Пример решения: Проектирование системы защиты персональных данных телекоммуникационного оператора

Компания «Инфорион» разработала технический проект системы обеспечения информационной безопасности (СОИБ) одной из центральных систем OSS/BSS крупного оператора связи. Частью системы обеспечения информационной безопасности является система защиты персональных данных (СЗПДн), разработанная в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и иных нормативно-правовых актов в сфере защиты субъектов персональных данных.

О заказчике

Проект выполнен в интересах одной из крупнейших телекоммуникационных компаний России, ведущего оператора фиксированной связи в масштабах федерального округа с населением 13,5 млн. человек.  Уровень цифровизации местной сети – 61,5%. Монтированная емкость оборудования широкополосного доступа превышает 500 тыс. хDSL-портов. В компании работает более 22 тысяч сотрудников.

Задачи проекта

Внедрение в ИТ-инфраструктуре телекоммуникационной компании новой системы OSS/BSS, ориентированной на повышение качества обслуживания абонентов и автоматизацию целого ряда важнейших бизнес-процессов, потребовало уделить должное внимание вопросам обеспечения информационной безопасности, поскольку система заняла одну из ключевых позиций в производственной деятельности компании. Дополнительным фактором риска явилось наличие во вновь создаваемой информационной системе значительного объема персональных данных, необходимость защиты которых явно указана в действующем законодательстве. Таким образом, при выполнении проекта решались две важнейшие задачи: обеспечение информационной безопасности (конфиденциальности, целостности, доступности) информационной системы и дополнительная защита обрабатываемых в ней персональных данных в рамках выполнения требований действующего законодательства.

Решение

Помимо значительного масштаба объекта защиты (большое количество разнообразного сложного оборудования и приложений, несколько сотен пользователей, наличие удаленных технологических площадок, значительная сетевая инфраструктура) важное значение с точки зрения проектирования системы безопасности играло то обстоятельство, что в системе планировалось обрабатывать персональные данные (ПДн). Эта особенность и задала основной вектор проектирования СОИБ, который был сформулирован следующим образом: ввиду наличия требований к обеспечению информационной безопасности (ИБ) системы в целом и требований к защите ПДн в составе СОИБ разрабатывается система защиты персональных данных (СЗПДн). При этом, разумеется, соблюдаются все требования законодательства по защите ПДн.

Ход проекта

Для выполнения работ была создана рабочая группа, состоящая из представителей компании-заказчика, компании-головного исполнителя работ по защищаемой системе и компании-интегратора в области информационной безопасности.

В период проектирования СОИБ защищаемая система находилась в стадии разработки. Это обстоятельство отразилось на ходе проекта и выразилось в сложности получения необходимого объема исходных данных, поскольку следствием нахождения информационной системы в стадии «активная разработка» явилась низкая степень документированности архитектуры и технических решений, постоянные пересогласования вариантов интеграции составных частей, отсутствие ясности в организационных вопросах и тому подобные факторы, влияющие в конечном итоге на качество выполнения работ по защите информации. Для минимизации рисков, сопровождающих подобную ситуацию, было введено т.н. «запаздывающее» планирование работ по направлению ИБ, когда проектирование СОИБ выполнялось с некоторой задержкой (2-3 недели) относительно разработки самого объекта защиты. Кроме того, проектировщики СОИБ буквально «погрузились» в техпроект защищаемой системы, для чего потребовалось привлечь группу самых высококвалифицированных экспертов, обладающих необходимыми знаниями в ИТ-сфере, а так же уделить особое внимание координации работ и взаимодействию с целым рядом рабочих коллективов, занятых в создании ИС (в том числе в рамках нескольких независимых компаний).

В конечном итоге приложенные на начальной стадии работ усилия по сбору исходных данных позволили в заданные сроки осуществить разработку необходимых технических решений и организационных мер по защите информации.

Технические компоненты решения

Создание СЗПДн, пусть и в рамках более масштабной СОИБ, требовало соблюдения всех установок, заложенных в федеральное законодательство и методические документы регуляторов. Для того, чтобы адекватно реализовывать такие установки именно там, где это необходимо, потребовалось произвести уточнение границ объекта защиты. На основе определения, приведенного в Федеральном законе № 152-ФЗ «О персональных данных» были четко выделены и зафиксированы те элементы защищаемой ИС, которые образуют информационную систему персональных данных (ИСПДн). Как и следовало ожидать, границы ИСПДн не совпали с границами ИС в целом. Это обстоятельство позволило отказаться от некоторых избыточных технических решений, поскольку необходимость обеспечивать выполнение требований по защите ПДн в масштабах всей ИС сменилась необходимостью реализовать эти требования только в рамках ИСПДн как ее составной части. Дальнейшее проектирование СОИБ велось с учетом наличия в ней СЗПДн, а так же принципа «СОИБ – для защиты ИС в целом, СЗПДн – для защиты ИСПДн, сформированной в составе ИС».

