Другий розділ Типового порядку обробки персональних даних в базах персональних даних (далі - Типовий порядок) присвячений питанням обробки персональних даних у складі інформаційної (автоматизованої) системи.
При цьому, у відповідності до вимог Закону «Про захист персональних даних» та Типового порядку, володілець (розпорядник) бази персональних даних обробляє персональні дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних відповідно до вимог закону.
У пункті 2.2 Типового порядку зазначається, що обробка персональних даних в інформаційній (автоматизованій) системі може здійснюватись у складі інформаційно-телекомунікаційної системи із застосуванням засобів мережевого захисту від несанкціонованого доступу під час обробки персональних даних.
Загалом, до засобів мережевого захисту відносяться:
- міжмережеві екрани - для блокування атак з зовнішнього середовища. Вони керують проходженням мережевого трафіку відповідно до встановлених володільцем (розпорядником) правил захисту. Як правило, міжмережеві екрани встановлюються на вході мережі і розділяють внутрішні (приватні) та зовнішні (загального доступу) мережі;
- системи виявлення втручань - для виявлення спроб несанкціонованого доступу як ззовні, так і всередині мережі, захисту від атак типу «відмова в обслуговуванні». Використовуючи спеціальні механізми, системи виявлення вторгнень здатні попереджувати шкідливі дії, що дозволяє значно знизити час простою внаслідок атаки і витрати на підтримку працездатності мережі;
- засоби створення віртуальних приватних мереж - для організації захищених каналів передачі даних через незахищене середовище забезпечують прозоре для користувача сполучення локальних мереж, зберігаючи при цьому конфіденційність та цілісність інформації шляхом її динамічного шифрування;
- засоби аналізу захищеності - для аналізу захищеності корпоративної мережі та виявлення можливих каналів реалізації загроз інформації. Їх застосування дозволяє попередити можливі атаки на корпоративну мережу, оптимізувати витрати на захист інформації та контролювати поточний стан захищеності мережі.
Проте, застосування жодного із зазначених засобів не є необхідною умовою включення їх до складу комплексної системи захисту інформації, що може створюватися в інформаційних (автоматизованих) системах на виконання вимог Закону «Про захист інформації в інформаційно-телекомунікаційних системах».
Крім того, у відповідності до положень Директив 95/46/ЄС, 97/66/ЄС Європарламенту та Ради Європи юридичні, нормативні та технічні вимоги, які регламентують забезпечення захисту персональних даних, прав фізичних осіб та законних інтересів юридичних осіб, повинні бути чітко збалансованими та не створювати перешкод для розвитку ринку. Досягнення такого балансу є можливим при висуненні обмеженої та обґрунтованої кількості вимог, що не перешкоджають розвитку новітніх технологій та функціонуванню баз персональних даних.
Також у відповідності до вимог Директив 95/46/ЄС, 97/66/ЄС Європарламенту та Ради Європи володільці баз персональних даних за сприяння Уповноваженого державного органу з питань захисту персональних даних повинні співробітничати у процесі впровадження та розвитку відповідних технологій там, де це необхідно для надання гарантій захисту прав фізичних осіб.
В країнах Євросоюзу визнання заходів, які можна вважати адекватними для забезпечення захисту, віднесено до компетенції уповноважених державних органів з питань захисту персональних даних, в тому числі й шляхом відповідних публікації та оприлюднень.
Загальноєвропейський підхід у цьому напрямі полягає в тому, що уповноважені державні органи з питань захисту персональних даних пропонують володільцям баз персональних даних самостійно визначати відповідні заходи захисту з урахуванням насамперед:
- можливого рівня ризику, пов'язаного з обробкою персональних даних в інформаційній (автоматизованій) системі;
- природи та обсягів персональних даних, що обробляються в інформаційній (автоматизованій) системі;
- вартості робіт, які витрачаються на впровадження заходів захисту в інформаційній (автоматизованій) системі;
- характеристик інформаційних (автоматизованих) систем володільців та/або розпорядників баз персональних даних тощо.
