Все разрабатываемые, производимые и поставляемые в России межсетевые экраны с 1 декабря 2016 года должны соответствовать требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК).
С той же даты их сертификация и инспекционный контроль серийного производства будут осуществляться только на соответствие этим требованиям. С с 1 июля 2016 года ФСТЭК прекратит прием заявок на сертификацию соответствия иным требованиям.
Почему для защиты персональных данных нужно использовать только сертифицированное программное обеспечение?
Что такое межсетевой экран? Зачем он нужен? Почему важна сертификация ФСТЭК? На чем остановить выбор? Давайте разберемся.
ЧТО И ЗАЧЕМ
Межсетевой экран (брандмауэр, файервол) – комплекс программных и/или аппаратных средств, обеспечивающих информационную безопасность локальной сети и отдельных ее узлов. Это один из наиболее эффективных защитников от несанкционированного доступа, вирусных и DoS/DDoS атак, взлома и похищения информации, а также средство обеспечения безопасного доступа пользователей в Интернет.
Врез
«Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
(Ст. 19 федерального закона от 27.07.2006 г. №152-ФЗ
«О персональных данных»)
По данным ФСТЭК, сегодня межсетевые экраны являются самыми распространенными сертифицированными средствами защиты информации в России. Выделяются пять их типов (приказ ФСТЭК №9 от 09.02. 2016 г.), которые применяются:
– тип «А» – на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Может иметь только программно-техническое исполнение;
– тип «Б» – на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Может иметь программное или программно-техническое исполнение;
– тип «В» – на узле (хосте) информационной системы. Может иметь только программное исполнение и устанавливается на мобильных или стационарных технических средствах конкретного узла информационной системы;
– тип «Г» – на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;
– тип «Д» – в автоматизированной системе управления технологическими или производственными процессами. Может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, IndustrialEthernet и/или иные протоколы).
По требованиям к безопасности межсетевые экраны также разделены на шесть классов защиты: 1-й, 2-й и 3-й – для информации, содержащей государственную тайну; 4-й, 5-й, 6-й – для обычных информационных сетей.
ПОЧЕМУ ФСТЭК
В 2015 году вступил в силу закон «О персональных данных» (№152-ФЗ от 27.07.2006 г.). По нему операторами персональных данных, несущими ответственность за его соблюдение, признаются государственные и муниципальные органы, юридические и физические лица, которые организуют и/или осуществляют обработку персональных данных, а также определяют цели и содержание их обработки. Насколько широк круг тех, кто попадает под действие закона, можно судить по такому факту: подавляющее большинство организаций самостоятельно обрабатывают персональные данные своих сотрудников (плюс – поставщики, клиенты, партнеры). При этом под персональными данными подразумеваются не только фамилия, имя, отчество, дата и место рождения, но и любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. То есть все данные российских граждан, которые те используют, например, при регистрации в интернет-ресурсах, при онлайн-покупках.
Андрей Забегаев,
генеральный директор Центра правовой поддержки «ПАРИТЕТЪ»:
– По федеральному закону «Об информации, информационных технологиях и о защите информации» (от 27.07.2006 г. №149-ФЗ), обладатели информации, операторы информационных систем обязаны обеспечить:
– предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
– своевременное обнаружение фактов несанкционированного доступа к информации;
– предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
– недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
– возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
– постоянный контроль за обеспечением уровня защищенности информации;
– нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
Нарушители закона «О персональных данных» несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность. Моральный вред, причиненный гражданину из-за нарушения его прав или нарушения правил обработки его персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством РФ. При этом возмещение морального вреда производится независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Кроме того, федеральный закон «О техническом регулировании» (от 27.12.2002 г. N 184-ФЗ) предписывает оператору любой сети, где обрабатываются персональные данные, применять только сертифицированные средства защиты, отвечающие требованиям государственного органа по сертификации (то есть ФСТЭК). Что должно гарантировать отсутствие уязвимостей в защите из-за некомпетентности/недобросовестности разработчика.
ЧТО ВЫБРАТЬ
Помимо соответствия требованиям органов сертифицикации и государственной политике импортозамещения, при выборе межсетевого экрана аргументами в пользу конкретного продукта могут быть: многофункциональность (хорошо, если это будет программа-комбайн, совмещающая в себе функционал, который другими производителями обычно продается в виде отдельных продуктов); знакомая большинству пользователей Windows-среда; русскоязычная, адекватная и оперативная техподдержка; привлекательная цена. Если коротко: организации стоит выбрать отечественный, сертифицированный ФСТЭК, многофункциональный продукт за разумные деньги.
Эдуард Гюльванесян,
замначальника отдела информационных технологий УФНС России по Кабардино-Балкарской республике:
– В УФНС России по Кабардино-Балкарской республике более 100 рабочих мест. Для эффективного функцианирования службы нам нужно было оптимизировать расход трафика и сделать работу сотрудников в сети безопасной. Проанализировав рынок, мы выбрали для решения этих задач версию Traffic Inspector, сертифицированную ФСТЭК. Это отечественная разработка, которая является комплексным сертифицированным сетевым решением при организации и контроле доступа в Интернет. Она имеет полный набор нужного нашей службе функционала, идеально подходит под наши требования. Нам стало доступно подключение максимального количества рабочих мест к сети, прекратились бесконтрольные утечки трафика, подключение распределилось максимально эффективно. Специалисты службы увидели гибкую, легко контролируемую систему интернет-доступа. Удобный интерфейс помогает молодым администраторам легко справляться с управлением системой. Доступная система отчетов позволяет анализировать весь расход трафика. Полный функционал продукта направлен на эффективную работу системного администратора и, следовательно, службы в целом. Cейчас наши специалисты расширяют применение продукта и работают над тем, чтобы наиболее эффективно встроить его в узкие рамки корпоративных стандартов.
Схожие доводы приводят и те, кто тоже уже пользуется этим продуктом. Кроме того, потребители отмечают: высокое качество защиты; стабильную работу; возможность покупать отдельные модули, контролировать активность сотрудников в сети и ограничивать посещение непрофильных ресурсов – социальных сетей, новостных пабликов, торрент-трекеров и других – и при необходимости лимитировать время нахождения и скорость работы пользователей в сети.
В ИТОГЕ
Государство дает всем, кто имеет дело с хранением и обработкой персональных данных, четкий и жесткий посыл: используйте в своей работе отечественное программное обеспечение, которое сертифицировал ФСТЭК, и не будете иметь хлопот – как с точки зрения информационной безопасности, так и в плане общения с контролирующими органами. Требование не выглядит избыточным, ведь на рынке уже есть качественный российский софт, предоставляющий потребителям три важных возможности: не попасть под топор закона, сэкономить деньги, надежно защитить сеть.
Ваш комментарий станет первым!