CC BY
117
ОРГАНИЗАЦИОННЫЕ И ОБЩЕТЕОРЕТИЧЕСКИЕ ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УДК 004.41/.42
ТЕХНОЛОГИЯ ОРГАНИЗАЦИИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ И МЕСТНОГО САМОУПРАВЛЕНИЯ
ORGANIZING THE PROCESSING AND ENSURING THE SECURITY OF PERSONAL DATA IN STATE INFORMATION SYSTEMS
© Мещеряков Владимир Алексеевич
Vladimir A. Meshcheryakov
доктор юридических наук, кандидат технических наук, профессор кафедры криминалистики, Воронежский государственный университет
Ph.D. (Law), Cand.Sc. (Engineering), professor of criminology at Voronezh State University
e-mail: netshuttle@mail.ru
© Железняк Владимир Петрович
Vladimir P. Zheleznyak
кандидат технических наук, ведущий советник отдела информационной безопасности и технической защиты информации департамента связи и массовых коммуникаций Воронежской области
Ph.D., Cand.Sc. (Engineering), senior advisor on information security and technical protection to the department of communication and mass communications of the Voronezh region
e-mail: vzheleznyak@govvrn.ru
© Бондарь Артём Олегович
Artyom O. Bondar
студент магистратуры экономического факультета, Воронежский государственный университет
postgraduate student of the economic faculty of Voronezh State University
e-mail: fox-web@bk.ru
Данная статья посвящена организации обработки и обеспечения безопасности персональны/х данных, содержащихся в государственных информационных системах. Авторами разработана и представлена технологическая схема всех этапов работ, необходимых для реализации требований законодательства в области обработки и обеспечения безопасности персональных данных.
Ключевые слова: информационные системы, информационная безопасность, персональные данные.
Формирование технологии решения задачи организации обработки и обеспечения безопасности персональных данных в органах государственной власти и местного самоуправления представляется достаточно сложным вопросом по целому ряду причин.
Во-первых, сфера обеспечения безопасности персональных данных и защиты конфиденциальной информации регулируется значительным количеством нормативных правовых актов разного уровня (от федеральных законов и постановлений правительства Российской Федерации до ведомственных приказов и национальных стандартов) и тремя основными регуляторами: Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, ФСБ России и ФСТЭК России. При этом терминология подходов к оценке уровней защищенности в ряде случаев созвучна по названиям, но в значительной мере различается по содержанию и приводит к известной путанице.
Во-вторых, бездумное выполнение требований всего массива нормативных актов в сфере обеспечения безопасности персональных данных приводит к необходимости разработки огромного количества документов (до нескольких десятков) [3], которые специалисты органов государственной власти и особенно органов местного самоуправления зачастую не могут подготовить самостоятельно. Существующие в настоящее время варианты подобных документов грешат размытостью содержания и многократным дублированием норм дей-
6
The paper focuses on organizing processing and ensuring security of personal data stored in state information systems. The authors develop and present an original flow chart of all operation stages that are required by law in the field of processing and securing personal data.
Keywords: information systems, information security, personal data.
ствующего законодательства. В связи с этим, как нам представляется, вполне уместен творческий подход к формированию необходимого пакета документов, обеспечивающий их предельную лаконичность и функциональную направленность, при безусловном выполнении всех требований действующего законодательства.
Последовательность решения задач организации обработки персональных данных и обеспечения их безопасности в автоматизированных информационных системах органов государственной власти и местного самоуправления представлена на рисунке.
Началъным этапом организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти и местного самоуправления является назначение должностных лиц, ответственных за организацию обработки персональных данных и за обеспечение их безопасности [l; 3; 6]. Эти сотрудники организуют всю дальнейшую работу и в большинстве случаев осуществляют контроль эффективности проводимых мероприятий. Одновременно с назначением указанных ответственных лиц разрабатываются и утверждаются их должностные инструкции.
Результатом работы на данном этапе является правовой акт (как правило, приказ или распоряжение) о назначении ответственных, а также их должностные инструкции, юридически оформленные в виде приложения к этому акту. Кроме этого готовятся необходимые из-
менения в должностные регламенты вновь назначенных ответственных сотрудников или изменения в положения о соответствующих подразделениях.
