть к Интернету), то обязательно наличие сертифицированного межсетевого экрана. Причем здесь есть возможность сэкономить. Можно приобрести не отдельный сетевой экран, а прокси-сервер, в состав которого включен сертифицированный межсетевой экран. Примером такого решения может служить продукт UserGate Proxy&Firewall.
Не до конца ясным остается еще один вопрос. А именно: нуждается ли в обязательной сертификации программное обеспечение, не предназначенное для защиты информации? По логике они также должны быть проверены на отсутствие недокументированных возможностей, поскольку выполняемые в той же среде, что и программы, которые работают с персональными данными, они могут получить несанкционированный доступ к ним. Но будут ли это требовать при проверках, пока неизвестно.
На что нужно обращать внимание при выборе сертифицированного программного обеспечения? Самое главное, необходимо понимать, что сертификат сертификату рознь. Большая часть средств защиты, включая антивирусы, сертифицируется на соответствие ТУ и на отсутствие недокументированных возможностей. При этом необходимо учитывать класс информационных систем персональных данных и использовать только те программы, которые имеют соответствующий сертификат. То есть перед выбором и приобретением средств защиты обязательно нужно провести классификацию организуемой информационной системы персональных данных.
Несколько особняком стоят криптографические средства. Как уже говорилось, сами модули, осуществляющие процесс шифрования, сертифицируются ФСБ РФ. Также отдельный сертификат (в дополнение к сертификату на отсутствие недокументированных возможностей), только уже от ФСТЭК, должен быть у межсетевых экранов.
Алексей Кищенко (kas@usergate.ru) — специалист по PR и маркетингу, компания Entensys