none
Возможна ли защита персональных данных средствами встроенных средств Windows? RRS feed

  • Общие обсуждения

  • Добрый день уважаемые коллеги! Вопрос о персональных данных :)

    Своими силами строим классическую клиент-серверную информационную систему (БД и клиентское приложение), в БД которой будут храниться ПД. Есть желание соответствовать требованиям регуляторов и проверяющих органов, которые могут устроить проверку нашей ИС на соответствие закону о ПД. Поэтому обратились за консультацией к одному из системных интеграторов, чтобы нас проконсультировали на этапе создания архитектуры решения. Представители интегратора заявили, что встроенные средства Windows Server 2008 R2, Windows 7, SQL Server 2008 R2 и TMG, такие как - брандмауэр, антивирус, центр сертификации (CA), VPN, средства шифрования и резервного копирования не имеют сертификации ФСТЭК и ФСБ нужного уровня и для построения ИС хранящей ПД не подходят. Поэтому нужно именно сертифицированное ПО и железо и предложили использовать (приобрести) СрЗИ Security Studio Endpoint Protection, Блокхост-сетьК, eToken'ы от Аладдин, КриптоПРО CSP, крипто шлюз CSP VPN Gate 100, CSP VPN Client и другие программные и аппаратные решения, которое ни приобретать ни поддерживать в будущем не хочется. Зачем? Если все те же функции может выполнять встроенное ПО.

    Помогите разобраться, где же правда? Как же заявления Microsoft о том, что их продукты (Windows 7, Windows Server 2008 R2, SQL Server 2008получили сертификаты ФСТЭК и ФСБ позволяющие им работать с конфиденциальной информацией? Можем ли мы все-таки построить ИС с помощью встроенных средств Windows и не получить по голове от проверяющих органов или это невозможно несмотря на заявления Microsoft?

    • Изменен тип Yuriy Lenchenkov 28 сентября 2012 г. 11:29 обсуждение возможности защиты персональных данных в ОС Windows
    19 сентября 2012 г. 14:51

Все ответы

  • средства шифрования (включая CA, vpn и прочее) у windows точно не имеют сертификатов, достаточно посмотреть список сертифицированных СКЗИ на сайте ФСБ.
    по поводу антивируса и брандмауэра скорее всего тоже самое - я не видел у windows сертификации на антивирус и МСЭ. а как ОС windows может быть сертифицирована, но ОС не заменяет другие средства защиты.

    прежде чем выбирать архтектуру и продукты, надо сначала провести полный аудит и составить классификацию всех Пдн, потом всех ИСПДн, а потом уже думать как и чем эти ИСПДн защищать.
    я например не знаю зачем вам блокхост-сеть, етокены и криптопро

    19 сентября 2012 г. 16:52
    Модератор
  • Как же заявления Microsoft о том, что их продукты (Windows 7, Windows Server 2008 R2, SQL Server 2008получили сертификаты ФСТЭК и ФСБ позволяющие им работать с конфиденциальной информацией?

    Вы путаете конфиденциальную информацию и персональные данные. ;-) Грубо говоря, персональные данные - это подмножество конфиденциальной информации. Точнее - подкласс.

    Сертификаты ФСТЭК на операционные системы есть, но! Это не значит, что купив коробочный (или ОЕМ, или OL) продукт, вы получаете сертифицированную систему. Чтобы у Вас была сертифицированная система, нужно покупать её у кого надо и с чем надо.

    Например, на Windows Server 2008 R2 есть сертификат 2181, в котором сказано:

    Соответствие требованиям РД: Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно. Ограничения по применению Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке системы". Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

    Обратите внимание на выделенное.

    Так что, у Вас два варианта: или довериться интегратору, заплатив деньги, или... сделать систему не содержащую персональных данных. ;-)


    Сергей Панченко

    20 сентября 2012 г. 3:59
  • прежде чем выбирать архтектуру и продукты, надо сначала провести полный аудит и составить классификацию всех Пдн, потом всех ИСПДн, а потом уже думать как и чем эти ИСПДн защищать.

    я например не знаю зачем вам блокхост-сеть, етокены и криптопро

    Аудит был проведен и по заключению интегратора, ИСПДн и ПДн относятся к К1.