Проте, у більшості випадків від володільців баз персональних даних не вимагається застосування спеціальних заходів захисту, окрім загальноприйнятих (описаних зокрема в стандартах ISO/IEC 27001). Також, у більшості випадків, підкреслюється необхідність наявності відповідної системи управління захистом персональних даних на підприємстві (установі, організації) та навчання персоналу, який організовує роботу, пов'язану із захистом персональних даних на підприємстві (установі, організації) при їх обробці. У зв'язку з цим також варто наголосити на тому, що з метою застосування положень Закону «Про захист персональних даних» та Типового положення, забезпечення ефективного захисту прав суб'єктів персональних даних, сприянню додержанню законодавства, враховуючи специфіку обробки персональних даних у різних сферах, можуть розроблятися корпоративні кодекси поведінки (кодекси практики) з обробки персональних даних.
Остаточний вибір конкретних заходів захисту, технічних рішень, та стандартів, якими необхідно керуватися, архітектур інформаційних систем залишається в межах компетенції володільця баз. Так само в компетенції володільця знаходиться й безпосередня оцінка ризиків порушень безпеки даних.
Окрім того, в Нормативному документі системи технічного захисту інформації (НД ТЗІ 2.5-004-99) «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» деякі питання щодо захисту персональних даних, зокрема послуги ідентифікації, автентифікації, можна розглядати у відповідності до функціонального критерію «Спостереженість».
Проте, інші послуги, які становлять предмет послуг спостережності і керованості, у відповідності до НД ТЗІ 2.5-004-99 згідно вимог Типового порядку необхідно вживати виважено та помірковано.
Так, на відміну від вимог НД ТЗІ (зовнішній аналіз, захищений журнал, сигналізація про небезпеку, детальна реєстрація, аналіз в реальному часі), Типовим порядком чітко прописані всі можливі дії, які можуть здійснюватися в інформаційній (автоматизованій) системі щодо реєстрації:
- результатів ідентифікації та/або автентифікації працівників;
- дії з обробки персональних даних;
- факту встановлення ознаки «Підтвердження надання згоди на обробку персональних даних» за допомогою управляючих елементів веб-ресурсів, інтерфейсів користувача програмного забезпечення.
Всі зазначені Типовим порядком дії щодо захисту персональних даних при їх обробці в інформаційній (автоматизованій) системі вимоги значно звужують питання, які складають вимоги щодо спостережності та контролю за діями користувачів або легальністю доступу, передбачені зазначеними Критеріями НД ТЗІ.
А питання керованості, зокрема, достовірного каналу, самотестування, визначення спроможності комплексу засобів захисту виконувати свої функції, цілісність комплексу засобів навіть не передбачаються Типовим порядком. Так само Типовим порядком взагалі не передбачується необхідність створення комплексу засобів захисту в базах персональних даних при їх обробці у складі інформаційної (автоматизованої) системи.
Проте, забезпечення конфіденційності персональних даних може бути здійснено через реалізацію функціональних послуг спостережності відповідно до НД ТЗІ 2.5-005-99 «Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформаційних від несанкціонованого доступу».
Особливо слід наголосити на тому, що передбачені Критеріями питання розподілу обов'язків взагалі не враховують розподіл обов'язків з урахуванням питань захисту персональних даних та завдань відповідальної особи або структурного підрозділу, які організовують роботу, пов'язану із захистом персональних даних при їх обробці на підприємстві (установі, організації), відповідно до закону.
У Типовому порядку також вживається термін «відмова в обслуговуванні», який є близьким до терміну «стійкість до відмов» як послуга, що є складовою критерію «Доступності», і який є більш широким тому значенні, що гарантує доступність комп'ютерної системи (в контексті зазначеного документу НД ТЗІ) після відмови її компонента і тому потребує невиправданих додаткових витрат володільців та/або розпорядників баз персональних даних на його реалізацію.
Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп'ютерній системі, НД ТЗІ 2.5-004-99 містить обов'язкові критерії гарантій, що дозволяють оцінити коректність реалізації послуг. Зазначені Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.
В цих Критеріях вводиться сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відображає поступово наростаючу міру впевності в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, в свою чергу коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації комп'ютерної системи.
Все зазначене свідчить про те, що зазначені критерії гарантій є надзвичайно надмірними стосовно обробки персональних даних в складі інформаційної (автоматизованої) системи.
Саме тому зазначені Критерії можуть застосовуватися до всього спектра комп'ютерних систем, включаючи однорідні системи, багатопроцесорні системи, бази даних, вбудовані системи, розподілені системи, мережі, об'єктно-орієнтовані системи та інші, але не можуть бути застосовані для оцінювання надійності впроваджених механізмів захисту від незаконного доступу під час обробки персональних даних в базах персональних даних.
