вторник, 10 марта 2015 г.

Desktop и web приложения - разница в защите персональных данных.

Есть ли разница в наборе технических мер при защите информационных систем, обрабатывающих персональные данные, если в первом случае - персональные данные обрабатываются и хранятся на компьютере (используется desktop-приложение для работы с персональными данными), а во втором случае - персональные данные только обрабатываются на компьютере, но не хранятся (используется web-приложение для работы с персональными данными). Давайте разберемся с данным вопросом.
Самое распространенное мнение таково, что при использовании web-приложения для обработки персональных данных организация может прилично сэкономить на средствах защиты информации. Правда ли это?
Для защиты персональных данных в соответствии с приказом ФСТЭК № 21 необходимо обеспечить следующий состав мер:
  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности персональных данных;
  • обеспечение целостности информационной системы и персональных данных;
  • обеспечение доступности персональных данных;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
  • управление конфигурацией информационной системы и системы защиты персональных данных.
Рассмотрим информационную систему без средств виртуализации.
1) Использование desktop-приложения.
Пользователь запускает desktop-приложение у себя на компьютере и работает в нем, при этом все вносимые данные сохраняются на компьютере (или на сервере) и затем передаются на сервер, а с сервера через интернет в пункт назначения. В этом случае для организации защиты персональных данных в организации необходимо будет использовать:
  • средство защиты автоматизированных рабочих мест от несанкционированного доступа - на АРМах и сервере;
  • антивирус - на АРМах и сервере;
  • средство обнаружения вторжений - можно персональные на каждый АРМ и сервер, а можно один сетевой;
  • сканер обнаружения/контроля уязвимостей - один на всю локальную сеть
  • межсетевой экран - один на сервер;
  • средство криптографической защиты - для организации защищенного канала передачи данных, например VipNet Client на сервер.
2) Использование web-приложения
Пользователь запускает web-приложение у себя на компьютере и работает в нем, персональные данные на компьютере не хранятся, а сразу передаются через Интернет в пункт назначения. В данном случае, очень часто думают, что достаточно установить лишь антивирус на каждый компьютер. Рассмотрим необходимость применения набора средств защиты приведенных выше. Средство защиты от несанкционированного доступа обеспечит идентификацию, аутентификацию, контроль/регистрацию действий пользователя, и будет вести электронный журнал, чтобы можно было однозначно определить при необходимости пользователя работающего с web-приложением и его действия с фиксацией времени. Средство обнаружения вторжений обеспечит выявление фактов неавторизованного доступа в сеть, а межсетевой экран будет контролировать и фильтровать входящий и исходящий трафик, тем самым будет организована защита, например, от перехвата информации вводимой в режиме реального времени или от модификации передаваемой информации, т.е. несмотря на то, что данные не хранятся, а только обрабатываются, данные угрозы все равно актуальны. Сканер обнаружения уязвимостей будет искать "дыры" в системе защиты. Антивирус защитит от заражения вредоносными программами, которые в случае работы с web-приложением могут, например, нарушить целостность персональных данных. Средство криптографической защиты необходимо для передачи данных по защищенному каналу.
Я считаю, что решающим параметром здесь будет являться не "вид обработки" информации: сбор, систематизация, передача, хранение... А объем персональных данных, обрабатываемых в информационной системе организации. Если информация будет храниться на компьютерах, то объем может превысить 100 000 субъектов персональных данных (если, например, это информационная система региона), а если персональные данные будут обрабатываться с использованием web-приложения, то объем субъектов персональных данных вряд ли превысит 100 000. Таким образом, при использовании web-приложения, можно уменьшить количество субъектов персональных данных, данные которых, обрабатываются в информационной системе, тем самым уменьшить уровень защищенности персональных данных, устанавливаемый в соответствии с постановление правительства 1119. Вследствие чего понизятся и требования к набору мер по защите персональных данных, определяемых приказом № 21 ФСТЭК, и требования к средствам защиты, на чем и можно будет сэкономить (например, купив более бюджетное средство защиты с наименьшим классом защиты).

3 комментария:

  1. Согласны ли вы с моим мнением, или вы считаете что разница в защите персональных данных при использовании desktop и web приложений в другом? Поделитесь своими знаниями и опытом.

    ОтветитьУдалить
  2. Из статьи непонятно:
    1) число дополнительных средств защиты различно или одинаково для веб и для десктопа?
    2) а почему "решающим параметром здесь будет являться не "вид обработки" информации"?? На чем основано мнение? Интересны факты, а не неподкрепленные догадки.
    3) почему число субъектов персональных данных будет различно для веб и для десктопа, если речь идет об одной и том же Системе (на клиент-серверной архитектуре) но в разном исполнении клиентской части?

    ОтветитьУдалить
  3. Добрый день, Елена!

    Предлагаю принять участие в нашем проекте, делясь своими новостями из Вашего блога и других ресурсов, которые вы читаете. Это позволит привлечь Вам дополнительную аудиторию, а сообществу узнать больше из мира информационной безопасности.

    Проект news.informationsecurity.club - Новостной веб-агрегатор.
    Ресурс с рейтинговой системой для распространения ссылок на актуальные, интересные и нужные статьи, ресурсы, сервисы в сети интернет среди сообщества в сфере информационных технологий и безопасности.

    О проекте можно немного больше прочитать тут - http://www.informationsecurity.club/news/
    С правилами можно ознакомиться тут - http://news.informationsecurity.club/rules.php

    Готов ответить на Ваши вопросы

    ОтветитьУдалить