Организация защиты персональных данных своими силами


Алексей Анашкин
Ведущий специалист
ООО "Комплексная защита информации"

27 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа.

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в "Перечне сведений конфиденциального характера", утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные -

любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, организация защиты персональных данных своими силами образование, профессия, доходы, другая информация.

Таким образом, персональные данные – это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу - это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

С чего начать защиту, и нужна ли она вообще?

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания (ФЗ-152).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ФЗ-152).

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ФЗ-152).

Обработка персональных данных - это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ФЗ-152).

Оператор при обработке ПДн должен принимать все необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Что же необходимо сделать, чтобы защитить персональные данные?

Прежде всего, необходимо определить какие информационные системы ПДн есть и какого типа ПДн в них обрабатываются.

Классификация информационной системы персональных данных

Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.

Итак, оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:

  • категория обрабатываемых персональных данных;
  • объем обрабатываемых персональных данных;
  • тип информационной системы;
  • структура информационной системы и местоположение ее технических средств;
  • режимы обработки персональных данных;
  • режимы разграничения прав доступа пользователей;
  • наличие подключений к сетям общего пользования и(или) сетям международного информационного обмена.

Согласно приказу № 55/86/20, все информационные системы (ИС) делятся на типовые и специальные.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены:

  • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Итак, по результатам анализа исходных данных комиссия присваивает системе персональных данных соответствующий класс:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение.

Как уже было сказано, классификация необходима для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн, о которых поговорим чуть позже.

Согласие субъекта ПДн на обработку

Далее необходимо перейти к обработке этих данных, но перед тем как их обработка будет законной, необходимо получить согласие субъекта персональных данных на обработку (закон тем самым предотвращает незаконный сбор и использование персональных данных):

Статья 6 ФЗ-152:

Обработка персональных данных может осуществляться оператором с согласия субъектов ПДн, за исключением случаев:

1)  обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2)  обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3)  обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4)  обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5)  обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6)  обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7)  осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Итак, если наш случай обработки ПДн предусмотрен частью 2 статьи 6 ФЗ-152, то получение согласия необязательно.

Также необходимо руководствоваться Трудовым Кодексом, Глава 14. Например, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК).

В соответствии со статьей 9 ФЗ-152 получать согласие субъекта персональных данных на обработку его персональных данных необходимо в письменной форме. Письменное согласие субъекта персональных данных должно включать:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Положение, регламентирующее порядок обработки и защиты ПДн

Итак, оператор получил (если это необходимо) согласие на обработку персональных данных - персональные данные можно обрабатывать. Но, согласно Трудовому кодексу и ФЗ-152 необходимо разработать (если есть, доработать в соответствии с ФЗ) положение, регламентирующее порядок хранения, обработки и защиты персональных данных. Давайте условно назовем его Положение по обеспечению безопасности персональных данных. Положение по обеспечению безопасности персональных данных - это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152, а, следовательно, в нем должно быть указано:

  • цель и задачи в области защиты персональных данных;
  • понятие и состав персональных данных;
  • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  • как происходит сбор и хранение персональных данных;
  • как они обрабатываются и используются;
  • кто (по должностям) в пределах фирмы имеет к ним доступ;
  • принципы защиты ПДн, в том числе от несанкционированного доступа;
  • права работника в целях обеспечения защиты своих персональных данных;
  • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением… под подпись.

Список лиц, допущенных к обработке ПДн

Кроме того, необходимо оформить список лиц, допущенных к обработке ПДн, т.е. перечень тех (по должностям), кому доступ к ПДн необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) – и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.

Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.

Уведомление Роскомнадзора

Далее в соответствии со статьей 22 ФЗ-152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн (на сегодняшний день это - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ-152:

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных

Требования к уведомлению указаны в части 3 статьи 22 ФЗ-152. Форму уведомления об обработке (о намерении осуществлять обработку) персональных данных можно заполнить в электронном виде на сайте Роскомнадзора: http://pd.rsoc.ru/operators-registry/notification/form/

Теперь можно приступать к обработке персональных данных, параллельно решая самый сложный и проблемный вопрос - обеспечение безопасности персональных данных при их обработке.

Обеспечение безопасности персональных данных при их обработке

Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

  • получать (по необходимости) лицензию на деятельность данных по технической защите конфиденциальной информации ФСТЭК России;
  • привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;
  • отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;
  • устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

Что-то можно сделать самим, а где-то лучше довериться специалистам. Но защитить персональные данные необходимо, так или иначе.

