Есть ли разница в наборе технических мер при защите информационных систем, обрабатывающих персональные данные, если в первом случае - персональные данные обрабатываются и хранятся на компьютере (используется desktop-приложение для работы с персональными данными), а во втором случае - персональные данные только обрабатываются на компьютере, но не хранятся (используется web-приложение для работы с персональными данными). Давайте разберемся с данным вопросом.
Самое распространенное мнение таково, что при использовании web-приложения для обработки персональных данных организация может прилично сэкономить на средствах защиты информации. Правда ли это?
Для защиты персональных данных в соответствии с приказом ФСТЭК № 21 необходимо обеспечить следующий состав мер:
1) Использование desktop-приложения.
Пользователь запускает desktop-приложение у себя на компьютере и работает в нем, при этом все вносимые данные сохраняются на компьютере (или на сервере) и затем передаются на сервер, а с сервера через интернет в пункт назначения. В этом случае для организации защиты персональных данных в организации необходимо будет использовать:
Пользователь запускает web-приложение у себя на компьютере и работает в нем, персональные данные на компьютере не хранятся, а сразу передаются через Интернет в пункт назначения. В данном случае, очень часто думают, что достаточно установить лишь антивирус на каждый компьютер. Рассмотрим необходимость применения набора средств защиты приведенных выше. Средство защиты от несанкционированного доступа обеспечит идентификацию, аутентификацию, контроль/регистрацию действий пользователя, и будет вести электронный журнал, чтобы можно было однозначно определить при необходимости пользователя работающего с web-приложением и его действия с фиксацией времени. Средство обнаружения вторжений обеспечит выявление фактов неавторизованного доступа в сеть, а межсетевой экран будет контролировать и фильтровать входящий и исходящий трафик, тем самым будет организована защита, например, от перехвата информации вводимой в режиме реального времени или от модификации передаваемой информации, т.е. несмотря на то, что данные не хранятся, а только обрабатываются, данные угрозы все равно актуальны. Сканер обнаружения уязвимостей будет искать "дыры" в системе защиты. Антивирус защитит от заражения вредоносными программами, которые в случае работы с web-приложением могут, например, нарушить целостность персональных данных. Средство криптографической защиты необходимо для передачи данных по защищенному каналу.
Я считаю, что решающим параметром здесь будет являться не "вид обработки" информации: сбор, систематизация, передача, хранение... А объем персональных данных, обрабатываемых в информационной системе организации. Если информация будет храниться на компьютерах, то объем может превысить 100 000 субъектов персональных данных (если, например, это информационная система региона), а если персональные данные будут обрабатываться с использованием web-приложения, то объем субъектов персональных данных вряд ли превысит 100 000. Таким образом, при использовании web-приложения, можно уменьшить количество субъектов персональных данных, данные которых, обрабатываются в информационной системе, тем самым уменьшить уровень защищенности персональных данных, устанавливаемый в соответствии с постановление правительства 1119. Вследствие чего понизятся и требования к набору мер по защите персональных данных, определяемых приказом № 21 ФСТЭК, и требования к средствам защиты, на чем и можно будет сэкономить (например, купив более бюджетное средство защиты с наименьшим классом защиты).
Самое распространенное мнение таково, что при использовании web-приложения для обработки персональных данных организация может прилично сэкономить на средствах защиты информации. Правда ли это?
Для защиты персональных данных в соответствии с приказом ФСТЭК № 21 необходимо обеспечить следующий состав мер:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
1) Использование desktop-приложения.
Пользователь запускает desktop-приложение у себя на компьютере и работает в нем, при этом все вносимые данные сохраняются на компьютере (или на сервере) и затем передаются на сервер, а с сервера через интернет в пункт назначения. В этом случае для организации защиты персональных данных в организации необходимо будет использовать:
- средство защиты автоматизированных рабочих мест от несанкционированного доступа - на АРМах и сервере;
- антивирус - на АРМах и сервере;
- средство обнаружения вторжений - можно персональные на каждый АРМ и сервер, а можно один сетевой;
- сканер обнаружения/контроля уязвимостей - один на всю локальную сеть
- межсетевой экран - один на сервер;
- средство криптографической защиты - для организации защищенного канала передачи данных, например VipNet Client на сервер.
