Astra Linux и ФЗ 152

Saniaib

New member
Сообщения
10
#1
1) Можно ли обрабатывать персональные данные на Astra Linux SE 1.6 и Astra Linux CE 1.6 в государственные учреждениях здравоохранения?
2) Нужно ли дополнительно использовать средства защиты, например, от НСД на рабочих машинах, серверах, информационных системах либо автоматизированных системах с данными при обработке персональных данных сотрудников?
3) Если ничего этого не нужно, то чем руководствоваться при проверках ФСТЭК, Роскомнадзор и др. на то, как и чем мы защищаем персональные данные по 152 ФЗ при использовании Астры?
 
Последнее редактирование:

AFilippov

New member
Сообщения
171
#2
...Если ничего этого не нужно, то чем руководствоваться при проверках ФСТЭК, Роскомнадзор и др. на то, как и чем мы защищаем персональные данные по 152 ФЗ при использовании Астры?
Наличие Astra Linux SE с лицензионным договором и сертификатами ФСТЭК, ФСБ, МО никоим образом не ограждает Вас от претензий со стороны контролирующего органа. Astra Linux SE - всего лишь операционная система с ограниченным набором ПО. Во время проверки оценивается на соответствие в целом информационная система по обработке персональных данных, в том числе меры организационного порядка (наличие и соблюдение положения, приказов, инструкций персоналу, журналов учета, допуска...) и техническая укрепленность объекта (воришку от кражи или хулигана от порчи окно не остановит).
Гарантию Вам дадут периодические аттестационные испытания ИСПДн на соответствие требованиям ФСТЭК в части исполнения 152-го ФЗ, проводимые лицензированной организацией. На руки получите большую папку с актами, протоколами, тех. паспортом, инструкциями, приказами.
Нужно ли дополнительно использовать средства защиты, например, от НСД на рабочих машинах, серверах, информационных системах либо автоматизированных системах с данными при обработке персональных данных сотрудников?
Регионы сейчас находятся в разных условиях. Одни медучреждения для обработки ПДн используют государственные информационные системы. Другие, которых большинство, используют ПО "неизвестного" происхождения, сертифицировать которые никто не будет, а устанавливать СЗИ либо бессмысленно, либо дорого. ФЗ №152 "О персональных данных" вступил в силу 12 лет назад. Учитывая реальную обстановку, топором никто не машет, санкции (дисциплинарные, административные, уголовные) никто направо-налево не раздает.
Не забываем о хранении ПДн на бумажных носителях. За забытую не там мед.карту или вовремя не уничтоженную надлежащим образом информацию ответственность ничуть не меньше.
В целом, подобные вопросы целесообразнее задавать комитету, департаменту, министерству здравоохранения того региона, где проживаете. Получите актуальную для Вас информацию. Возможно, медорганизации пойдут по пути заявления декларации о соответствии, но тогда разработка документации, ее своевременное обновление уже на их ответственности, чего, понятно, многие не любят.
 

AFilippov

New member
Сообщения
171
#4
Хороший чек-лист для проверяющих :) Но, как понял, ТСа больше интересует вопрос, чем дорогие себе места прикрывать.
Ситуация схожа с пожарным аудитом. Вызываешь аффилированную региональному МЧС организацию. Походили, посмотрели, почитали. Явные косяки собственник тут же исправил. Получил на руки заключение, заплатил 300 тыс. - 1200 тыс. рублей (в зависимости от объекта), и 3 года свободен, никакая проверка не придет. Безопасность ПДн явно движется в том же направлении: нет заключения экспертной организации, значит проверяющие будут копать и вширь, и в глубину. Ведь, подразделения ФСТЭК тоже кушать хотят. :(
 