Статья 19, ФЗ-152:

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Помимо ФЗ-152 требования и рекомендации по обеспечению защиты персональных данных устанавливают:

  • «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства РФ № 781 от 17 ноября 2007 г.
  • «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено постановлением Правительства РФ № 687 от 15 сентября 2008 г.
  • «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утверждены постановлением Правительства РФ № 512 от 6 июля 2008 г.
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России № 282 от 30 августа 2002 г. (ДСП)
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Выписка, при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа - ДСП)
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 16 ноября 2009 г.)
  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
  • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ, 21 февраля 2008 г.
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ, 21 февраля 2008 г.

Мы не будем подробно рассматривать все требования, которые необходимо выполнить для обеспечения безопасности ПДн при их обработке в ИСПДн, - их много, и они сильно зависят от конкретной ИСПДн. Остановимся на основных моментах, часто вызывающих затруднения у операторов.

Лицензия – получать или не получать?

Законодательство, а также документы ФСТЭК говорят нам следующее:

Статья 16, часть 6  ФЗ-149 "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г.:

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Статья 17, часть 1,  п.11  ФЗ-128 "О лицензировании отдельных видов деятельности" от 8 августа 2001 г.:

В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: деятельность по технической защите конфиденциальной информации.

Постановление Правительства РФ № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" от 15 августа 2006 г.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и(или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Основные мероприятия… ФСТЭК
Пункт 3.14

В соответствии с положениями Федерального закона № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Так же на вопрос о необходимости лицензии отвечал начальник отдела Управления ФСТЭК России НАЗАРОВ Игорь Григорьевич на круглом столе, проведенном журналом "Connect! Мир связи" (http://www.connect.ru/article.asp?id=9406):

Вопрос: Нужно ли операторам, обрабатывающим персональные данные в ИСПДн, получение лицензии на техническую защиту конфиденциальной информации?

Игорь Назаров: В соответствии с документами ФСТЭК лицензия необходима операторам ПДн, которые самостоятельно проводят такие мероприятия по информационным системам 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы. При этом для поликлиник, детских садов, аптек и т.п., имеющих ИСПДн 3 и 4 классов, получение таких лицензий не требуется.

В соответствии с постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, если оператор ИСПДн заключает договор на проведение соответствующих мероприятий в части защиты информации (ПДн) с уполномоченным лицом - лицензиатом ФСТЭК России, иметь лицензию ему не обязательно.

Итак, для небольших организаций более экономически-выгодным вместо получения лицензии ФСТЭК по ТЗКИ для проведения мероприятий по обеспечению безопасности ПДн (создание системы защиты ИСПДн, аттестация) будет привлечение лицензиата ФСТЭК, который проведет все необходимые работы.

Для крупных организаций (таких как операторы связи, крупные банки и т.п.) - выгоднее самим получить лицензию и выполнить все необходимые работы.

Порядок предоставления лицензии на осуществление деятельности по технической защите конфиденциальной информации определен «Положением о лицензировании деятельности по технической защите конфиденциальной информации» (утверждено постановлением Правительства РФ от 15 августа 2006 г. № 504). Требования для получения лицензии:

а)  наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

б)  наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

в)  наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

г)  использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

д)  использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

е)  наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

Этапы создания СЗПДн

Согласно Основным мероприятиям по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, выпущенными ФСТЭК, создание системы защиты персональных данных (СЗПДн) состоит из следующих этапов:

1.   Предпроектная стадия

1.1  обследование объекта информатизации:

  • установление необходимости обработки ПДн в ИСПДн;
  • определение перечня ПДн, подлежащих защите;
  • определение условий расположения ИСПДн относительно границ контролируемой зоны (КЗ);
  • определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов; физических, функциональных и технологических связей как внутри ИСПДн, так и с другими системами различного уровня и назначения;
  • определение технических средств и систем, используемых в защищаемой ИСПДн, условий их расположения;
  • определение общесистемных, специальных и прикладных программных средств, используемых в защищаемой ИСПДн;
  • определение режима обработки информации в ИСПДн в целом и в отдельных компонентах;
  • проведение классификации ИСПДн;
  • определение степени участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой;
  • определение и составление перечня уязвимостей и угроз безопасности информации, оценка актуальности угроз безопасности информации;
  • разработка частной модели угроз.