    20 сентября 2012 г. 15:06
  • даже К1? медучреждение что ли? даже финансовые и кредитные организации с миллиардными оборотами сводят в К2

    20 сентября 2012 г. 17:15
    Модератор
  • даже К1? медучреждение что ли? даже финансовые и кредитные организации с миллиардными оборотами сводят в К2

    Да, по результатам аудита К1. Рост и вес хранятся в БД.
    20 сентября 2012 г. 17:30
  • Коллеги, подскажите, а если категория ИСПДн не к1, а к2, то таки возможна ли защита персональных данных средствами встроенных средств Windows? А если нет, то почему?

    В требованиях к классам ИСПДн говорится о сертифицированных средствах защиты. Насколько я понял, такие системы Windows как антивирус, МСЭ, ЦА и др. не входят список сертифицированных средств защиты? Где кстати можно увидеть этот список? И где сказано, что эти элементы ОС являются какими-то отдельными автономными системами и должны рассматриваться отдельно от ОС? В сертификате 2181 на Windows Server 2008 R2 говорится, что если ОС приобретена у указанных поставщиков и настройка произведена согласно руководству по настройке системы, то ОС можно можно применять при создании ИСПДн до 2-го класса включительно.

    21 сентября 2012 г. 8:02
  • Вы поймите, что сертифицирована должна быть система в целом. Нельзя купить отдельные сертифицированные компоненты, сложить их в кучку и получить сертифицированную систему. Чтобы получить сертификат на всю систему, да, необходимо, чтобы каждый из компонентов был сертифицирован. Но даже если все компоненты сертифицированы, это не означает, что система автоматически приобретает статус сертифицированной. Процесс сертификации нужно всё равно проходить.

    Или купить у поставщика, имеющего необходимые лицензии, готовое сертифицированное решение (какой-нибудь "Программно-аппаратный комплекс БАЗА РОСТОВ и ВЕСОВ").

    Вот, допустим, хотите Вы иметь автомобиль MERSEDES-BENZ S600. Если Вы закажете полный набор оригинальных деталек и сами соберёте из них автомобиль, на учёт в ГАИ Вы его не поставите. Потому что это будет не автомобиль, а набор деталек, собранных воедино, не смотря на то, что каждая деталька - оригинальная, от Мерседеса. Так и тут.


    Сергей Панченко

    21 сентября 2012 г. 8:27
  • все верно, использовать для создания испдн windows 2008 r2 можно, но только как операционную систему. сертификации как МСЭ, антивируса и тем более СКЗИ у нее нет (фстэк не может давать сертификацию на СКЗИ, только ФСБ, а она не даст )). то есть ты можешь использовать windows как платформу, sql как субд, iis для веб сайта и т.д. но когда речь пойдет о СЗИ с тебя попросят сертифицированный МСЭ, СПВ, контроль целостности файлов систем, конфигураций и данных, сканер или систему по поиску уязвимостей,могут попросить двуфакторную аутентификацию, физическую защиту пк и серверов от НСД (чтобы не загрузились с диска и не получили доступа к данным) и еще кучу всего.
    интегратор по идее должен был разработать план защиты с рекомендациями и предложить на рассмотрение.
    21 сентября 2012 г. 9:39
    Модератор
  • Я и не говорю, что против прохождения сертификации системы. Я больше о том, что против приобретения и внедрения сертифицированного ПО перечисленного в первом посте, т.к. появление подобного ПО в инфраструктуре значительно увеличит расходы на её администрирование. И интерес мой в том, чтобы узнать, реально ли самим построить ИСПДн, используя встроенные в Windows технологии и после этого пройти сертификацию по К2 или нет?
    21 сентября 2012 г. 10:14
  • реально ли самим построить ИСПДн, используя встроенные в Windows технологии и после этого пройти сертификацию по К2 или нет?
    Если использовать ТОЛЬКО встроенные в Windows технологии, то НЕ РЕАЛЬНО. По крайней мере, для Вас, на данном этапе развития.

    Сергей Панченко

    21 сентября 2012 г. 10:22
  • Если использовать ТОЛЬКО встроенные в Windows технологии, то НЕ РЕАЛЬНО. По крайней мере, для Вас, на данном этапе развития.


