Ульяновск.BSD (ULBSD) - операционная система для персонального компьютера. Можно ли использовать Ульяновск.BSD при работе с персональными данными? -

Общая информация | Частным клиентам | Корпоративным клиентам | Справочные материалы | Обратная связь

Справочные материалы ←

Можно ли использовать Ульяновск.BSD при работе с персональными данными?

Подтверждена совместимость ОС Ульяновск.BSD с СЗИ НСД «Аккорд-АМДЗ» и СЗИ НСД «ИНАФ»

У многих при словосочетании «персональные данные» сразу возникает ассоциация с сертифкатами ФСТЭК, ФСБ, Минобороны. И некоторые, так называемые, «специалисты в области защиты информации» могут сказать, что если операционная система не имеет сертификата ФСТЭК (ФСБ, Минобороны), то её нельзя использовать при работе с персональными данными. Такое утверждение неверно. Давайте разберёмся в этом вопросе.

Для начала прочитайте статью «Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?».

Вывод такой. При работе с персональными данными необходимо руководствоваться Постановлением Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 года и Приказом ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 года. Основываясь на этих документах становится понятно, что необходимо классифицировать свои информационные системы персональных данных (ИСПДн), построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

Перейдём от теории к практике. Кратко Постановление Правительства РФ №1119 можно представить следующим образом.

В соответствии с Постановлением Правительства РФ №1119 для ИСПДн установлено 4 уровня защищенности.

Для определения уровня защищенности (УЗ) необходимо определить тип информационной системы и актуальные угрозы.

По типам информационные системы делятся на:

Обрабатывающие специальные категории персональных данных;
Обрабатывающие биометрические персональные данные;
Обрабатывающие общедоступные персональные данные;
Обрабатывающие иные категории персональных данных;
Обрабатывающие персональные данные сотрудников оператора.

Актуальные угрозы делятся на следующие типы:

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (НДВ в СПО), используемом в информационной системе;
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (НДВ в ППО), используемом в информационной системе;
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Итоговое определение уровня защищенности информационной системы персональных данных производится на основании следующей таблицы:

Тип ИСПДн	Категории субъектов персональных данных	Количество субъектов персональных данных	Тип актуальных угроз
Тип ИСПДн	Категории субъектов персональных данных	Количество субъектов персональных данных	1-й тип (НДВ в СПО)	2-й тип (НДВ в ППО)	3-й тип (нет НДВ)
ИСПДн-С (специальные)	Не сотрудники	Более 100 000	УЗ 1	УЗ 1	УЗ 2
	Не сотрудники	Менее 100 000	УЗ 1	УЗ 2	УЗ 3
	Сотрудники	Любое	УЗ 1	УЗ 2	УЗ 3
ИСПДн-Б (биометрические)	Любые	Любое	УЗ 1	УЗ 2	УЗ 3
ИСПДн-И (иные)	Не сотрудники	Более 100 000	УЗ 1	УЗ 2	УЗ 3
	Не сотрудники	Менее 100 000	УЗ 1	УЗ 3	УЗ 4
	Сотрудники	Любое	УЗ 1	УЗ 3	УЗ 4
ИСПДн-О (общедоступные)	Не сотрудники	Более 100 000	УЗ 2	УЗ 2	УЗ 4
	Не сотрудники	Менее 100 000	УЗ 2	УЗ 3	УЗ 4
	Сотрудники	Любое	УЗ 2	УЗ 3	УЗ 4

Требования по защищенности для 4-го уровня:

организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
обеспечение сохранности носителей персональных данных;
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Требования по защищенности для 3-го уровня включают в себя все требования по защищенности для 4-го уровня и дополнительно:

назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

Требования по защищенности для 2-го уровня включают в себя все требования по защищенности для 3-го уровня и дополнительно:

доступ к содержанию электронного журнала сообщений должен быть возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Требования по защищенности для 1-го уровня включают в себя все требования по защищенности для 2-го уровня и дополнительно:

автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Есть один важный момент, на который стоит обратить внимание. В Постановлении Правительства РФ №1119 идёт речь о недекларированных возможностях в программном обеспечении, но не даётся указаний на способы выявления этих самых недекларированных возможностей. Это приводит к наличию различных точек зрения на этот вопрос. Мы рекомендуем руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно, имеет широкое распространение и хорошо документировано, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть вероятность наличия недокументированных функций, способных нанести вред.