1.2  разработка технического задания на создание СЗПДн, которое должно содержать:

  • обоснование необходимости разработки СЗПДн;
  • исходные данные ИСПДн в техническом, программном, информационном и организационном аспектах;
  • класс ИСПДн;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • конкретизацию мероприятий и требований к СЗПДн;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

2.   Стадия проектирования и реализации СЗПДн

2.1  разработка проекта на создание СЗПДн;

2.2  разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

2.3  закупка сертифицированных средств защиты информации;

2.4  разработка и реализация разрешительной системы доступа пользователей и персонала к обрабатываемой в ИСПДн информации;

2.5  установка и настройка СрЗИ;

2.6  определение подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите ПДн;

2.7  разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (положений, приказов, инструкций и других документов);

2.8  выполнение других мероприятий, направленных на защиту информации.

3.   Стадия ввода в действие СЗПДн

3.1  опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

3.2  приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта;

3.3  оценка соответствия ИСПДн требованиям безопасности информации – аттестация (декларирование) по требованиям безопасности информации.

4.   Техническое обслуживание и сопровождение системы защиты информации

Организационно-распорядительная документация по защите ПДн

Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн. Таких документов достаточно много, основные из них:

1.  Положение по обеспечению безопасности ПДн – в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим – в нем должно быть указано:

  • цель и задачи в области защиты персональных данных;
  • понятие и состав персональных данных;
  • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  • как происходит сбор и хранение персональных данных;
  • как они обрабатываются и используются;
  • кто (по должностям) в пределах фирмы имеет к ним доступ;
  • принципы защиты ПДн, в том числе от несанкционированного доступа;
  • права работника в целях обеспечения защиты своих персональных данных;
  • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

2.  Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, - Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн – чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем.

3.  Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) – разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:

  • угрозы утечки информации по техническим каналам;
  • угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;
  • угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и(или) сетей международного информационного обмена.

Разработанная модель угроз утверждается руководителем.

4.  На основании утвержденной модели угроз ИСПДн необходимо разработать требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования, как и модель угроз, - это самостоятельный документ, который должен быть утвержден руководителем организации.

Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.

5.  Инструкции в части обеспечения безопасности ПДн при их обработке в ИСПДн.

6.  Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.

Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или (если ИСПДн достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица (подразделения), ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).

Что обязательно сертифицировать, а что нет?

Часто возникает заблуждение, что все используемое программное обеспечение (ПО), должно быть сертифицировано, а сертификация стоит дорого и занимает много времени.

Однако ни в одном из документов по регулированию вопросов защиты ПДн не сказано, что должно быть сертифицировано все ПО. Сертифицированы по требованиям ФСТЭК России должны быть средства защиты информации, но никак не системное, прикладное или специальное ПО, не участвующее в защите ИСПДн.

Игорь Назаров: …сертификация по контролю отсутствия НДВ касается функционала безопасности, именно средств защиты, а не всего программного обеспечения, которое используется в информационной системе (http://www.connect.ru/article.asp?id=9406).

Сегодня документы ФСТЭК, которые можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю, говорят нам по этому поводу следующее:

Рекомендации…

В ИСПДн должны использоваться только сертифицированные по требованиям безопасности информации технические средства и системы защиты.

Основные мероприятия…

Пункт 4.2: …в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения.

Пункт 4.3: Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе и встроенных в общесистемное и прикладное программное обеспечение), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ.

Таким образом, сертифицировать системное и прикладное ПО, если оно не участвует в процессе защиты информации, не нужно – это можно делать по желанию оператора.

Практика создания систем защиты ПДн показывает, что необходимо использовать лицензионное программное обеспечение (системное, прикладное и специальное ПО) и сертифицированные средства защиты информации и антивирусной защиты (это могут быть СрЗИ от НСД, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу). Если в ИСПДн устанавливаются криптографические средства защиты информации (СКЗИ), то они также должны быть сертифицированы по требованиям ФСБ России.

Следует отметить, что устанавливать сертифицированные СрЗИ имеет право только лицензиат ФСТЭК, а СКЗИ – лицензиат ФСБ.

Аттестация

Финальным этапом создания системы защиты ИСПДн должна стать аттестация (декларирование соответствия) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - Аттестата соответствия (Заключения) подтверждается, что ИСПДн соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации. Наличие действующего Аттестата соответствия дает право обработки информации с соответствующим уровнем конфиденциальности на период времени, установленный в Аттестате соответствия.

Вопрос: Кто может аттестовать рабочие места на соответствие требованиям законодательства и нормативных документов в области персональных данных?