    Сергей Панченко

    Для нас не реально? ;) Ну хорошо, давайте тогда возьмем не нас (с нашим невысоким уровнем развития), а какую-нибудь другую более развитую компанию. Эта гипотетическая компания сможет самостоятельно построить ИСПДн и сертифицировать её, используя встроенные в Windows технологии? Если нет, то почему? Где говорится о том, что МСЭ и другие технологии встроенные в ОС рассматриваются как отдельные системы, которые должны быть сертифицированы?
    21 сентября 2012 г. 10:31
  • гипотетическая компания сможет самостоятельно построить ИСПДн и сертифицировать её, используя встроенные в Windows технологии?

    Ну, например, ЭТОТ САЙТ смог. ;-)

    Я не утверждаю, что он сделан исключительно на технологиях Microsoft. Это просто намёк.


    Сергей Панченко

    21 сентября 2012 г. 10:51
  • не надо путать понятия ОС и ОС+куча программ в комплекте, винда сертифицирована как ОС, сертификации МСЭ (как у cisco asa например) у нее нет, собственно как и самого МСЭ (то убожество что называется "брандмауэр windows" точно на МСЭ не тянет, даже на 4й класс ))), антивируса у нее встроенного тоже по сути нет, криптография само собо отпадает, об этом я писал выше. простая аналогия: cisco asa (также кстати как MS ISA) сертифицирована ФСТЭК как МСЭ, и хотя в ней (при софте К9) есть отличный VPN со всеми средствами шифрования, сертификата СКЗИ от ФСБ она не имеет, и поэтому ее vpn не может использоваться как сертифицированный, то есть наличие у продукта сертификата одной категории не означает использование продукта в других как сертифицированного
    21 сентября 2012 г. 11:17
    Модератор
  • гипотетическая компания сможет самостоятельно построить ИСПДн и сертифицировать её, используя встроенные в Windows технологии?

    Ну, например, ЭТОТ САЙТ смог. ;-)

    Я не утверждаю, что он сделан исключительно на технологиях Microsoft. Это просто намёк.


    Сергей Панченко


    а есть уверенность что сайт снаружи не защищен другими сертифицированными  МСЭ+СПВ? что на нем "встроенный антивирус windows"?
    21 сентября 2012 г. 11:20
    Модератор
  • а есть уверенность что сайт снаружи не защищен другими....

    Повторю: Я не утверждаю, что он сделан исключительно на технологиях Microsoft.

    Сергей Панченко

    21 сентября 2012 г. 11:32
  • перевел в обсуждение, имхо более соответствует такой тип содержимому темы

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    28 сентября 2012 г. 11:30
  • Нашел интересную ссылку "Защита Персональных данных на платформе безопасности Microsoft".

    Цитата:

    Требования к подсистеме межсетевого экранирования предъявляются при наличии подключения ИСПДн к внешним сетям или сетям общего доступа (Internet). Встроенные меха­низмы ОС Microsoft, обеспечивающие безопасное межсетевое взаимодействие или повышающие его безопасность (брандмауэр, технология NAP и др.), в ка­честве межсетевых экранов (МЭ) использованы быть не могут. Несмотря на то, что эти средства входят в состав сертифицированных версий ОС, они не про­ходили сертификацию на соответствие специальным требованиям, предъявляемым Руководящими документами  ФСТЭК России к МЭ. 

    Для защиты ИСПДн необходимо использовать сертифицированные МЭ не ниже 4 класса, например - Microsoft  ISA Server 2006. Данный МЭ соответствует требованиям  4 –му  (3-му  с ограничениями)  классу  МЭ и выполняет все требования, предъявляемые к подсистеме межсетевого экрани­рования  ИСПДн 2-го класса.
    • Изменено Vashchukov 4 октября 2012 г. 7:18
    4 октября 2012 г. 7:11
  • Здравствуйте, подскажите вот что, есть сертифицированная ОС Windows 7, есть документ, регламентирующий какие настройки должны применяться, чтобы ОС соответствовала требованиям, вот только в документе есть 2 редакции настроек Enterprise и SSLF. Все-таки, касаемо проектов по защите ПД в системах ИСПДН вплоть до К1 какие настройки должны быть?

    Спасибо!

    24 октября 2012 г. 13:25