Наша сборка Ульяновск.BSD является лицензионным программным обеспечением выпускаемым серийно, имеющим широкое распространение и хорошо документированным. Таким образом в Ульяновск.BSD недекларированные возможности отсутствуют. Учитывая это, и в соответствии с классификацией УЗ ИСПДн, определённой Постановлением Правительства РФ №1119, Ульяновск.BSD может использоваться в большинстве ИСПДн, классифицированых по 4-му уровню защищённости (см. зелёные клетки таблицы, представленной выше). Приложение к Приказу ФСТЭК №21 определяет базовые наборы мер по обеспечению безопасности персональных данных для соответствующих уровней защищенности. Для 4-го уровня защищенности базовый набор мер реализуется встроенными средствами Ульяновск.BSD. А значит наличие сертификата ФСТЭК (ФСБ, Минобороны) у операционной системы для выполнения требований по нейтрализации актуальных угроз в ИСПДн не обязательно. Дополнительно в случае наличия угрозы действия вредоносных компьютерных программ (вирусов) необходимо использовать антивирусный пакет, например, компоненты комплекса «Dr.Web Enterprise Security Suite», и выполнять другие требования Постановления Правительства РФ №1119 для обеспечения требуемого уровня защищенности ИСПДн.

Последнее изменение: 12.07.2021 18:41:48

Комментарии

Добавляя комментарий, убедитесь, что он соответствует теме. Подумайте, будет ли он интересен другим. Спам, умышленная реклама и личная переписка не допускаются. Соблюдайте правила русского языка. Комментарии публикуются после проверки модератором и могут быть удалены без объяснения причин. Ответы на заданные в комментариях вопросы могут исходить от любого пользователя и являются неофициальными.

Импортозамещение

«Кремниевый щит» Тайваня – как полупроводниковые фабрики обеспечивают безопасность острова

Центральная роль Тайваня в глобальной цепочке поставок полупроводников сделала сохранение его статус-кво стратегическим приоритетом для США и их союзников; это так называемая идея «кремниевого щита», пишет CNBC, оценивая соглашение, заключённое на прошлой неделе между США и Тайванем. Соглашение направлено на расширение мощностей для производства микросхем в США, но вряд ли в ближайшее время оно обеспечит […] Сообщение «Кремниевый щит» Тайваня – как полупроводниковые фабрики обеспечивают безопасность острова... →

ВШЭ проанализировала тенденцию усиления глобального технологического протекционизма в сфере ИИ

Институт статистических исследований и экономики знаний Национального исследовательского университета «Высшая школа экономики» (НИУ ВШЭ) опубликовал аналитическую статью «Усиление глобального технологического протекционизма в сфере ИИ». В статье анализируется противостояние США и Китая в сфере технологий: попытки Штатов замедлить технологическое продвижение своего основного конкурента в сфере искусственного интеллекта, ставшие катализатором для создания КНР собственных чипов; новая позиция […] Сообщение ВШЭ... →

АРПП подвергла критике планы правительства распространить льготы IT-компаний на госорганизации

Ассоциация разработчиков программных продуктов «Отечественный софт» (АРПП) сформулировала претензии к проекту постановления правительства, определяющего условия, при которых IT-компании с преимущественным участием РФ и органы государственной власти смогут получить государственную аккредитацию и доступ к соответствующим налоговым льготам, сообщает председатель правления АРПП, президент ГК InfoWatch Наталья Касперская. Очень странно, говорится в сообщении, что органам власти предлагается предоставить […] Сооб... →

Приравнять госинсорс к IT-индустрии значит уничтожить конкуренцию – «Руссофт»

Год только начался, а IT-отрасль уже cтолкнулась с «неоднозначными законодательными инициативами», констатирует президент ассоциации производителей ПО «Руссофт» Валентин Макаров. Речь о проекте постановления правительства (подробности здесь), которое предусматривает новые категории IT-компаний, имеющих право на государственную аккредитации, а именно – IT-компании с преимущественным участием РФ и органы государственной власти. Такие компании действительно широко практикуют так называемый […] Сообщение Прирав... →