Montfer

New member
Сообщения
462
#5
Хороший чек-лист для проверяющих :) Но, как понял, ТСа больше интересует вопрос, чем дорогие себе места прикрывать.
Ситуация схожа с пожарным аудитом. Вызываешь аффилированную региональному МЧС организацию. Походили, посмотрели, почитали. Явные косяки собственник тут же исправил. Получил на руки заключение, заплатил 300 тыс. - 1200 тыс. рублей (в зависимости от объекта), и 3 года свободен, никакая проверка не придет. Безопасность ПДн явно движется в том же направлении: нет заключения экспертной организации, значит проверяющие будут копать и вширь, и в глубину. Ведь, подразделения ФСТЭК тоже кушать хотят. :(
Даже если есть заключение, косяки найдутся. Ответ в другом - в приказе ФСТЭК, на который и нужно опираться при защите ИСПДн
 

AFilippov

New member
Сообщения
171
#6
Даже если есть заключение, косяки найдутся. Ответ в другом - в приказе ФСТЭК, на который и нужно опираться при защите ИСПДн
Так я ж и не говорил, что можно будет на все забить и курить бамбук 3 года :) Требования необходимо выполнять. При наличии заключения внешнего аудита проверка к вам не придет, только в случае ЧП, что "совершенно другая история".
Проверки порой вообще дело интимное: от авансированной лояльности контролирующего органа, до личных неприязненных. Согласись, что не все организации могут иметь в штате достаточно квалифицированных сотрудников, способных на равных спорить с представителями, в данном случае, ФСТЭК. К тому же, если в структуре нет GR-подразделения, заранее неизвестно, с какой установкой придут проверяющие. Они могут просто начхать на все ваши возражения и приостановить деятельность предприятия. Оспаривать можно, но ущерб не сопоставим, по сравнению со стоимостью аудита.
Косяки конечно всегда найдутся. Первый же вопрос: "А нахрена ты ездил, если ничего не нашел"? :)
С надзором за ПДн до настоящего времени итоговое решение не принято. Отсюда и вопросы. Пожарники вон только десять лет назад сообразили, что купюры можно не по кустам сшибать, а культурно и централизованно.
 
Последнее редактирование:

Montfer

New member
Сообщения
462
#7
Так я ж и не говорил, что можно будет на все забить и курить бамбук 3 года :) Требования необходимо выполнять. При наличии заключения внешнего аудита проверка к вам не придет, только в случае ЧП, что "совершенно другая история".
Проверки порой вообще дело интимное: от авансированной лояльности контролирующего органа, до личных неприязненных. Согласись, что не все организации могут иметь в штате достаточно квалифицированных сотрудников, способных на равных спорить с представителями, в данном случае, ФСТЭК. К тому же, если в структуре нет GR-подразделения, заранее неизвестно, с какой установкой придут проверяющие. Они могут просто начхать на все ваши возражения и приостановить деятельность предприятия. Оспаривать можно, но ущерб не сопоставим, по сравнению со стоимостью аудита.
Косяки конечно всегда найдутся. Первый же вопрос: "А нахрена ты ездил, если ничего не нашел"? :)
С надзором за ПДн до настоящего времени итоговое решение не принято. Отсюда и вопросы. Пожарники вон только десять лет назад сообразили, что купюры можно не по кустам сшибать, а культурно и централизованно.
Мне совершенно не интересны разглогольствования "если да кабы". Есть опыт в аттестации АРМ? Поделитесь. Нет? Помогите с нормативной базой. Тоже нет? Какой смысл флудить?
 