Следующим этапом организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти и местного самоуправления является определение правового основания, целей и сроков обработки персональных данных, в том числе сроков их хранения, категорий субъектов, персональные данные которых подлежат обработке, а также определение перечня функционирующих информационных систем персональных данных [3].
Исходными данными для выполнения работ являются действующие нормативные правовые акты, организующие работу органа государственной власти или местного самоуправления. Основным исполнителем данного этапа является лицо, ответственное за организацию обработки персональных данных.
Результат работы на рассматриваемом этапе - издание приказа об утверждении перечней обрабатываемых персональных данных и используемых информационных систем персональных данных.
Третьим этапом технологии организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти и местного самоуправления является определение уровня защищенности персональных данных, типа и класса защищенности информационных систем персональных данных [4; 6].
Исходные данные для выполнения работ получаются по итогам выполнения второго этапа технологической схемы. Реализация всех мероприятий осуществляется совместно сотрудниками, ответственными за организацию обработки и обеспечение безопасности персональных данных. Рекомендация о привлечении именно двух исполнителей для выполнения данной работы далеко не случайна. В рамках рассматриваемых мероприятий ответственный за обеспечение безопасности персональных данных совершенно обоснованно постарается максимально завысить требования и установит наиболее жесткие условия для использования информационной системы персональных данных, поскольку именно в таких условиях возможно обеспечить требуемый уровень безопасности. Естественно, что это повлечет за собой необходимость выделения ощутимых финансовых, организационных и технических средств. В то же время, как было отмечено ранее, ответственный за организа-
цию обработки персональных данных обычно является руководителем (как минимум среднего звена), в сфере ответственности которого кроме персональных данных достаточно много иных направлений. В связи с этим он может взвесить важность и актуальность каждого из направлений деятельности органа государственной власти или местного самоуправления и реально определить объем сил и средств, которые следует выделить в данный момент времени для решения задач обеспечения безопасности персональных данных.
Результатом работы на данном этапе будет акт классификации информационной системы персональных данных, утвержденный руководителем органа государственной власти или местного самоуправления [6]. В случае наличия в органе государственной власти и местного самоуправления нескольких информационных систем персональных данных для каждой из них разрабатывается свой акт классификации.
Четвертый этап работы - определение должностей служащих, замещение которых предусматривает осуществление обработки персональных данных либо доступ к ним [3].
Исходные данные для выполнения работ получаются по итогам выполнения второго этапа технологической схемы. Основным исполнителем данного этапа является лицо, ответственное за организацию обработки персональных данных.
Из сформированного перечня должностей определяется список конкретных лиц, допущенных к обработке персональных данных в информационных системах, и назначается ответственный за проведение мероприятий по обезличиванию персональных данных [3; 4]. Учитывая, что численность сотрудников органов государственной власти или местного самоуправления всегда ограничена, вполне логично было бы возложить функции по обезличиванию на ответственного за организацию обработки персональных данных. Вместе с проведением названных мероприятий разрабатывается типовое обязательство сотрудника, допущенного к обработке персональных данных, прекратить обработку данных в случаях, предусмотренных действующим законодательством.
Результатом работы на данном этапе будет приказ руководителя органа государственной власти или местного самоуправления, утверждающий соответствующий перечень должностей, конкретных лиц, допущенных к обработке персональных данных, а также типовое обязательство прекратить обработку персональных данных.
Технология организации обработки и обеспечения безопасности персональных данных в органах государственной власти и местного самоуправления
Пятым этапом организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти и местного самоуправления является разработка политики безопасности персональных данных, включающей формирование правил их обработки, рассмотрения запросов субъектов персональных данных или их представителей, осуществление внутреннего контроля соответствия обработки персональных данных требованиям по их защите, порядка доступа в помещения, в которых ведется обработка персональных данных, типовых форм согласия на обработку персональных данных и разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональных данные [3].
Кроме этого, на рассматриваемом этапе разрабатывается политика учета и хранения машинных носителей персональных данных [1; 4]. Основным исполнителем данного этапа является лицо, ответственное за организацию обработки персональных данных.
Результатом работы этапа будет приказ руководителя органа государственной власти или местного самоуправления, утверждающий правила обработки персональных данных и регламент учета, хранения и уничтожения машинных носителей персональных данных. Отдельно следует отметить, что в соответствии с требованиями действующего законодательства документы, разработанные на данном этапе и определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения [3].