Минцифры планирует ввести новые категории IT-компаний для аккредитации – проект постановления

Для общественного обсуждения опубликован разработанный Минцифры проект постановления правительства, определяющего условия, при которых IT-компании с преимущественным участием РФ и органы государственной власти смогут получить государственную аккредитацию и доступ к соответствующим налоговым льготам. Как писал D-Russia.ru, председатель правительства Михаил Мишустин по итогам форума ЦИПР-2025 поручил подготовить предложения по внесению изменений в Налоговый кодекс и порядок аккредитации […] Сообщение Минцифры... →

«Ростелеком» сообщил об окончании импортозамещения систем сбора, фильтрации и анализа данных о работе сети

«Ростелеком» завершил программу импортозамещения и обновил ИТ-ландшафт системы мониторинга до целевой архитектуры. Программа стартовала в 2022 году и включала создание собственных систем для сбора, фильтрации и анализа данных о работе сети, сообщила компания. По итогам внедрения производительность службы мониторинга выросла в 2,9 раза, а время информирования и обработки аварий сократилось в 5 раз. Все решения […] Сообщение «Ростелеком» сообщил об окончании импортозамещения систем сбора, фильтрации и анализа... →

В 2025 году 60% отечественных программных продуктов ОАО «РЖД» разработаны собственными силами

Генеральный партнёр ОАО «РЖД», «РЖД цифровой», сообщил о «цифровых итогах» 2025 года – на отечественное ПО переведены восемь IT-систем, из них пять разработаны внутри самого ОАО «РЖД». На отечественное программное обеспечение переведены и включены в реестр российского ПО: Система пономерного учёта локомотивов (ЕС ПУЛ) – разработчик ООО «ОЦРВ». Система управления инфраструктурой (ЕАМ) – разработчик ООО […] Сообщение В 2025 году 60% отечественных программных продуктов ОАО «РЖД» разработаны собственными силами... →

Правительство утвердило перечень видов деятельности для применения единого пониженного тарифа страховых взносов

Распоряжением правительства утверждён перечень видов экономической деятельности Общероссийского классификатора видов экономической деятельности (ОКВЭД) для целей применения единого пониженного тарифа страховых взносов. Как поясняет Минфин (разработчик документа), в список вошли отрасли, приоритетные для поддержки малого и среднего предпринимательства (МСП) и развития экономики страны. В том числе в перечне содержатся следующие виды деятельности: деятельность в сфере телекоммуникаций […] Сообщение Правительс... →

Отечественная индустрия IT и телеком – итоги девяти месяцев 2025 года от ВШЭ

Институт статистических исследований и экономики знаний НИУ ВШЭ опубликовал отчёт о тенденциях развития сектора информационно-коммуникационных технологий (ИКТ) и его сегментов (IT-отрасли, телекоммуникаций, производства ИКТ-оборудования, оптовой торговли ИКТ-товарами) по итогам девяти месяцев 2025 года. Как следует из отчёта, сектор ИКТ наращивает реализацию товаров, работ, услуг кратно быстрее, чем экономика в целом (как по итогам девяти месяцев, […] Сообщение Отечественная индустрия IT и телеком – итоги д... →

Постановлением правительства прекращаются централизованные закупки Минцифры офисного ПО и антивирусов

Правительство отменило полномочия Минцифры по осуществлению централизованной закупки лицензий офисного программного обеспечения (ПО) и ПО в сфере информационной безопасности для федеральных органов исполнительной власти (ФОИВ). В 2018 году Минцифры назначили ответственной за закупку офисного ПО и ПО в сфере ИБ. По результатам проведённого в 2020 году анализа исполнения Минцифры постановления № 658 было установлено, что […] Сообщение Постановлением правительства прекращаются централизованные закупки Минцифры... →

Общая информация | Частным клиентам | Корпоративным клиентам | Справочные материалы | Обратная связь

Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.
Сергей Волков – эксперт в области информационных технологий © 2011−2026
Работает система управления сайтом «Публикатор 1.9» © 2004−2026