Другий розділ Типового порядку обробки персональних даних у базах персональних даних (далі - Типовий порядок) присвячений питанням обробки персональних даних у складі інформаційної (автоматизованої) системи.
При цьому, у відповідності до вимог Закону "Про захист персональних даних" та Типового порядку, володілець (розпорядник) бази персональних даних обробляє персональні дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних відповідно до вимог закону.
У пункті 2.2 Типового порядку зазначається, що обробка персональних даних в інформаційній (автоматизованій) системі може здійснюватись у складі інформаційно - телекомунікаційної системи із застосуванням засобів мережевого захисту від несанкціонованого доступу під година обробки персональних даних.
Загалом, до засобів мережевого захисту відносяться:
- міжмережеві екрани - для блокування атак із зовнішнього середовища. Смороду керують проходженням мережевого трафіку відповідно до встановлених володільцем (розпорядником) правив захисту. Як правило, міжмережеві екрани встановлюються на вході мережі і розділяють внутрішні (приватні) та зовнішні (загального доступу) мережі;
- системи виявлення втручань - для виявлення спроб несанкціонованого доступу як ззовні, так і всередині мережі, захисту від атак типу "відмова в обслуговуванні". Використовуючи спеціальні механізми, системи виявлення вторгнень здатні попереджувати шкідливі дії, що дозволяє значно знизити година простою внаслідок атаки і витрати на підтримку працездатності мережі;
- засоби створення віртуальних приватних ятерів - для організації захищених каналів передачі даних через незахищене середовище забезпечують прозоре для користувача сполучення локальних ятерів, зберігаючи при цьому конфіденційність та цілісність інформації шляхом її динамічного шифрування;
- засоби аналізу захищеності - для аналізу захищеності корпоративної мережі та виявлення можливих каналів реалізації загроз інформації. Їх застосування дозволяє попередити можливі атаки на корпоративну ятір, оптимізувати витрати на захист інформації та контролювати поточний стан захищеності мережі.
Проте, застосування жодного із зазначених засобів не є необхідною умовою включення їх до складу комплексної системи захисту інформації, що може створюватися в інформаційних (автоматизованих) системах на виконання вимог Закону "Про захист інформації в інформаційно - телекомунікаційних системах".
Крім того, у відповідності до положень Директив 95/46/ЄС, 97/66/ЄС Європарламенту та Заради Європи юридичні, нормативні та технічні вимоги, які регламентують забезпечення захисту персональних даних, прав фізичних осіб та законних інтересів юридичних осіб, повинні бути чітко збалансованими та не створювати перешкод для розвитку ринку. Досягнення такого балансу є можливим при висуненні обмеженої та обгрунтованої кількості вимог, що не перешкоджають розвитку новітніх технологій та функціонуванню баз персональних даних.
Також у відповідності до вимог Директив 95/46/ЄС, 97/66/ЄС Європарламенту та Заради Європи володільці баз персональних даних за сприяння Уповноваженого державного органу з питань захисту персональних даних повинні співробітничати у процесі впровадження та розвитку відповідних технологій там, де це необхідно для надання гарантій захисту прав фізичних осіб.
У країнах Євросоюзу визнання заходів, які можна вважати адекватними для забезпечення захисту, віднесено до компетенції уповноважених державних органів з питань захисту персональних даних, в тому числі й шляхом відповідних публікації та оприлюднень.
Загальноєвропейський підхід у цьому напрямі полягає в тому, що уповноважені державні органи з питань захисту персональних даних пропонують володільцям баз персональних даних самостійно визначати відповідні заходь захисту з урахуванням насамперед:
- можливого рівня ризику, пов'язаного з обробкою персональних даних в інформаційній (автоматизованій) системі;
- природи та обсягів персональних даних, що обробляються в інформаційній (автоматизованій) системі;
- вартості робіт, які витрачаються на впровадження заходів захисту в інформаційній (автоматизованій) системі;
- характеристик інформаційних (автоматизованих) систем володільців та/або розпорядників баз персональних даних худо.
