Обзор подготовила Юлия Добровольская
ФСБ России о защите персональных данных
ФСБ России подготовлен и опубликован проект приказа «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Данный документ определяет состав организационных и технических мер для каждого уровня защищенности ПДн, давая разъяснения положениям Постановления Правительства №1119.
В части организационных мер в приказе детализируются меры по организации режима обеспечения безопасности помещений, в которых размещена информационная система, обеспечению сохранности носителей персональных данных и ограничению доступа к содержанию электронного журнала сообщений. Так, все помещения, в которых ведется обработка ПДн 4 уровня защищенности, должны по окончании рабочего дня закрываться и опечатываться. При необходимости обеспечения 1-го уровня защищенности в помещениях, расположенных на первых и последних этажах зданий, а также в помещениях, в которых размещены серверы информационной системы, требуется также установка металлических решеток, ставней, охранной сигнализации или других средств, препятствующих неконтролируемому проникновению посторонних лиц.
Все носители персональных данных должна учитываться поэкземплярно, причем данное требование относится не только к машинным, но и к бумажным носителям информации.
Технические меры предусматривают применение для каждого из уровней защищенности СКЗИ соответствующего класса. Таким образом, в соответствии с проектом приказа средства криптографической защиты, используемые для защиты персональных данных, могут быть только сертифицированными.
Класс используемого СКЗИ должен определяться исходя из возможностей потенциального нарушителя и типа актуальных угроз ПДн.
В целом, рассматриваемый проект приказа получил негативную оценку со стороны ИБ-сообщества, что в первую очередь связано с завышенными требованиями к операторам ПДн, выполнение которых в некоторых случаях становится практически невозможным.
Новинки NIST
NIST опубликовал ряд новых интересных документов, среди которых:
— руководство по криминалистическим исследованиям мобильных устройств — DRAFT Guidelines on Mobile Device Forensics, в котором рассматриваются методы извлечения данных из мобильных устройства при проведении криминалистических исследований;
— руководство по развертыванию защищенной системы доменных имен — Secure Domain Name System (DNS) Deployment Guide, определяющее ключевые понятия DNS и содержащее меры защиты, в том числе рекомендации по созданию безопасной конфигурации для окружения DNS-хостинга;
— руководство по электронной аутентификации — Electronic Authentication Guideline, определяющее технические требования к организации электронной аутентификации;
— руководство по выбору реализации, настройке и использованию TLS — протокола — DRAFT Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS), содержащее описание TLS и определяющее рекомендации по его конфигурации.