О технических средствах защиты персональных данных
к.т.н. Алексей Сабанов, Александр Додохов, Информкурьерсвязь
И до появления закона «О персональных данных» (ФЗ-152, принят 27июля 2006г.) операторам было понятно, что персональные данные, хранящиеся и обрабатываемые в автоматизированных системах расчета (АСР – расширение широко известного понятия «биллинговых систем»), необходимо защищать. Однако в 2008г. ФСТЭК и ФСБ разработали ряд документов, призванных разъяснять основные положения закона и дать методические указания по его исполнению, которые окончательно запутали некоторых операторов связи. Специалисты считают, что эти нормативные документы требуют доработки, ведь недосказанность и нечеткость формулировок для операторов связи с лихвой «компенсируется» административной и иной ответственностью за ненадлежащее исполнение закона. Вдобавок к многочисленным регулирующим постулатам отрасли связи на них «свалилась» обязанность выполнения ФЗ-152 прямого действия, за нарушение требований которого предусмотрена серьезная ответственность в соответствии со ст.24. К слову сказать, если упомянутые выше документы читать очень внимательно, то никаких особенных новых требований по защите конфиденциальности информации, по отношению к известным и применяемым на практике для некоторых ИС, ни сам закон, ни последующие разъяснения ФСТЭК и ФСБ не добавили. Документы соответствуют действующей в настоящее время нормативно-правовой базе и опубликованы пока в ограниченном варианте – в виде адресной рассылки лицензиатам. Только сфера обязательного применения средств защиты конфиденциальной информации расширена на ИС, обрабатывающие персональные данные, а также даны рекомендации по применению тех или иных методов защиты в зависимости от масштаба ИС, категории персональных данных, обрабатываемых в системе, пользовательских режимов доступа и т.д. При этом, однако, появились дополнительные требования к разработчикам прикладного программного обеспечения в системах обработки персональных данных (ПД). Заметим, что традиционные требования к сертификации АСР на соответствие ОТТ, утвержденным Мининформсвязи, тоже никто не отменял. Таким образом, к традиционным рискам для бизнеса оператора в последние годы добавился еще один – возможность применения санкций со стороны контролирующих органов на предмет выполнения требований ФЗ-152. Причем данный вид рисков для большинства операторов куда более вероятен, нежели риск реального ущерба от деятельности пресловутых «хакеров» и «инсайдеров».
Процедура приведения АСР в соответствие с требованиями ФЗ-152 для подразделений IT и служб ИБ оператора связи достаточно непроста. Рассмотрим типичные действия оператора связи по приведению своей ИС в соответствие с законом по схеме минимальных затрат. Для того, чтобы снизить расходы на реорганизацию ИС, следует выбрать минимально достаточные технические средства защиты информации. Для этого необходимо провести инвентаризацию всех данных, которые могут быть классифицированы как персональные. Затем требуется правильно классифицировать информационную систему персональных данных (ИСПД) согласно Приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20. Хорошо бы при этом не забыть вовремя уведомить в установленной форме Роскомсвязьнадзор о необходимости обрабатывать персональные данные в Вашей ИС. Категория ПД, класс информационной системы, ее архитектура и условия ее работы как раз и будут определять минимальный достаточный набор средств технической защиты информации с точки зрения действующего законодательства. На данном этапе начинается самое неприятное с точки зрения оператора связи. Как правило, основу его ИСПД составляет система биллинга, в основе которой лежит некоторая СУБД, которая уже эксплуатируется достаточно долгое время. Такие системы, как правило, поставляются небольшим числом производителей или разрабатываются и поддерживаются силами собственных программистов. Специалисты службы ИБ оператора связи объявляют, что в соответствии с классом ИСПД необходимо защитить ПД с помощью криптосредств, ссылаясь на ст. 19 закона «О персональных данных». При этом «операторы несут ответственность за соответствие проводимых ими мероприятий по организации и обеспечению безопасности обработки с использованием криптосредств персональных данных лицензионным требованиям…». На этом этапе как свои, так и сторонние разработчики могут убедиться, что использовать имеющиеся встроенные средства шифрования СУБД не удастся. Можно, конечно, перед вводом в БД «предварительно» шифровать данные «наложенным» криптосредством, но тогда СУБД превращается в простое хранилище данных, да и с групповой работой возникают большие проблемы. Замена имеющихся встроенных средств шифрования на готовые сертифицированные криптобиблиотеки не допускается по лицензионному соглашению с производителем СУБД, в котором сказано о недопустимости модификации соответствующего ПО. Как правило, на этом все попытки построения ИСПД, защищенной критосредствами, и заканчиваются. Попав в тупиковую ситуацию, операторы связи занимают выжидательную позицию, некоторые решают даже какое-то время платить штрафы в случае непрохождения аттестации ИСПД. В любом случае, такая позиция неверна, так как надзирающий орган по закону может в любой момент приостановить обработку ПД оператором, иными словами прекратить деятельность оператора связи. Все мы понимаем, что приостановка работы оператора даже на неделю в большинстве случаев может обернуться потерей бизнеса.
Кроме ограничений, касающихся требований регуляторов, перед разработчиками часто возникают технические и технологические проблемы. Самая известная из них – проблема распределения и защиты ключей шифрования. Действительно, защитить данные с помощью некоторого алгоритма достаточно понятная задача. Иное дело – защита ключа шифрования, который должен быть известен всем пользователям, имеющим доступ к зашифрованным данным. А еще возникают вопросы совместимости, поддержки общих стандартов и т.д.