Игорь Назаров: Аттестацию ИСПДн на соответствие требованиям по безопасности информации имеют право проводить лицензиаты ФСТЭК, которые имеют лицензию на деятельность по технической защите конфиденциальной информации (http://www.connect.ru/article.asp?id=9406).

Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия принятого комплекса мер защиты требуемому уровню безопасности ПДн.

В общем виде аттестация ИСПДн по требованиям безопасности информации включает в себя следующие этапы:

  • анализ исходных данных по аттестуемой ИСПДн;
  • проведение экспертного обследования ИСПДн и анализ разработанной документации по обеспечению безопасности ПДн на соответствие требованиям нормативных и методических документов;
  • проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа;
  • анализ результатов комплексных аттестационных испытаний, оформление и утверждение Заключения и Аттестата соответствия по результатам аттестации.

Важным моментом является то, что в случае изменения условий и технологии обработки ПДн оператор обязан известить об этом организацию-лицензиата, проводившую аттестацию ИСПДн. После чего организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.

Ответственность и риски за неисполнение требований закона

При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.

Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению компании и(или) ее руководителя к административной или иным видам ответственности, а при определенных условиях – к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152):

  • Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);
  • Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
  • Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

И что в итоге?…

Многие сейчас говорят о том, что сегодняшнее законодательство и нормативно-методические документы имеют много неточностей и в чем-то даже перегибов.

Многие уповают на то, что в декабре 2009 года было принято решение о продлении сроков по исполнению требований ФЗ-152 до января 2011г.

Но независимо от этого необходимость защиты ПДн остаётся.

А поэтому не стоит откладывать решение этой проблемы в долгий ящик и уже сейчас нужно принимать необходимые меры по обеспечению безопасности персональных данных.

Статья предоставлена компанией "Комплексная защита информации"

Автор: Олег, | 28-09-2010 06:28

если компания удовлетворяет части 2 статьи 6 ФЗ-152 (получение согласия абонента необязательно) и пункту 2 части 2 статьи 22 ФЗ-152 (уведомление об обработке персональных данных нам отсылать не нужно ), то компании вообще шевелиться не надо? или все же поднимать защиту данных, в том плане что все же может прийти проверка от ФСТЭК? заранее спасибо

Автор: Человечище, завод | 29-09-2010 06:13

Да, согласно этих пунктов якобы шевелиться не нужно, но это для тех кто читает поверхностно.
Если не подавать заявление в Роскомнадзор, они просто не заносят вас в реестр к себе, но это не значит что про защиту можно забыть. Проверка ФСТЭКа и все... будут неприятности. Другой вопрос когда она будет при таких условиях. Но рано или поздно я думаю доберутся.
А вот согласие на обработку я бы все таки запросил в любом случае, ибо лишней никогда не будет. С работников не убудет, если они придут в отдел кадров и распишутся. Да и хоть немного поосведомленнее будут.

Автор: Человечище, завод | 29-09-2010 06:21

А вообще статья уже устарела. т.к. идет упоминание об "Основных мероприятиях...", которые уже больше чем полгода как отменены.
Нынче "Положение о методах и способах защиты.... "
Это я к вопросу о лицензировании, ибо условия поменялись.