AFilippov

New member
Сообщения
171
#8
Мне совершенно не интересны разглогольствования "если да кабы". Есть опыт в аттестации АРМ? Поделитесь. Нет? Помогите с нормативной базой. Тоже нет? Какой смысл флудить?
Хорошо, еще немножко и все. Здесь же не совсем личная переписка?
На вопрос, чем прикрываться от проверки ФСТЭК при наличии AL SE, я ответил сразу - заключением лицензированной экспертной организации. Т.е. аттестацией обязательной или добровольной, ведомственную специфику затрагивать не будем.
Еще в копилку нормативных актов:
https://fstec.ru/normotvorcheskaya/...rikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17
http://www.consultant.ru/document/c...6357879e861790a8a7ca8bea4227d56c72/#dst100009
Только чем это практически поможет руководителю организации, которую пришли, мягко выражаясь,"проверять"?
Аудитора ваше мнение (не лично Ваше) интересует в последнюю очередь, т.к. он несет свою ответственность и предпочитает доверять своим сотрудникам.
Представители надзорного органа руководствуются своими инструкциями и установками, полученными от своего руководства. Можете писать обширные объяснения, практический эффект будет нулевым.
И в чем трагедия? Ну, очередная аттестация, очередной аудит. И что? До этого мало было что ли? Пройдете также, как все. Выполните рекомендации, требования аудитора и получите на руки заключение с сопутствующей документацией.
P.S.: изложенное основано на реальных событиях. :)
 

Saniaib

New member
Сообщения
10
#9
У нас есть Astra Linux SE, Dallas Lock, Secret Net Studio и OS Windows. Какую связку в моём случае использовать для защиты информации по ФЗ 152?
Голую Astra Linux
Windows + Secret Net Studio
Secret Net Studio + Dallas Lock
 

Montfer

New member
Сообщения
462
#10
Виндовс+секрет нет+соболь, развернутые на астре , разделы которой зашифрованы...

Читайте приказ фстэк. Мы не знаем, к какому классу относится ваша информационная система.
 

AFilippov

New member
Сообщения
171
#11
Попробуем обобщить.
Для начала в соответствии с Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" предварительно определяете уровень (класс) защищенности ПДн. Здесь - Уровни защищенности персональных данных они представлены в наглядной форме. Так как у Вас медорганизация, речь пойдет о 1-м или 2-м уровне.
Далее, чтобы окончательно определиться c УЗ (уровнем защищенности) идем на сайт ФСТЭК и ищем свои версии Windows - Государственный реестр сертифицированных средств защиты информации. Если прямо написано, что может использоваться для защиты информации в ИСПДн до 2-3 класса включительно, значит будет 2-ой УЗ, нет - будет 1-й УЗ. Действует принцип поглощения меньшего уровня более высоким. Там же сразу смотрим остальное ПО: срок действия сертификата, на что именно сертифицировалось.
Определились с уровнем защищенности. Открываем "чек-лист" от Montfer - Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Распечатываем и начинаем крыжить, что можно сделать средствами ОС, а где понадобится стороннее ПО. Примеряем то, что есть в наличии: Dallas Lock, Secret Net Studio. Как подсказывают, к AL SE еще минимум понадобится модуль доверенной загрузки.

Установили ПО, настроили. Теперь не менее важная задача - подготовить документацию. Здесь - Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости еще 2009 года. Попробуйте найти более свежую редакцию, потрясите свой департамент. Через руководство договоритесь с аттестованной организацией, возьмите их пакет за образец, адаптируйте под себя.
Здесь - Классификация средств защиты информации народ пытается чехарду ФСТЭК-ских решений свести в схемы и таблицы.
 

kdewyz

New member
Сообщения
36
#12
Но перед этим надо определиться с ответственными лицами, и разработать модель угроз, чтобы определить типы угроз безопасности, актуальные для данной ИСПДн. А потом всё остальное.

Примеряем то, что есть в наличии: Dallas Lock, Secret Net Studio. Как подсказывают, к AL SE еще минимум понадобится модуль доверенной загрузки.
AL SE имеет сертификат как средство от НСД, потому "даллас" и "секрет нет" не нужны, только апмдз, например тот же соболь
 

AFilippov

New member
Сообщения
171
#13
Но перед этим надо определиться с ответственными лицами, и разработать модель угроз, чтобы определить типы угроз безопасности, актуальные для данной ИСПДн. А потом всё остальное.
К сожалению, для учреждений здравоохранения это требовалось сделать 9 лет назад (см. Методические указания). Как обычно, ждем жаренного петуха. :(
Еще несколько ресурсов:
Постановления Правительства РФ
Установлены правила проведения проверок операторов персональных данных
План проведения плановых проверок РКН
Реестр лицензий на деятельность по технической защите конфиденциальной информации
Немного устаревшая статья Все о проверках защиты персональных данных: кто, кого и как?
 