Проте у більшості випадків від володільців баз персональних даних не вимагається застосування спеціальних заходів захистуокрім загальноприйнятих (описаних зокрема в стандартах ISO/IEC 27001). Також, у більшості випадків, підкреслюється необхідність наявності відповідної системи управління захистом персональних даних на підприємстві (установі, організації) та навчання персоналу, який організовує роботові, пов'язану із захистом персональних даних на підприємстві (установі, організації) при їх обробці. У зв'язку з цим також варто наголосити на тому, що з метою застосування положень Закону "Про захист персональних даних" та Типового положення, забезпечення ефективного захисту прав суб' єктів персональних даних, сприянню додержанню законодавства, враховуючи специфіку обробки персональних даних у різних сферах, можуть розроблятися корпоративні кодекси поведінки (кодекси практики) з обробки персональних даних.
Остаточний вибір конкретних заходів захисту, технічних рішень, та стандартів, якими необхідно керуватися, архітектур інформаційних систем залишається в межах компетенції володільця баз. Так само в компетенції володільця знаходиться й безпосередня оцінка ризиків порушень безпеки даних.
Окрім того, в Нормативному документі системи технічного захисту інформації (НД ТЗІ 2.5-004-99) "Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу" деякі питання щодо захисту персональних даних, зокрема послуги ідентифікації, автентифікації, можна розглядати у відповідності до функціонального критерію "Спостереженість".
Проте, інші послуги, які становлять предмет послуг спостережності і керованості, у відповідності до НД ТЗІ 2.5-004-99 згідно вимог Типового порядку необхідно вживати виважено та помірковано.
Так, на відміну від вимог НД ТЗІ (зовнішній аналіз, захищений журнал, сигналізація про небезпеку, детальна реєстрація, аналіз в реальному часі), Типовим порядком чітко прописані всі можливі дії, які можуть здійснюватися в інформаційній (автоматизованій) системі щодо реєстрації :
- результатів ідентифікації та/або автентифікації працівників;
- дії з обробки персональних даних;
- факту встановлення ознаки "Підтвердження надання згоди на обробку персональних даних" за допомогою управляючих елементів веб- ресурсів, інтерфейсів користувача програмного забезпечення.
Всі зазначені Типовим порядком дії щодо захисту персональних даних при їх обробці в інформаційній (автоматизованій) системі вимоги значно звужують питання, які складають вимоги щодо спостережності та контролю за діями користувачів або легальністю доступу, передбачені зазначеними Критеріями НД ТЗІ.
А питання керованості, зокрема, достовірного каналу, самотестування, визначення спроможності комплексу засобів захисту виконувати свої функції, цілісність комплексу засобів навіть не передбачаються Типовим порядком. Так само Типовим порядком взагалі не передбачується необхідність створення комплексу засобів захисту у базах персональних даних при їх обробці у складі інформаційної (автоматизованої) системи.
Проте забезпечення конфіденційності персональних даних може бути здійснено через реалізацію функціональних послуг спостережності відповідно до НД ТЗІ 2.5-005-99 "Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформаційних від несанкціонованого доступу".
Особливо слід наголосити на тому, що передбачені Критеріями питання розподілу обов' язків взагалі не враховують розподіл обов' язків з урахуванням питань захисту персональних даних та завдань відповідальної особині або структурного підрозділу, які організовують роботові, пов'язану із захистом персональних даних при їх обробці на підприємстві (установі, організації), відповідно до закону.
У Типовому порядку також вживається термін "відмова в обслуговуванні", який є близьким до терміну "стійкість до відмов" як послуга, що є складовою критерію "Доступності", і який є більш широким тому значенні, що гарантує доступність комп' ютерної системи (у контексті зазначеного документу НД ТЗІ) після відмови її компонента і тому потребує невиправданих додаткових витрат володільців та/або розпорядників баз персональних даних на його реалізацію.
Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп' ютерній системі, НД ТЗІ 2.5-004-99 містить обов' язкові критерії гарантій, що дозволяють оцінити коректність реалізації послуг. Зазначені Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.
У цих Критеріях вводитися сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відображає поступово наростаючу міру впевності в тому, що реалізовані в комп' ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, у свою чергу коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під година експлуатації комп' ютерної системи.
Усе зазначене свідчить про ті, що зазначені критерії гарантій є надзвичайно надмірними стосовно обробки персональних даних в складі інформаційної (автоматизованої) системи.
Саме тому зазначені Критерії можуть застосовуватися до всього спектру комп'ютерних систем, включаючи однорідні системи, багатопроцесорні системи, бази даних, вбудовані системи, розподілені системи, мережі, об' єктно - орієнтовані системи та інші, але не можуть бути застосовані для оцінювання надійності впроваджених механізмів захисту від незаконного доступу під година обробки персональних даних у базах персональних даних.
