Защита информации и персональных данных

Справочная информация о сертифицированных программных продуктах, а также о хранении персональных данных и конфиденциальной информации

- Терминология
- Перечень средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации
- Меры, применяемые за нарушение правил работы с персональными данными
- Перечень нормативных документов
- Дистрибутивы ALT Linux, имеющие сертификат ФСТЭК
- Общая информация о продуктах ALT Linux, сертифицированных ФСТЭК
 
С 2010 года каждая организация, являющаяся оператором персональных данных, обязана заявить о себе и пройти аттестацию. Одним из условий прохождения аттестации является использование сертифицированных программных продуктов в рабочей системе оператора.
 

Терминология:

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
 
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
 
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания
 

Перечень средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации

  1. Технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении.
  2. Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности.
  3. Средства контроля эффективности применения средств защиты информации.
  4. Защищенные программные средства обработки информации.
  5. Программные средства общего назначения.

 

Меры, применяемые за нарушение правил работы с персональными данными

Федеральный закон определяет, что лица, виновные в нарушении его требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
 
В Кодексе об административных правонарушениях есть статья 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)».
 
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
 

Перечень нормативных документов:

  1. Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"
  2. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"
  3. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных

Дистрибутивы ALT Linux, имеющие сертификат ФСТЭК

Актуальные дистрибутивы с действующим сертификатом:

1. Альт Линукс СПТ 6.0 для Сервера и Рабочей станции

Сертификат ФСТЭК № 2317 от 18.04.2011 продлен до 18.04.2017

Альт Линукс СПТ 6.0 — унифицированный дистрибутив для серверов и рабочих станций с встроенными программными средствами защиты информации, сертифицированными ФСТЭК России:

4 класс защиты средств вычислительной техники от несанкционированного доступа

3 уровень контроля отсутствия недекларированных возможностей.

Дистрибутив для работы с персональными данными, служебной и конфиденциальной информацией, а также гостайной. Может быть использован для разработки автоматизированных систем с классом защищенности по 1В включительно и систем защиты персональных данных по К1 включительно.

Подробнее о продукте

2. Система автоматизированного сбора статистики

Сертификат ФСТЭК № 2859 от 29 марта 2013 года

3 уровень контроля отсутствия недекларированных возможностей.

САСС - система автоматизированного сбора статистики позволяет автоматизировать работу по сбору отчетных данных различных аппаратных и программных компонентов рабочих станций, а также осуществлять дистанционную настройку параметров рабочих станций под управлением ОС Альт Линукс СПТ 6.0 (сертифицированная ФСТЭК версия). САСС сертифицированный ФСТЭК

Подробнее о продукте

Ранее сертифицированные комплекты:

ALT Linux 4.0 Server Edition. Сертификат ФСТЭК 2007 г.

ALT Linux 4.0 Desktop Professional. Сертификат ФСТЭК 2008 г.

ИВК «Кольчуга». Сертификат ФСТЭК 2004 г.

ЗИС «Утёс-К». Сертификат Гостехкомиссии 2003 г.

Примечание: По требованию ФСТЭК на один компьютер можно установить только один сертифицированный комплект. Сертифицированным считается только экземпляр дистрибутива, изготовленный на сертифицированном производстве.

Терминология

Недекларированные возможности (НДВ)- функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
 
Четвертый уровень НДВ достаточен для ПО, используемого при защите конфиденциальной информации .
 
СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

4 класс СВТ и 3 класс НДВ позволяют использовать программное обеспечение не только для защиты персональных данных, но и для защиты государственной тайны с грифом "Секретно".

 

Перечень нормативных документов

Руководящий документ. «Защита от несанкционированного доступа к информации» Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

Руководящий документ. «Средства вычислительной техники Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»

Общая информация о продуктах ALT Linux, сертифицированных ФСТЭК

Для кого предназначены сертифицированные продукты? Круг потенциальных покупателей достаточно широк.

  • Всем организациям, котором нужно сертифицированное ПО. Это многие государственные учреждения, оборонные предприятия и т.д.
  • Всем организациям, работающим с конфиденциальной информацией и 
    персональными данными. Под эту категорию попадают практически все фирмы, имеющие базу данных паспортов, номеров сотовых телефонов (туристические фирмы, страховые компании, банки и т.д.), фирмы, проводящие анкетирование.