Saniaib

New member
Сообщения
10
#14
Спасибо за жаркое обсуждение, а если использовать Windows 7 и Dallas Lock, то можно и плата Соболь не нужна? В такой связки, обязательно только иметь сертифицированный Dallas Lock, а Windows 7 несертифицированную можно?
 

Olej

New member
Сообщения
1 010
#15
а если использовать Windows 7
А если использовать Windows 7, то при нынешнем "большом шухере" по использованию "отечественных ОС" - это закончится увольнением по статье несоответствия занимаемой должности :cry: ... рано или поздно.
 

kdewyz

New member
Сообщения
36
#16
А если использовать Windows 7, то при нынешнем "большом шухере" по использованию "отечественных ОС" - это закончится увольнением по статье несоответствия занимаемой должности :cry: ... рано или поздно.
да ну))) ох, уж эти сказочники))) даже для ГТ такого пока нет... А уж для ПД - и подавно
А если нормативно...

Требования к ОС определены "Требованиями безопасности информации к операционным системам", утвержденными приказом ФСТЭК России от 19.08.2016 № 119, а также в информационном сообщении ФСТЭК России от 18.11.2016. № 240/24/4893 "Об утверждении Требований безопасности информации к операционным системам"

Операционная система Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная"
Сертификат № 2180/1
Дата внесения в реестр:04.10.2011 Срок действия сертификата:04.10.2020
Соответствие требованиям РД:
Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Касаемо даллас лок - необходимость его применения зависит от того, какой уровень защищенности имеет ИСПДн, но эта уже не к этой теме
Аstra SE по умолчанию имеет на борту СЗИ и там (в случае с ПД) ничего не надо. Разве что АПМДЗ, но это только после определения актуальных угроз безопасности.
 

AFilippov

New member
Сообщения
171
#17
...а если использовать Windows 7 и Dallas Lock, то можно и плата Соболь не нужна? В такой связки, обязательно только иметь сертифицированный Dallas Lock, а Windows 7 несертифицированную можно?
Смотрим снова сюда --> Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Читаем:
Screenshot.png

Не хотите Соболь, есть СДЗ «Dallas Lock» - Соответствует требованиям документов: Требования к СДЗ, Профиль защиты СДЗ(платы расширения второго класса защиты. ИТ.СДЗ.ПР2.ПЗ). Кроме того, в документе не однократно упоминается, что плюсики - это базовые меры, список которых вы можете расширить или сократить, но требуется обоснование. Могли бы сами ответить. К тому же, Dallas Lock-ов много, смотрите, что у Вас конкретно есть и что обеспечивает.

Да и бросайте это неблагодарное дело. Рынок по защите ПДн не на пустом месте возник. Было бы просто, никто сторонние организации не нанимал бы. Если нет возможности переложить данную обязанность на хрупкие плечи коллег, подводите главврача к мысли, что, дескать, пора уже и тендер открывать. :)
 

oko

New member
Сообщения
107
#18
Такс, ребятки, которые ни разу не занимались созданием систем защиты для ИСПДн и аттестацией оных по требованиям безопасности ПДн - либо покиньте тему, либо помолчите со своими советами. Сделаете только хуже и запутаете человека окончательно. У меня от ваших "домыслов" гомерический хохот сменился слезами...