Значна увага у Типовому порядку в питаннях обробки персональних даних в складі інформаційної (автоматизованої) системи приділяється питанням ідентифікації, автентифікації та авторизації.
Проте, у порівнянні з аналогічними заходами зазначених Критеріїв, де ці питання розглядаються як ідентифікація і автентифікація при обміні (але винятково за умови створення комплексу засобів захисту), автентифікація відправника (захист від відмови авторства) та отримувача (захист від відмови від одержання), у Типовому порядку зазначені процедури значно спрощені.
У Критеріях НД ТЗІ рівні даної послуги ранжируються від числа покладу задіяних механізмів автентифікації (зовнішня, одиночна або множинна ідентифікація і автентифікація), а обов'язковою умовою Критеріїв є забезпечення можливості однозначного підтвердження протоколу автентифікації третьою стороною непокладу, що реалізовуєтьсяі що також виходить поза межі сфери дії Закону "Про захист персональних даних" та відповідних нормативно-правових актів.
У відповідності до вимог Типового порядку ідентифікація є початковою процедурою надання доступу до системи. Після неї здійснюється автентифікація та авторизація.
Ідентифікація дозволяє користувачу, або процесу, який діє від імені певного користувача) повідомити своє ім 'я за допомогою унікального параметра - ідентифікатора (наприклад, логін), який є відомим іншій стороні.
У разі успішної ідентифікації відбувається автентифікація. Шляхом автентифікації інша сторона переконується що суб' єкт саме тій за кого він собі видає (використовується пароль у випадку парольної автентифікації або інший параметр, наприклад цифровий підпис).
Один із способів автентифікації полягає у попередній ідентифікації на основі ідентифікатора користувача (логіна - реєстраційного імені користувача) і пароля - певної конфіденційної інформації, знання якої передбачає володіння певним ресурсом в мережі. Отримавши введень користувачем логін і пароль, комп'ютер порівнює їх зі значенням, яку зберігається в спеціальній захищеній базі даних і, у випадку успішної автентифікації проводити авторизацію з подальшим допуском користувача до роботи в системі.
Одночасно з використанням традиційної автентифікації за допомогою пароля паралельно, за необхідності, використовується багатофакторна автентифікація - на основі двох чи більше факторів. У цьому випадку для автентифікації використовується не лише інформація, яка є відомою користувачеві, а й інші додаткові фактори, наприклад:
- властивість, якою володіє суб' єкт (біометрична автентифікація);
- знання - інформація, якові знає суб' єкт (парольна автентифікація);
- володіння - річ, або унікальний предмет, яким володіє суб' єкт (токен, смарт-карта або криптографічний сертифікат).
Особливого значення автентифікація набуває при доступі до таких інтернет сервісів, як: електронна пошта; веб-форуми; соціальні мережі; інтернет - банкінг; платіжні системи; корпоративні сайти; інтернeт- магазини. Позитивним результатом автентифікації є авторизація користувачатобто надання йому прав доступу до ресурсів, визначених для виконання його завдань. Поклад від важливості ресурсу, для доступу до нього можуть застосовуватися різні методи автентифікації : базова автентифікація, дайджест автентифікація, автентифікація по пред'явленню цифрового сертифікату, використання смарт-карт і USB - ключів, децентралізована автентифікація, відстежування автентифікації самим користувачем, багатофакторна автентифікація.
Авторизація передбачає керування рівнями та засобами доступу користувача авторизації до об' єкта, захищеного авторизацією, як у фізичному розумінні (доступ до кімнати готелю за карткою), так і в галузі цифрових технологій (наприклад, автоматизована система контролю доступу) та ресурсів системи поклад від ідентифікатора і пароля користувача або надання певних повноважень (особі, програмі) на виконання деяких дій у системі обробки даних).
Наряду з мінімально необхідним обов'язковим використанням паролів, що регулярно змінюються, Директиви 95/46/ЄС, 97/66/ЄС Європарламенту та Заради Європи також вимагають регулярного перегляданню прав доступу.
Олексій Мервінський, голова Державної служби України з питань захисту персональних даних
Також читайте статтю "Як здійснювати роботу по Типовому порядку обробки персональних даних? (ч.1)" .
