На главную страницу На главную страницу Помоги больным детям! Их можно спасти!
 
Справочные материалы ←

Можно ли использовать Ульяновск.BSD при работе с персональными данными?

У многих при словосочетании «персональные данные» сразу возникает ассоциация с сертифкатами ФСТЭК, ФСБ, Минобороны. И некоторые, так называемые, «специалисты в области защиты информации» могут сказать, что если операционная система не имеет сертификата ФСТЭК (ФСБ, Минобороны), то её нельзя использовать при работе с персональными данными. Такое утверждение неверно. Давайте разберёмся в этом вопросе.

Для начала прочитайте статью «Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?».

Вывод такой. При работе с персональными данными необходимо руководствоваться Постановлением Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 года и Приказом ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 года. Основываясь на этих документах становится понятно, что необходимо классифицировать свои информационные системы персональных данных (ИСПДн), построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

Перейдём от теории к практике. Кратко Постановление Правительства РФ №1119 можно представить следующим образом.

В соответствии с Постановлением Правительства РФ №1119 для ИСПДн установлено 4 уровня защищенности.

Для определения уровня защищенности (УЗ) необходимо определить тип информационной системы и актуальные угрозы.

По типам информационные системы делятся на:

  • Обрабатывающие специальные категории персональных данных;
  • Обрабатывающие биометрические персональные данные;
  • Обрабатывающие общедоступные персональные данные;
  • Обрабатывающие иные категории персональных данных;
  • Обрабатывающие персональные данные сотрудников оператора.

Актуальные угрозы делятся на следующие типы:

  • Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (НДВ в СПО), используемом в информационной системе;
  • Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (НДВ в ППО), используемом в информационной системе;
  • Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Итоговое определение уровня защищенности информационной системы персональных данных производится на основании следующей таблицы:

 

Тип ИСПДн

Категории субъектов
персональных данных

Количество субъектов
персональных данных

Тип актуальных угроз

1-й тип
(НДВ в СПО)

2-й тип
(НДВ в ППО)

3-й тип
(нет НДВ)

ИСПДн-С
(специальные)

Не сотрудники

Более 100 000

УЗ 1

УЗ 1

УЗ 2

Менее 100 000

УЗ 1

УЗ 2

УЗ 3

Сотрудники

Любое

УЗ 1

УЗ 2

УЗ 3

ИСПДн-Б
(биометрические)

Любые

Любое

УЗ 1

УЗ 2

УЗ 3

ИСПДн-И
(иные)

Не сотрудники

Более 100 000

УЗ 1

УЗ 2

УЗ 3

Менее 100 000

УЗ 1

УЗ 3

УЗ 4

Сотрудники

Любое

УЗ 1

УЗ 3

УЗ 4

ИСПДн-О
(общедоступные)

Не сотрудники

Более 100 000

УЗ 2

УЗ 2

УЗ 4

Менее 100 000

УЗ 2

УЗ 3

УЗ 4

Сотрудники

Любое

УЗ 2

УЗ 3

УЗ 4

 

Требования по защищенности для 4-го уровня:

  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
  • обеспечение сохранности носителей персональных данных;
  • утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Требования по защищенности для 3-го уровня включают в себя все требования по защищенности для 4-го уровня и дополнительно:

  • назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

Требования по защищенности для 2-го уровня включают в себя все требования по защищенности для 3-го уровня и дополнительно:

  • доступ к содержанию электронного журнала сообщений должен быть возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Требования по защищенности для 1-го уровня включают в себя все требования по защищенности для 2-го уровня и дополнительно:

  • автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
  • создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Есть один важный момент, на который стоит обратить внимание. В Постановлении Правительства РФ №1119 идёт речь о недекларированных возможностях в программном обеспечении, но не даётся указаний на способы выявления этих самых недекларированных возможностей. Это приводит к наличию различных точек зрения на этот вопрос. Мы рекомендуем руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно, имеет широкое распространение и хорошо документировано, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть вероятность наличия недокументированных функций, способных нанести вред.

Наша сборка Ульяновск.BSD является лицензионным программным обеспечением выпускаемым серийно, имеющим широкое распространение и хорошо документированным. Таким образом в Ульяновск.BSD недекларированные возможности отсутствуют. Учитывая это, и в соответствии с классификацией УЗ ИСПДн, определённой Постановлением Правительства РФ №1119, Ульяновск.BSD может использоваться в большинстве ИСПДн, классифицированых по 4-му уровню защищённости (см. зелёные клетки таблицы, представленной выше). Приложение к Приказу ФСТЭК №21 определяет базовые наборы мер по обеспечению безопасности персональных данных для соответствующих уровней защищенности. Для 4-го уровня защищенности базовый набор мер реализуется встроенными средствами Ульяновск.BSD. А значит наличие сертификата ФСТЭК (ФСБ, Минобороны) у операционной системы для выполнения требований по нейтрализации актуальных угроз в ИСПДн не обязательно. Дополнительно в случае наличия угрозы действия вредоносных компьютерных программ (вирусов) необходимо использовать антивирусный пакет, например, компоненты комплекса «Dr.Web Enterprise Security Suite», и выполнять другие требования Постановления Правительства РФ №1119 для обеспечения требуемого уровня защищенности ИСПДн.