to Saniaib
Алыверды: зачем вы задаете такие вопросы на форуме дистрибутива защищенной ОС, когда у вас нет понимания базы в принципе? Для начала посерчили бы форум ispdn.ru или itsec.ru - там подобные вопросы обсуждались неоднократно. А то это похоже на попытку спросить у лиц, использующих перфораторы фирмы Makita, как построить дом с балюстрадой и кариатидами на фронтоне, ага...
Коротко, как уже говорили выше - Astra Linux, Dallas Lock и проч. - это всего лишь инструменты. Которые имеют сертификаты соответствия в своей части и нужны, когда в информационной системе (ИС) требуется применение именно сертифицированных средств защиты информации. Для справки: в ИСПДн это требуется далеко не всегда и/или в конкретных, явно обоснованных местах применения...
Условный алгоритм для ИСПДн:
  • смотрим на свою систему, определяем ее состав (программный, аппаратный, место размещения баз данных ПДн, допущенных лиц и т.д.);
  • по методичкам ФСТЭК 2008 и ФСБ 2015 (если уже используется или планируется использовать средства криптографической защиты - СКЗИ) определяем актуальные угрозы безопасности и возможные действия нарушителей безопасности для своей системы;
  • по ПП РФ 1119 и по выводам сформированной выше Частной модели угроз (ЧМУ) в части актуальных угроз НДВ определяем уровень защищенности ИСПДн (У4 - У1, чем выше, тем больше требований безопасности);
  • по 21 Приказу ФСТЭК и 378 Приказу ФСБ смотрим, какие меры защиты мы должны выполить для ИСПДн данного уровня защищенности с учетом актуальных угроз (включая угрозы НДВ), исходя из ЧМУ;
  • после всего этого решаем необходимость внедрения сертифицированных СЗИ: используем либо навесные СЗИ (как тот же Dallas Lock, Secret Net и проч., если в качестве ОС используется Windows), либо переводим все на защищенные ОС (например, Astra Linux SE), либо сертифицируем прикладной софт, в котором ведется обработка ПДн (например, если обработка идет в той же 1С, использование вышеуказанных СЗИ почти не имеет практического смысла);
  • в конце, когда все расписали и внедрили, продумали организационную структуру и навялили систему контроля за событиями безопасности (в той или иной степени) - либо самостоятельно, либо с привлечением организации-лицензиата ФСТЭК и ФСБ (при использовании СКЗИ), провели испытания оценки защищенности реализованной системы защиты;
  • далее эксплуатируем систему, периодически следим за образованием новых каналов утечки информаци и появлением новых угроз безопасности, мониторим в Сети новые уязвимости, возможно влияющие на нашу систему, - по результатам этого всего проводим контрольные испытания с заданной законом периодичностью;
  • при необходимости (например, замена программно-аппаратного состава, или появление новых актуальных угроз) полностью или частично переделываем ЧМУ, технический проект и логику работы системы защиты - в связи с чем опять-таки проводим испытания оценки защищенности.
Организация-лицензиат выдает Аттестат соответствия (в 90% случаев, потому что лицензиатов, читающих закон и думающих головой маловато, ага), самостоятельные же испытания оформляются самостоятельным протоколом/заключением без явно установленной формы. Аттестат соответствия - де юре очень хорошо, но де факто крайне обременительно в дальнейшей эксплуатации)...
Практический совет: если все вышесказанное похоже на тарабарщину - наймите организацию-лицензиата, чтобы они провели информационное обследование вашей системы и выдали рекомендации по ее приведению к соответствию существующим требованиям. И деньги съэкономите (обследование дорого не стоит), и время, и нервы. Попутно обязательно уточните, чтобы лицензиат руководствовался дополнительно Приказом 911н Минздрава России, раз у вас медучреждение, ага...
 