Автор: Прохожий, | 29-09-2010 14:22

Грядут перемены.
У хохлов нашел интересную новость
Резолюция о международных стандартах приватности 01.12.09
Составлено: Agencia Española de Protección de Datos (Испания)
Préposé fédéral à la protection des données et à la transparence (Швейцария)
European Data Protection Supervisor
Commission Nationale de l’Informatique et des Libertés (Франция)
Irish Data Protection Commissioner
Privacy Commissioner of Canada
Office for Personal Data Protection (Республика Чехия)
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Германия)
Garante per la Protezione dei Dati Personali (Италия)
College Bescherming Persoonsgegevens (Нидерланды)
New Zealand Privacy Commissioner
Information Commissioner’s Office (Соединенное Королевство)
При содействии: Agència Andorrana de Protecció de Dades (Андорра) Agència Catalana de Protecció de Dades (Испания) Agencia de Protección de Datos de la Comunidad de Madrid (Испания) Agencia Vasca de Protección de Datos (Испания) Office of the Data Protection Supervisor (Остров Мэн) Estonian Data Protection Inspectorate State Data Protection Inspectorate of the Republic of Lithuania Berliner Beauftragter für Datenschutz und Informationsfreiheit (Германия) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Германия) National Direction for Personal Data Protection (Аргентина) Commissioner for Data Protection (Мальта) Commission on Computers and Liberties (Буркина-Фасо) Personal Data Protection Commissioner (Кипр) Data Protection Ombudsman (Финляндия) Information Commissioner (Словения) Hellenic Data Protection Authority (Греция)
Отмечая, что:
■ 30-я Международная конференция уполномоченных по защите данных и приватности в Страсбурге единогласно приняла Резолюцию о крайней необходимости защиты неприкосновенности частной жизни в мире без границ, а также разработки Совместных предложений по установлению международных стандартов приватности и защиты персональных данных.
■ Резолюцией был учрежден мандат на создание Рабочей группы, координируемой Испанским Агентством по защите данных – принимающей стороной 31-й конференции, и включающей в себя заинтересованные органы по защите данных. Целью Рабочей группы которой является разработка и представление на 31-й конференции Совместных предложений по установлению международных стандартов приватности и защиты персональных данных.
■ В соответствии с этим мандатом, Испанское Агентство по защите данных создает Рабочую группу, стимулирует и координирует разработку Совместных предложений по проекту международных стандартов.
■ Рабочая группа подготовила Совместные предложения по проекту международных стандартов защиты приватности в связи с обработкой персональных данных, основанные на принципах, присутствующих в различных документах, инструкциях и рекомендациях международного уровня и широко признанных в географическом, экономическом и правовом смысле.
Совместные предложения были разработаны с учетом того, что эти принципы и общие подходы должны повысить значение защиты частной жизни и персональной информации, с целью их расширения путем добавления решений и конкретных положений, которые могут применяться независимо от каких-либо возможных различий между существующими моделями защиты данных и приватности.
Конференция постановляет:
1. Одобрить Совместные предложения по проекту международных стандартов защиты приватности в связи с обработкой персональных данных, приведенные в Приложении 1 к настоящей Резолюции. Совместные предложения свидетельствуют о целесообразности таких стандартов, как нового шага на пути к разработке обязательного международного документа в данной сфере.
и т.д. см приложение 1
а также вариант нового проекта принятого консенсусом комиссаров.
У нас действует евродиректива (ФЗ 160) значит как только проект одобрят омбудсмены по ПД то он начнет работать и у нас.
Это будет круто - опять ФЗ152 и все подзаконные НПА будут изменяться

Автор: Константин, Госструктура | 29-09-2010 18:44

Прохожий | 22355 29-09-2010 14:22
Грядут перемены.
У хохлов нашел интересную новость
-----------------------------------------------------
«Персональные данные» - любая информация, касающаяся определенного физического лица или лица, которое может быть идентифицировано разумными способами.
Интересное определение, особенно "разумными способами". Как это можно можно трактовать? ИНН это ПД? Разумными способами ИНН не достать. Или номер паспорта, не весь Бог какая тайна, но разумными методами по номеру определить субъект будет проблематично.
А анкета в кадрах? С помощью шоколадки можно при желании вытащить на любого, даже из защищенной ИСПДн это будет считаться "разумным способом"?

Автор: Прохожий, | 30-09-2010 13:13

никто не идеален.
это-же определение из фз 160 или из фз 152 лучше?

Автор: работник, | 24-02-2011 07:50

Такой вопрос: Аудит и составление документаций (тех.задание, тех.проект, модель угроз и т.п.) проводилось сторонней организацией, которая занимается защитой информации, и которая имеет лицензию ФСТЭКа, а установкой СЗИ собираемся заняться своими силами (имеется сертифицированный, по определенным продуктам, специалист), надо ли получать в этом случае лицензию согласно постановлению 504?

Автор: :-), | 24-02-2011 09:24

Как раз составление документации на ИСПДн - это есть святейшая задача оператора этой ИСПДн. Лицензиат со стороны Вам может подготовить только ПРОЕКТ таких документов как Тех.задание, Модель, Акт и т.п.
Установка, настройка СЗИ будут уже деятельностью лицензированной (на только в рамках ПП 504, но и ПП 333 и если СЗИ является СКЗИ, то ПП 957) и ФСТЭК Вам обязательно на это укажет, если Вы запросите письменно :-) Удачи!

Автор: работник, | 09-03-2011 10:37

Еще один вопрос: один человек подсказал, что в своей организации для "приведения ИС в соответсвие с ФЗ 152" может не понадобится лицензия на техническую защиту, достаточно иметь специалиста имеющего профильное образование либо прощедшего хотя бы краткосрочные курсы(72 часа), об этом говориться в каком то приказе, я не нашел такого приказа, скажите пожалуйста так ли это? если так то подскажите в каком это приказе...