Значна увага у Типовому порядку в питаннях обробки персональних даних в складі інформаційної (автоматизованої) системи приділяється питанням ідентифікації, автентифікації та авторизації.
Проте, у порівнянні з аналогічними заходами зазначених Критеріїв, де ці питання розглядаються як ідентифікація і автентифікація при обміні (але винятково за умови створення комплексу засобів захисту), автентифікація відправника (захист від відмови авторства) та отримувача (захист від відмови від одержання), у Типовому порядку зазначені процедури значно спрощені.
В Критеріях НД ТЗІ рівні даної послуги ранжируються залежно від числа задіяних механізмів автентифікації (зовнішня, одиночна або множинна ідентифікація і автентифікація), а обов'язковою умовою Критеріїв є забезпечення можливості однозначного підтвердження протоколу автентифікації незалежною третьою стороною, що реалізовується, і що також виходить поза межі сфери дії Закону «Про захист персональних даних» та відповідних нормативно-правових актів..
У відповідності до вимог Типового порядку ідентифікація є початковою процедурою надання доступу до системи. Після неї здійснюється автентифікація та авторизація.
Ідентифікація дозволяє користувачу, або процесу, який діє від імені певного користувача) повідомити своє ім'я за допомогою унікального параметра - ідентифікатора (наприклад, логін), який є відомим іншій стороні.
В разі успішної ідентифікації відбувається автентифікація. Шляхом автентифікації інша сторона переконується що суб'єкт саме той за кого він себе видає (використовується пароль у випадку парольної автентифікації або інший параметр, наприклад цифровий підпис).
Один із способів автентифікації полягає у попередній ідентифікації на основі ідентифікатора користувача (логіна - реєстраційного імені користувача) і пароля - певної конфіденційної інформації, знання якої передбачає володіння певним ресурсом в мережі. Отримавши введений користувачем логін и пароль, комп'ютер порівнює їх зі значенням, яке зберігається в спеціальній захищеній базі даних і, у випадку успішної автентифікації проводить авторизацію з подальшим допуском користувача до роботи в системі.
Одночасно з використанням традиційної автентифікації за допомогою пароля паралельно, за необхідності, використовується багатофакторна автентифікація - на основі двох чи більше факторів. В цьому випадку для автентифікації використовується не лише інформація, яка є відомою користувачеві, а й інші додаткові фактори, наприклад:
- властивість, якою володіє суб'єкт (біометрична автентифікація);
- знання - інформація, яку знає суб'єкт (парольна автентифікація);
- володіння - річ, або унікальний предмет, яким володіє суб'єкт (токен, смарт-карта або криптографічний сертифікат).
Особливого значення автентифікація набуває при доступі до таких інтернет сервісів, як: електронна пошта; веб-форуми; соціальні мережі; інтернет-банкінг; платіжні системи; корпоративні сайти; інтернeт-магазини. Позитивним результатом автентифікації є авторизація користувача, тобто надання йому прав доступу до ресурсів, визначених для виконання його завдань. Залежно від важливості ресурсу, для доступу до нього можуть застосовуватися різні методи автентифікації: базова автентифікація, дайджест автентифікація, автентифікація по пред'явленню цифрового сертифікату, використання смарт-карт і USB-ключів, децентралізована автентифікація, відстежування автентифікації самим користувачем, багатофакторна автентифікація.
Авторизація передбачає керування рівнями та засобами доступу користувача авторизації до об'єкта, захищеного авторизацією, як в фізичному розумінні (доступ до кімнати готелю за карткою), так і в галузі цифрових технологій (наприклад, автоматизована система контролю доступу) та ресурсів системи залежно від ідентифікатора і пароля користувача або надання певних повноважень (особі, програмі) на виконання деяких дій у системі обробки даних).
Наряду з мінімально необхідним обов'язковим використанням паролів, що регулярно змінюються, Директиви 95/46/ЄС, 97/66/ЄС Європарламенту та Ради Європи також вимагають регулярного перегляду прав доступу.
Олексій Мервінський, голова Державної служби України з питань захисту персональних даних
Также читайте статью «Как осуществлять работу по Типовому порядку обработки персональных данных? (ч.1)» .