Пользователь запускает web-приложение у себя на компьютере и работает в нем, персональные данные на компьютере не хранятся, а сразу передаются через Интернет в пункт назначения. В данном случае, очень часто думают, что достаточно установить лишь антивирус на каждый компьютер. Рассмотрим необходимость применения набора средств защиты приведенных выше. Средство защиты от несанкционированного доступа обеспечит идентификацию, аутентификацию, контроль/регистрацию действий пользователя, и будет вести электронный журнал, чтобы можно было однозначно определить при необходимости пользователя работающего с web-приложением и его действия с фиксацией времени. Средство обнаружения вторжений обеспечит выявление фактов неавторизованного доступа в сеть, а межсетевой экран будет контролировать и фильтровать входящий и исходящий трафик, тем самым будет организована защита, например, от перехвата информации вводимой в режиме реального времени или от модификации передаваемой информации, т.е. несмотря на то, что данные не хранятся, а только обрабатываются, данные угрозы все равно актуальны. Сканер обнаружения уязвимостей будет искать "дыры" в системе защиты. Антивирус защитит от заражения вредоносными программами, которые в случае работы с web-приложением могут, например, нарушить целостность персональных данных. Средство криптографической защиты необходимо для передачи данных по защищенному каналу.
Я считаю, что решающим параметром здесь будет являться не "вид обработки" информации: сбор, систематизация, передача, хранение... А объем персональных данных, обрабатываемых в информационной системе организации. Если информация будет храниться на компьютерах, то объем может превысить 100 000 субъектов персональных данных (если, например, это информационная система региона), а если персональные данные будут обрабатываться с использованием web-приложения, то объем субъектов персональных данных вряд ли превысит 100 000. Таким образом, при использовании web-приложения, можно уменьшить количество субъектов персональных данных, данные которых, обрабатываются в информационной системе, тем самым уменьшить уровень защищенности персональных данных, устанавливаемый в соответствии с постановление правительства 1119. Вследствие чего понизятся и требования к набору мер по защите персональных данных, определяемых приказом № 21 ФСТЭК, и требования к средствам защиты, на чем и можно будет сэкономить (например, купив более бюджетное средство защиты с наименьшим классом защиты).
Согласны ли вы с моим мнением, или вы считаете что разница в защите персональных данных при использовании desktop и web приложений в другом? Поделитесь своими знаниями и опытом.
ОтветитьУдалитьИз статьи непонятно:
ОтветитьУдалить1) число дополнительных средств защиты различно или одинаково для веб и для десктопа?
2) а почему "решающим параметром здесь будет являться не "вид обработки" информации"?? На чем основано мнение? Интересны факты, а не неподкрепленные догадки.
3) почему число субъектов персональных данных будет различно для веб и для десктопа, если речь идет об одной и том же Системе (на клиент-серверной архитектуре) но в разном исполнении клиентской части?
Добрый день, Елена!
ОтветитьУдалитьПредлагаю принять участие в нашем проекте, делясь своими новостями из Вашего блога и других ресурсов, которые вы читаете. Это позволит привлечь Вам дополнительную аудиторию, а сообществу узнать больше из мира информационной безопасности.
Проект news.informationsecurity.club - Новостной веб-агрегатор.
Ресурс с рейтинговой системой для распространения ссылок на актуальные, интересные и нужные статьи, ресурсы, сервисы в сети интернет среди сообщества в сфере информационных технологий и безопасности.
О проекте можно немного больше прочитать тут - http://www.informationsecurity.club/news/
С правилами можно ознакомиться тут - http://news.informationsecurity.club/rules.php
Готов ответить на Ваши вопросы