Но действительно ли неразрешима задача защиты ИСПД, использующей БД? Решением в данном случае может быть создание средства криптографической защиты информации (СКЗИ), специально предназначенного для работы в среде сервера БД. Рассмотрим реализацию решения данной задачи на примере одной из самых распространенных СУБД – платформе Oracle. На рис.1 представлена схема работы такого специализированного СКЗИ. Выбранная информация, хранящаяся в логической структуре БД (таблице), зашифровывается с помощью криптоалгоритма, реализуемого СКЗИ. Вполне естественно, что информация разного содержания может быть защищена одним из N ключей шифрования. Процесс генерации, хранения и распределения ключей шифрования показан на рис.2.
Первоначально стойкий ключ шифрования генерируется сертифицированным СКЗИ, работающим на уровне операционной системы. Процесс генерации проводится пользователем со специально оговоренной ролью администратора безопасности. Исполнитель указанной роли имеет заранее сформированную по асимметричному алгоритму пару – открытый-закрытый ключ. Закрытый ключ и парный к нему открытый (в сертификате администратора безопасности) должны храниться на сертифицированном аппаратном носителе, обеспечивающем гарантированную сохранность закрытого ключа. Непосредственно после генерации ключа шифрования он зашифровывается на открытом ключе администратора безопасности и сохраняется в БД в специальном хранилище ключей.
Пользователям ИСПД, которым нужно иметь доступ к данным, зашифрованным соответствующим ключом шифрования, администратор безопасности создает специальную копию данного ключа, зашифрованную на открытом ключе пользователя. Для безопасного хранения закрытого ключа пользователя следует сохранять его на смарт-карте или USB-ключе, где защита от несанкционированного применения гарантируется стойкостью как минимум шестизначного PIN-кода с использованием знаков различных регистров. Копия ключа шифрования пользователя также помещается в хранилище зашифрованных ключей. Рис.3 иллюстрирует работу пользователя с защищенными данными.
После ввода пользователем своих учетных данных для аутентификации ПО специализированное СКЗИ производит поиск зашифрованных копий ключей шифрования для пользователя. Зашифрованные копии вместе с сертификатом сервера передаются на рабочую станцию пользователя, где расшифровываются сертифицированным СКЗИ, которое работает на уровне операционной системы. При этом используется закрытый ключ пользователя, установленный на смарт-карте или USB-ключе и защищенный PIN-кодом. В случае успешного расшифрования ключ шифрования передается на сервер БД. Безопасность передачи ключа обеспечивается его шифрованием на открытом ключе сертификата сервера. Серверная часть специализированного СКЗИ производит попытку расшифрования ключа с помощью собственного закрытого ключа. В случае удачного расшифрования серверная часть специализированного СКЗИ устанавливает ключ шифрования в оперативной памяти пользовательского процесса и использует его для работы с защищенными данными. Указанная схема вычисления и передачи ключа шифрования гарантировано обеспечит защиту от различных атак, например, от самой распространенной атаки «человек посередине».
Специализированное СКЗИ обязано использовать стандартные процедуры, форматы и наборы данных, которые гарантируют полную совместимость с сертифицированными СКЗИ различных производителей (RFC 4357, RFC 4490).
Для выполнения требований по защите ИСПД некоторых категорий требуется и возможность разделения доступа. Рассматриваемый подход обеспечивает гибкое разделение доступа, позволяя «урезать» доступ к защищенным данным администраторов БД, которые обычно имеют неограниченные права на доступ к любым данным. Метод разграничения доступа иллюстрирует рис.4. Как видно из рисунка, права пользователя на доступ к защищенным данным определяются набором смарт-карт (USB-ключей) и ключевых пар, размещенных на них. То есть получить доступ к данным у пользователя получится только при наличии успешно расшифрованного ключа шифрования, соответствующего защищенным на нем данным.
Важно отметить, что предложенный подход позволяет не только выполнить требования действующих нормативных документов по защите ИСПД, но и в большинстве случаев избежать переписывания существующих ИС, поскольку он не затрагивает прикладное программное обеспечение, а дорабатывает реализованную в СУБД схему распределения доступа, основанную на применении цифровых сертификатов.
Заключение
Рассмотренный в статье подход касается только технических средств защиты персональных данных. Как правило, защита данных производится как с помощью технических средств защиты, так и организационных мер. В ст.19.1 ФЗ-152 говорится: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Заметим, что в среднем организационные меры обычно превалируют над техническими. Среди руководителей подразделений ИБ имеются приверженцы как одного, так и другого подхода, хотя без применения одновременно обоих подходов комплексную защиту построить сложно. В среднем соотношение организационных мероприятий к техническим средствам колеблется от 80/20 до 60/40 в различных компаниях. Опубликование нормативной базы по вопросам защиты ПД в 2008г., скорее всего, существенно сдвинет это соотношение в сторону технических средств защиты. Операторам и разработчикам систем, в которых обрабатываются ПД, придется заниматься технической составляющей безопасности своих ИС. Если руководителям подразделений ИБ это не в новинку, то для разработчиков АСР это будет непросто, особенно на первых порах. Скорее всего, будет ощущаться недостаток знаний в области защиты информации. Ведь на протяжении долгих лет все вопросы, связанные с информационной безопасностью, разработчики перекладывали на встроенные механизмы, реализованные в СУБД, которые, как правило, имеют сертификат по классу С2. Для того, чтобы избежать дорогостоящих ошибок, можно порекомендовать разработчикам и операторам связи обращаться к специализированным компаниям, уже имеющим соответствующий набор лицензий, владеющим необходимыми знаниями и опытом по защите ИСПД, а также опробованными средствами решения проблем операторов связи.