oko

New member
Сообщения
107
#19
*в сторону*
С целью снижения уровня бурления (модуль экстрасенсорики подсказывает, что все равно будет, но, надеюсь, по-меньше) по результатам моей мессаги, упреждаю сразу - вот, что порадовало особенно:
  1. Пожарный аудит - мимо темы. И задачи разные, и подходы. А то, что владелец или Оператор ПДн чаще всего решает, что ему проще откупиться от проверки, чем заморачиваться на систему защиты и ее контрольные испытания - это проблемы владельца/Оператора. Если "Коля" прыгает с моста, то остальным прыгать не обязательно. Не в детском саду, ибо...
  2. Проверяющие органы еще как интересует мнение аудитора. И тем более аудитора-лицензиата оных проверяющих органов. И тем более аудитора-лицензиата, добросовестно выполняющего свою работу. С ПДн в стране все просто: кто-то должен взять на себя ответственность за принятые меры безопасности. Если меры вовсе не приняты - штраф. Если приняты, но владельцем/Оператором ИСПДн самостоятельно - будет полная проверка компетенции владельца/Оператора (а там, как говорили, далеко не всегда штат специалистов, способных на нужное, ага). Если приняты владельцем/Оператором + организацией-лицензиатом - проверка будет, но куда как менее жесткая. Зато в случае утечки ПДн - по шапке получит не только владелец/Оператор, но и организация-лицензиат. Выбирать подход надо из этого принципа, ага...
  3. Windows+SN+шифрованный раздел Astra Linux - без комментариев. Такой дичи на практике ни разу не видел. Надеюсь, и не увижу...
  4. Для медучреждений действуют те же правила, что и для любых других - в части ПДн, разумеется. +- добавляется 911н Приказ, но он ничему не противоречит. Так что составление актуальной и грамотной ЧМУ - это обязательное и первое действие, которое должен выполнить владелец/Оператор ИСПДн. То ли дело, имеются оооочень расплывчатые Базовые модели Минздрава (федерального, регионального), от которых можно строить свою ЧМУ для конкретного медучреждения. Но такой подход, внезапно, и в других ведомствах тоже. Если кто-то говорит обратное - плюньте ему в рожу...
  5. Использовать Windows 7 можно без проблем, если ИСПДн существующая. Дальше надо выбрать СЗИ. Тема перехода на импортозамещение касается пока только вновь разрабатываемых систем - никто не требует переводить на новые рельсы то, что уже исправно работает годами...
  6. Приведенные "Требования к ОС" никакого отношения к Windows-в-вакууме не имеют. Более того, Windows никогда по оным Требованиям сертифицирована не будет - читайте Профили защиты ИТ.ПЗ.ОС и поймете почему. И сертификаты, выданные на Windows и находящиеся в реестре ФСТЭК, это сертификаты для конкретных дистрибутивов, которые можно купить в конкретной конторе, заменив ими уже установленные системы. Полностью, с 0, переустановкой. К тому же, если эти сертификаты в 2020 и будут продлеваться, то только для существующих объектов информатизации, а не для вновь развертываемых (пусть даже на базе обычной Windows) - см. Положение по сертификации ФСТЭК...
  7. Требования по обеспечению доверенной загрузки, primo, далеко не всегда подразумевают внедрение АПМДЗ (тот же Соболь), и, secundo, вообще могут быть не актуальны и заменены "компенсирующими мерами" для конкретной ИСПДн. Читайте уже нормативные документы внимательно, елы-палы...

Повторюсь, многое зависит от ЧМУ и объекта в целом. Так что в первую очередь надо включать голову, а не язык, задницу и прочие органы - тогда приведение любой ИС (и ИСПДн в том числе) к соответствию требованиям закона не превратится в бдсм-вечеринку или в схему "всюду встроены сертифицированные СЗИ, но система с ними не работает в принципе", ага...
 

kdewyz

New member
Сообщения
36
#20
по методичкам ФСТЭК 2008 и ФСБ 2015 (если уже используется или планируется использовать средства криптографической защиты - СКЗИ) определяем актуальные угрозы безопасности и возможные действия нарушителей безопасности для своей системы;
И первый вопрос от проверяющих - а почему вы не использовали Банк данных угроз безопасности информации? Неужели Вас забанили на сайте fstec.ru?