Важный вопрос, который потребовалось решить совместно с оператором – установление необходимости обработки ПДн и определение их перечня. В рамках проектируемой СОИБ/СЗПДн необходимость обработки персональных данных продиктована как технологией обслуживания клиентов, так и положениями федерального закона № 126-ФЗ «О связи», устанавливающего возможность обработки телекоммуникационной компанией информации об абонентах. Положения статьи 53 упомянутого закона легли в основу перечня персональных данных, обрабатываемых в защищаемой ИСПДн, зафиксировавшего состав ПДн и правовые основания для их обработки.

Во главу угла при выполнении работ по защите ПДн ставится классификация ИСПДн. Разумеется, при создании СОИБ, имеющей в своем составе СЗПДн, это мероприятие в отношении последней имеет статус обязательного. Группа проектирования совместно со специалистами заказчика пришла к выводу, что защищаемая ИСПДн является специальной, поскольку в ней вне зависимости от необходимости обеспечения конфиденциальности ПДн требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности. Составленная в соответствии с методическими документами ФСТЭК частная модель угроз безопасности ПДн позволила, во-первых, адекватно определить класс системы и, во-вторых, выделить именно те угрозы, которые являются актуальными и от которых следует защищаться.

Собственно техническое проектирование СОИБ/СЗПДн проведено в классическом, хорошо зарекомендовавшем себя стиле, на основе выбора оптимальных вариантов реализации тех или иных подсистем (сервисов) информационной безопасности. Проблем с выбором сертифицированных СЗИ, отвечающих перечню актуальных угроз ПДн, так же не возникло: на рынке представлено достаточно большое число решений, и проектировщикам осталось подобрать наиболее подходящее по требованиям и условиям применения.

Особенностью рассматриваемого примера явилась разработка двух групп технических решений по обеспечению ИБ. Первая группа решений ориентировалась на защиту центрального ядра системы и головного филиала оператора, вторая – на защиту типового регионального филиала (их в структуре бизнеса насчитывается девять).

Знание существующей у заказчика системы мер по защите информации позволило использовать уже имеющиеся СЗИ и нормативные документы во вновь создаваемой системе обеспечения безопасности и тем самым снизить конечную стоимость СОИБ и длительность ее разработки, а так же избежать излишних трудностей для оператора при внедрении новых, ранее не использовавшихся СЗИ.

Важное место в проекте отведено организационным мерам, для чего были разработаны необходимые нормативные документы. Поскольку система защиты создавалась не в «чистом поле», важным моментом явилась гармоничная интеграция вновь разрабатываемых документов в существующую нормативную базу заказчика. Подробная информация об имеющихся в организации документах в области защиты информации не только обеспечила построение целостной взаимодополняющей нормативной базы, но и позволила использовать существующие положения при подготовке новых документов по защите информации, включая ПДн. Разумеется, особенности выполнения проекта, связанные с «инкапсуляцией» СЗПДн в СОИБ, внесли свой вклад в нормативную составляющую: помимо документов, обязательных к разработке и определенных требованиями ФСТЭК, были подготовлены дополнительные руководства, например – частная политика ИБ защищаемой системы.

Результаты проекта

В ходе выполнения работ подготовлен законченный технический проект системы обеспечения информационной безопасности с входящей в ее состав системой защиты персональных данных. Помимо документов технического уровня разработана необходимая нормативная база, включающая положения, регламенты и инструкции, ориентированные на обеспечение информационной безопасности и защиту персональных данных. Разработана частная модель угроз безопасности ПДн, а информационной системе персональных данных присвоен соответствующий класс. Кроме того, в состав технического проекта включены предложения по модернизации ИТ-инфраструктуры заказчика. Технический проект СОИБ/СЗПДн прошел экспертизу в организации, аккредитованной ФСТЭК в качестве аттестационного центра и получил положительное заключение о возможности проведения аттестации объекта информатизации по требованиям безопасности информации. Таким образом, проекту системы дан «зеленый свет» к реализации и запуску в коммерческую эксплуатацию.