Есть ли разница в наборе технических мер при защите информационных систем, обрабатывающих персональные данные, если в первом случае - персональные данные обрабатываются и хранятся на компьютере (используется desktop-приложение для работы с персональными данными), а во втором случае - персональные данные только обрабатываются на компьютере, но не хранятся (используется web-приложение для работы с персональными данными). Давайте разберемся с данным вопросом.
Самое распространенное мнение таково, что при использовании web-приложения для обработки персональных данных организация может прилично сэкономить на средствах защиты информации. Правда ли это?
Для защиты персональных данных в соответствии с приказом ФСТЭК № 21 необходимо обеспечить следующий состав мер:
1) Использование desktop-приложения.
Пользователь запускает desktop-приложение у себя на компьютере и работает в нем, при этом все вносимые данные сохраняются на компьютере (или на сервере) и затем передаются на сервер, а с сервера через интернет в пункт назначения. В этом случае для организации защиты персональных данных в организации необходимо будет использовать:
Пользователь запускает web-приложение у себя на компьютере и работает в нем, персональные данные на компьютере не хранятся, а сразу передаются через Интернет в пункт назначения. В данном случае, очень часто думают, что достаточно установить лишь антивирус на каждый компьютер. Рассмотрим необходимость применения набора средств защиты приведенных выше. Средство защиты от несанкционированного доступа обеспечит идентификацию, аутентификацию, контроль/регистрацию действий пользователя, и будет вести электронный журнал, чтобы можно было однозначно определить при необходимости пользователя работающего с web-приложением и его действия с фиксацией времени. Средство обнаружения вторжений обеспечит выявление фактов неавторизованного доступа в сеть, а межсетевой экран будет контролировать и фильтровать входящий и исходящий трафик, тем самым будет организована защита, например, от перехвата информации вводимой в режиме реального времени или от модификации передаваемой информации, т.е. несмотря на то, что данные не хранятся, а только обрабатываются, данные угрозы все равно актуальны. Сканер обнаружения уязвимостей будет искать "дыры" в системе защиты. Антивирус защитит от заражения вредоносными программами, которые в случае работы с web-приложением могут, например, нарушить целостность персональных данных. Средство криптографической защиты необходимо для передачи данных по защищенному каналу.
Я считаю, что решающим параметром здесь будет являться не "вид обработки" информации: сбор, систематизация, передача, хранение... А объем персональных данных, обрабатываемых в информационной системе организации. Если информация будет храниться на компьютерах, то объем может превысить 100 000 субъектов персональных данных (если, например, это информационная система региона), а если персональные данные будут обрабатываться с использованием web-приложения, то объем субъектов персональных данных вряд ли превысит 100 000. Таким образом, при использовании web-приложения, можно уменьшить количество субъектов персональных данных, данные которых, обрабатываются в информационной системе, тем самым уменьшить уровень защищенности персональных данных, устанавливаемый в соответствии с постановление правительства 1119. Вследствие чего понизятся и требования к набору мер по защите персональных данных, определяемых приказом № 21 ФСТЭК, и требования к средствам защиты, на чем и можно будет сэкономить (например, купив более бюджетное средство защиты с наименьшим классом защиты).
Самое распространенное мнение таково, что при использовании web-приложения для обработки персональных данных организация может прилично сэкономить на средствах защиты информации. Правда ли это?
Для защиты персональных данных в соответствии с приказом ФСТЭК № 21 необходимо обеспечить следующий состав мер:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
1) Использование desktop-приложения.
Пользователь запускает desktop-приложение у себя на компьютере и работает в нем, при этом все вносимые данные сохраняются на компьютере (или на сервере) и затем передаются на сервер, а с сервера через интернет в пункт назначения. В этом случае для организации защиты персональных данных в организации необходимо будет использовать:
- средство защиты автоматизированных рабочих мест от несанкционированного доступа - на АРМах и сервере;
- антивирус - на АРМах и сервере;
- средство обнаружения вторжений - можно персональные на каждый АРМ и сервер, а можно один сетевой;
- сканер обнаружения/контроля уязвимостей - один на всю локальную сеть
- межсетевой экран - один на сервер;
- средство криптографической защиты - для организации защищенного канала передачи данных, например VipNet Client на сервер.
Пользователь запускает web-приложение у себя на компьютере и работает в нем, персональные данные на компьютере не хранятся, а сразу передаются через Интернет в пункт назначения. В данном случае, очень часто думают, что достаточно установить лишь антивирус на каждый компьютер. Рассмотрим необходимость применения набора средств защиты приведенных выше. Средство защиты от несанкционированного доступа обеспечит идентификацию, аутентификацию, контроль/регистрацию действий пользователя, и будет вести электронный журнал, чтобы можно было однозначно определить при необходимости пользователя работающего с web-приложением и его действия с фиксацией времени. Средство обнаружения вторжений обеспечит выявление фактов неавторизованного доступа в сеть, а межсетевой экран будет контролировать и фильтровать входящий и исходящий трафик, тем самым будет организована защита, например, от перехвата информации вводимой в режиме реального времени или от модификации передаваемой информации, т.е. несмотря на то, что данные не хранятся, а только обрабатываются, данные угрозы все равно актуальны. Сканер обнаружения уязвимостей будет искать "дыры" в системе защиты. Антивирус защитит от заражения вредоносными программами, которые в случае работы с web-приложением могут, например, нарушить целостность персональных данных. Средство криптографической защиты необходимо для передачи данных по защищенному каналу.
Я считаю, что решающим параметром здесь будет являться не "вид обработки" информации: сбор, систематизация, передача, хранение... А объем персональных данных, обрабатываемых в информационной системе организации. Если информация будет храниться на компьютерах, то объем может превысить 100 000 субъектов персональных данных (если, например, это информационная система региона), а если персональные данные будут обрабатываться с использованием web-приложения, то объем субъектов персональных данных вряд ли превысит 100 000. Таким образом, при использовании web-приложения, можно уменьшить количество субъектов персональных данных, данные которых, обрабатываются в информационной системе, тем самым уменьшить уровень защищенности персональных данных, устанавливаемый в соответствии с постановление правительства 1119. Вследствие чего понизятся и требования к набору мер по защите персональных данных, определяемых приказом № 21 ФСТЭК, и требования к средствам защиты, на чем и можно будет сэкономить (например, купив более бюджетное средство защиты с наименьшим классом защиты).