Шестым этапом организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти или местного самоуправления будет определение угроз и нарушителей безопасности персональных данных при их обработке в информационных системах [1; 6].
Информационной основой для решения этих задач будут являться полученные на третьем этапе оценки уровня исходной защищенности персональных данных и класса защищенности информационной системы.
Результатом работы на этом этапе станет сформированная модель угроз безопасности персональных данных при их обработке в информационных системах. Данная модель утверждается руководителем органа государственной власти или местного самоуправления. Основным исполнителем названных ра-
бот служит лицо, назначенное ответственным за обеспечение безопасности персональных данных. В случае необходимости, а также при наличии организационных и финансовых возможностей для решения данной задачи могут привлекаться иные сотрудники органа государственной власти или местного самоуправления (в первую очередь системный администратор и сотрудники, осуществляющие техническое обслуживание информационных систем персональных данных), а также внешние фирмы - лицензиаты ФСБ России и ФСТЭК России.
Наиболее сложным и неоднозначным по порядку решения задач является седьмой этап технологии - формирование облика и внедрение системы защиты персональных данных [1; 6].
В зависимости от сложности эксплуатирующихся в органах государственной власти и местного самоуправления информационных систем этот этап может быть как исключительно сложным, так и предельно простым.
В первом случае на основе сформированной и утвержденной на шестом этапе модели угроз безопасности персональных данных, в соответствии с действующими стандартами на создание технических систем готовится техническое задание на разработку системы защиты персональных данных. Затем выполняется комплекс работ, связанный с созданием системы защиты информации в соответствии с названным выше техническим заданием, в результате которого определяется облик системы, комплектуются необходимые средства защиты, а также осуществляется их внедрение и настройка в информационной системе персональных данных.
Во втором случае формирование облика системы защиты персональных данных сводится фактически к выбору из имеющихся на рынке готовых средств защиты информации, приобретению и установке в информационную систему персональных данных.
Восьмым этапом организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти или местного самоуправления является проверка эффективности принимаемых мер по защите персональных данных [1; 6].
Содержанием данной деятельности является анализ особенностей обработки и защиты информации в реальной информационной системе, проведение внутренних тестовых испытаний применяемых средств защиты информации на соответствие установленным требованиям по безопасности персональных дан-
ных. Выполнение этой работы требует наличие специальной квалификации и зачастую соответствующего оборудования. Согласно требованиям действующего законодательства эта деятельность осуществляется организациями-лицензиатами ФСБ России и ФСТЭК России [2].
Результатом проведения аттестационных испытаний является выданный «Аттестат соответствия», подтверждающий, что информационная система персональных данных соответствует установленным требования по обеспечению безопасности персональных данных.
Предпоследним этапом рассматриваемой технологии является ввод в эксплуатацию информационной системы персональных данных, что юридически оформляется соответствующим приказом руководителя органа государственной власти или местного самоуправления. Основным исполнителем работ данного этапа является ответственный за организацию обработки персональных данных [6].
Завершающим этапом организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти и местного самоуправления является уведомление территориального органа федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций о мерах по
обеспечению безопасности [1]. Такое позиционирование названного этапа обусловлено тем, что в соответствии с установленными требованиями по содержанию уведомления оно должно содержать описание предпринимаемых мер по обеспечению безопасности персональных данных и используемых средствах защиты информации [5].
Значительная часть работы по обеспечению безопасности персональных данных в информационных системах органов государственной власти и местного самоуправления проводится в ходе эксплуатации, созданной в результате выполнения всех перечисленных ранее этапов информационной системы с системой защиты информации.
В период эксплуатации в постоянном режиме осуществляется выявление инцидентов информационной безопасности и принимаются адекватные меры реагирования. Проводится мониторинг уровня защищенности персональных данных, обрабатываемых в информационной системе, и в необходимых случаях осуществляется администрирование конфигурации аттестованной информационной системы и ее системы защиты информации [6].
Основным исполнителем работ данного этапа является ответственный за обеспечение безопасности персональных данных.
Материалы поступили в редакцию 10.02.2014 г.
Библиографический список (References)
1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» // Собрание законодательства Российской Федерации. 31.07.2006. № 31 (1 ч.). Ст. 3451.
