ИнфоТехноПроект Персональные данные Семинары Кадровое агентство
Информационно аналитический журнал «Персональные данные» — для операторов персональных данных и о персональных данных
Информационная безопасность. Невский диалог

Статьи

«Информационные технологии»

11.07.2018
Электронное правительство нужно 6% россиян

02.03.2018
В России информационная безопасность становится бумажной.

«Государственные закупки»

23.05.2018
Дмитрий Медведев: Закон о госзакупках превратился в тормоз общественного и научного развития

11.05.2018
Дума установила в I чтении правила госзакупок госкорпорациями и монополиями

Тел. / Факс:
+7 (495) 932–93–01
+7 (495) 762–60–02
E-mail:

Firefox 3.5
Opera_logo1

ИЛЛЮЗИЯ ЗАЩИЩЕННОСТИ

Использование сертифицированного программного обеспечения, в сертификате которого написано «отсутствие недекларированных возможностей (НДВ)», дает его владельцам защищенность своих данных, в том числе и персональных. Так ли это?

Когда мы затрагиваем базовые операционные системы или поставляющиеся с ними системные приложения, да, наверное, можно говорить о высокой доле уверенности в этом вопросе. Разумеется, существует много участников рынка информационной безопасности, которые всегда говорят об опасностях от любого ПО любого поставщика любой страны, но большинство людей, воспринимающих эти ОС и ПО как повседневные решения, согласятся с тем, что эти решения можно воспринимать как доверенные. Однако, когда мы говорим о специализированном ПО, и уж тем более о кастомизированном (а такого ПО достаточно), то тем больше вероятность того, что сам по себе сертификат ни о чем не говорит. Кроме базового функционала, который и проходит сертификацию в специализированных лабораториях, многие высокоуровневые приложения имеют встроенные средства расширения функционала, вплоть до собственного языка программирования, которыми можно изменить сертифицированный функционал до неузнаваемости.

Сертифицированный на НДВ почтовый сервер не убережет вас от того, что одним встроенным правилом, написанным администратором, электронная почта генерального директора будет переадресовываться на внешний почтовый ящик без его ведома. Или, к примеру, от того, что в системе сертифицированного электронного документооборота не появится учетная запись с правами на доступ к содержанию любого документа. Или, что система архивирования согласно настройкам будет создавать резервную копию на отчуждаемом носителе, который можно потом легко вынести из здания. Таких примеров можно найти предостаточно.

Актуальной данная тема становится в первую очередь в вопросе защиты персональных данных в плане использования для этого сертифицированных продуктов и аттестованных информационных систем. К примеру, на предприятии закупают сертифицированные по всем правилам продукты для обработки персональных данных, например, учетные или кадровые системы, сертифицированные по всем правилам. Руководство вместе с ИТ-департаментом проводит кастомизацию программного обеспечения под свои задачи, далее система аттестуется по требованиям ФЗ-152. Возможно, на этом этапе даже проводятся исследования кастомизированого решения как части единой системы обработки персональных данных. Все начинают работать с системой как с аттестованной для работы с персональными данными.

Затем выходит новая инструкция соответствующего ведомства по начислению заработной платы или учету кадров, на которую надо быстро отреагировать. С помощью встроенных языков программирования продукт изменяется так, чтобы новый функционал соответствовал требованиям ведомственных инструкций. Вопрос - осталась ли система аттестованной, а продукт (не базовый, а реально обрабатывающий персональные данные) – сертифицированным? Какие функции, кроме требуемых, появились в обновленном коде? Кто может подтвердить их отсутствие или наличие?

Как вообще сертифицировать системы, меняющиеся быстрее процесса сертификации? Проверять только измененные конструкции – самое простое решение, но оно неполное – изменения в коде могут влиять не только на данные, но и на процессы. То есть, совсем не факт, что кусок кода, нормально отработавший в «песочнице», поведет себя так же, будучи интегрированным в рабочую систему. Поэтому не стоит успокаивать себя тем, что раз компетентные органы сертифицировали бизнес-приложение или аттестовали информационную систему – она остается безопасной всегда. Понятно, что хочется перенести ответственность за безопасность данных в приложении или системе на того, кто выдает сертификаты, но ведь это ваши данные, и волновать они должны в первую очередь вас…

Яндекс.Метрика