Последнее изменение: 12.07.2021 18:41:48
Импортозамещение
Для демонстрации актуальности темы «роль системы оплаты труда в подъёме отечественной промышленности 100 лет назад» обратим внимание на два злободневных обстоятельства. Первое – хронический дефицит кадров в IT-индустрии. Для решения проблемы применяется метод «давайте дадим вузам денег и подготовим побольше айтишников, а тех, что уже подготовили, не будем брать в армию». Метод этот, тактично говоря, […] Сообщение Час расплаты появились сначала на Digital Russia. 
Компания Postgres Professional расширяет программу академических лицензий: теперь, помимо CУБД Postgres Pro Standard, для вузов и ссузов доступна флагманская Enterprise-редакция, сообщает компания во вторник. С новым вариантом лицензий партнёры получат безлимитный доступ для обучения, научных исследований, студенческих конкурсов и не только. В отличие от стандартных условий, систему можно использовать и для общей административной работы, но […] Сообщение Российская СУБД Postgres Pro Enterprise стала доступн... 
Возглавлявший Российский фонд развития информационных технологий (РФРИТ) Александр Павлов переходит в госкорпорацию развития ВЭБ.PФ на должность главного управляющего партнёра, сообщил фонд в понедельник. Павлов возглавлял РФРИТ с мая 2021 года. В ВЭБ он займётся проектами, связанными с применением технологий искусственного интеллекта, сказано в сообщении. На должность генерального директора, председателя правления РФРИТ назначен Алексей Горбань, ранее […] Сообщение Сменился руководитель РФРИТ появились сна... 
Приём заявок в акселератор проектов направления «квантовые вычисления», который призван провести поиск и отбор перспективных бизнес-инициатив в интересах практического применения квантовых инноваций (в атомной и других высокотехнологичных отраслях российской экономики), начался в пятницу, сообщил «Росатом». Подать заявку на участие можно до 15 апреля 2025 года на сайте квантовыйакс.рф. К участию в программе приглашаются стартапы и […] Сообщение Стартовал приём заявок в «Квантовый акселератор» «Росатома» поя... 
Об авторе: Сергей Алымов, министр цифрового развития Республики Алтай Информационная инфраструктура Более 600 жителей малых сёл получили доступ к мобильной связи и Интернету в 2024 году по программе «Устранение цифрового неравенства 2.0». Современная мобильная связь, включая высокоскоростной доступ в Интернет, стала доступной жителям двух сёл, где проживает от 100 до 500 человек. В 2025 году […] Сообщение Ключевые достижения в сфере цифровизации Республики Алтай по итогам 2024 года появились сначала на Digi... 
Об авторе: Андрей Стрельцов, врио директора департамента цифрового развития, информационных технологий и связи правительства Тамбовской области  Тамбовская область активно внедряет современные цифровые технологии во все аспекты жизни, последовательно работая над улучшением доступности связи и Интернета, запуском цифровых сервисов, переводом государственных систем на отечественное программное обеспечение, повышением цифровой грамотности и консолидацией IT-сегмента. Цифровая трансформация Тамбовская область [... 
Стартовал отбор вузов, которые займутся разработкой и запуском новых программ бакалавриата для подготовки специалистов в области IT, сообщает Минцифры в понедельник. Приём заявок на участие в проекте продлится до 7 апреля 2025 года. Основной задачей проекта является обеспечение IT-компаний высококвалифицированными кадрами, обладающими нужными практическими навыками, чтобы избежать необходимости дополнительного обучения при трудоустройстве. См. также: Где […] Сообщение Минцифры объявило конкурс для вузов на ... 
Группа компаний «Геоскан» и «Формоза-Софт» интегрировали беспилотники «Геоскан 801» с системой дистанционного мониторинга лесных пожаров «Лесохранитель»; это позволило создать первый полностью российский компактный беспилотный комплекс для оперативного видео- и тепловизионного контроля пожарной обстановки, благодаря которому подразделения Рослесхоза и МЧС по всей стране будут получать готовые данные для быстрого реагирования на чрезвычайные ситуации, сообщает «Геоскан» в […] Сообщение Представлен первый оте... 
«Нанософт», разработчик инженерного программного обеспечения, и Postgres Professional подтвердили совместимость своих продуктов — платформы nanoCAD и СУБД Postgres Pro; совместимость с Postgres Pro дополнит возможности платформы, повысит эффективность проектирования и улучшит процессы управления данными, сообщает Postgres Professional в пятницу. Платформа nanoCAD — профессиональный инструмент для проектирования и моделирования объектов различной степени сложности. Открытый API-интерфейс позволяет […] Сообще... 
Об авторе: Никита Бородин, министр цифрового развития и массовых коммуникаций Херсонской области Развитие связи и телекоммуникаций По состоянию на конец 2024 года стабильное покрытие мобильной связью обеспечено на всей территории региона, за исключением 15-километровой зоны от реки Днепр, где невозможен ремонт инфраструктуры из-за атак ВСУ. Уровень удовлетворённости сотовой связью, по данным ВЦИОМ, составил 51 балл. […] Сообщение Итоги 2024 года Министерства цифрового развития и массовых коммуникаций Херсон... 
    Наверх       На главную страницу       Адрес электропочты Рейтинг@Mail.ru
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.

Сергей Волков – эксперт в области информационных технологий © 2011−2025
Работает система управления сайтом «Публикатор 1.9» © 2004−2025