2. Федеральный закон от 04 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» // Собрание законодательства Российской Федерации.
09.05.2011. № 19. Ст. 2716.
3. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» // Собрание законодательства Российской Федерации.
02.04.2012. № 14. Ст. 1626.
4. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Собрание законодательства Российской Федерации. 05.11.2012. № 45. Ст. 6257.
5. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 21 декабря 2011 г. № 346 «Об утверждении Административного регламента Федеральной службой по надзору в сфе-
1. Federal Law of July 27, 2006 № 152. Federal law «On personal data» // Collected Legislation of the Russian Federation. 31.07.2006. № 31 (1part). Article 3451.
2. Federal Law of May 04, 2011 № 99. Federal law «On licensing certain types of activities» // Collected Legislation of the Russian Federation. 09.05.2011. № 19. Article 2716.
3. Decree of the Russian Federation of March 21, 2012 № 211 «On approval of the list of measures aimed at ensuring compliance with obligations under the federal law «On Personal Data» and accordingly adopted regulatory and legal acts, and operators by state or municipal bodies» // Collected Legislation of the Russian Federation. 02.04.2012. № 14. Article 1626 .
4. Decree of the Russian Federation of November 1, 2012 № 1119 «On approval of requirements for the protection of personal data during processing in the public information systems» // Collected Legislation of the Russian Federation. 05.11.2012. № 45. Article 6257.
5. Order of the Ministry of Communications and Mass Communications of the Russian Federation of December 21, 2011 № 346 «On approval of the Administrative regulations of the federal service for supervi-
ре связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» // Бюллетень нормативных актов федеральных органов исполнительной власти. 11.06.2012. № 24.
6. Приказ Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» // Российская газета. 2013. № 136. 26 июня.
sion of communication, information technologies and mass communications regarding the provision of public service «Maintaining a register of operators involved in the processing of personal data « // Bulletin of the normative acts of federal executive bodies. 11.06.2012. № 24.
6. Order of the Federal service for technical and export control of the Russian Federation of February 11. 2013 № 17 «On approval of the requirements for the protection of information that does not constitute state secret and is contained in state information systems» // Rossiyskaya Gazeta. 26.06.2013. № 136.
УДК 004.41/.42
ИССЛЕДОВАНИЕ ПРОБЛЕМ БЕЗОПАСНОСТИ ПРОТОКОЛА WPS1
THE CHALLENGES OF USING WPS SECURITY PROTOCOL
© Губенков Артём Александрович
Artyom A. Gubenkov
кандидат физико-математических наук, доцент кафедры «Информационная безопасность автоматизированных систем», Саратовский государственный технический университет им. Гагарина Ю.А., сотрудник учебно-научного центра по проблемам информационной безопасности Саратовского региона
Cand.Sc. (Physical and mathematical sciences), associate professor of the department of «Information security of automated systems» at Gagarin State Technical University of Saratov, employee of the training and research center for information security issues in the Saratov region
e-mail: agubenkov@mail.ru
В статье рассматривается уязвимость в протоколе WPS, которая позволяет реализовать брутфорс-атаку на беспроводную сеть. Исследованы возможности сокращения количества вариантов PIN-кодов для перебора.
Ключевые слова: беспроводные сети, точка доступа, уязвимость.
Современные технологии беспроводной передачи данных широко используются для построения компьютерных сетей как в производственной деятельности крупных компаний, так и для домашнего использования. Беспроводная WiFi-сеть строится на основе базовых станций - точек доступа. Радиус зоны покрытия современной точки доступа составляет
The paper discusses the vulnerability of the WPS protocol which leaves a possibility for a brute--force attack on the wireless network. The author considers ways to reduce the number of options for PIN-code for exhaustive key search.
Keywords: wireless network, access point, vulnerability.
около 100 м. При этом одна точка может поддерживать одновременно несколько десятков активных пользователей и обеспечивает скорость передачи информации до 400 Мбит/с.
Безопасности беспроводных сетей уделяется большое внимание [1-3]. Изначально в спецификации беспроводных сетей IEEE 802.11 был определен протокол безопасности
1 Информация предоставлена исключительно в образовательных целях. Автор и редакция не несут никакой ответственности за использование материалов данной статьи в противозаконных целях.