Автор: Piligrim16, Практик | 27-03-2011 13:46

24 марта в Казани прошло большое выездное заседание Управления ФСТЭК России по Приволжскому Федеральному округу. Позиция Управления ФСТЭК России по ПФО по поводу получения лицензии на ТЗКИ для выполнения требований 152-го закона такова:
Если Вы планируете или уже производите обработку персональных данных и соответственно защищаете информационные системы в которых производится обработка персональных данных - выполняйте требования, получайте лицензии и работайте спокойно!
Если у Вас нет специалистов, принимать, обучать и т.д Вам не выгодно - обращайтесь в организации у которых лицензия уже имеется и работайте с ними.
В любом случае ФСТЭК потребует доказать, что работы выполнены организацией имеющей лицензии на данный вид деятельности. В противном случае КАРАЧУН не избежать!

Автор: Прохожий, | 27-03-2011 16:24

Тема утратила актуальность после принятия ФЗ 210.
Какие ПД - Вы о чем?
Собственно, Россия, как государство, снимает с себя всякие обязательства перед гражданами при введении этой карты. То, что мы получали от государства - выполнение его прямых обязательствах перед нами, будет при введении этой карты ПРОДАВАТЬСЯ НАМ КАК УСЛУГИ!!!
Ибо центр управления этими картами - международный банк.
И за все операции вы будете платить, и дело будете иметь только с ЭЛЕКТРОННЫМ правительством. Пардон, а как же реальное правительство?
И зачем оно нужно, если его заменяют на электронное???
твиттер-президент сказал, что «Мы должны действовать разительно быстро, а не ориентироваться на создание тех или иных продуктов внутри страны. По мере готовности к выпуску тех или иных элементов интегральной схемы УЭК мы будем принимать по ним решения и проводить замену».
«Здесь имеется два трека, по которым необходимо идти параллельно. Один из них — создание самой карты. Второй — создание собственно чипа, — заявил Дмитрий Медведев. — А будет ли он чисто российским или в нем будут использоваться более зарубежные наработки — не в самом деле столь важно».
Так что забудьте про мертвый ФЗ 152 - ДАМ его публично дезавуировал

Автор: Piligrim16, Практик | 27-03-2011 21:16

Немного не в тему но тоже оставляет желание задуматься над происходящим в стране

Автор: Piligrim16, Практик | 27-03-2011 21:32

А вот это уже по теме

Автор: кадровичка, ООО | 30-05-2011 18:44

В кадровом делопроизводстве имеются формы приказов, которые формируются сразу на несколько работников. Имеет ли организация право пользоваться такими формами. Ведь при ознакомлении с такими приказами, каждый из ознакамливаемых видит персональные данные (ФИО, должность, оклад,...) других?

Автор: :-), | 31-05-2011 11:23

У нас в стране все формы имеют статус "Высочайше утверждено". Моё Вам предложение по этому поводу: не париться.

Автор: AIB, | 31-05-2011 13:10

Строго говоря, неплохо бы подписать соглашения, что такая-то персональная информация (присутствующая на тех общих бланках) является общедоступной. Некоторую информацию, например о должности и т.п., можно обозначить как не являющуюся ПДн.
Хотя случай странный - обычно размер оклада наоборот подводят под корпоративную тайну и не разрешают оглашать :)

Автор: кадровичка, OOO | 31-05-2011 18:17

Спасибо за отклики!
Однако, чем мудрить с соглашениями... Лучше я раздельно буду приказы печатать - мне не трудно.

Автор: Павел, НОУ Компьютерный Колледж, Чита | 02-06-2011 12:49

Мы например в своей работе решили использовать пункт 8. статьи ФЗ.152
То есть все работники и студенты и родители подписывают согласие на предоставление ПД в публичное пользование, и всё! В таком варианте Вам не надо что то кодировать и прятать. Хоть с плакатом по улице ходи с этими данными. Естественно нам этого не надо, но и прятать нет смысла. И проверяющие отдыхать могут.

Автор: mav, | 02-06-2011 13:52

Павел, я бы на вас в суд подал и отсудил бы кучу денег за такое. Ваше согласие будет действовать до той поры, пока на него не обратят внимания соответствующие органы, ну уж потом вам придется не сладко. И еще сажать за такое надо, почитайте цель закона и уясните ее у себя в голове.

Автор: Некто, | 02-06-2011 14:23

К тому же это соглашение юридически ничтожно, потому как в нем не описано (100%!) какие данные могут быть предоставлены в публичное пользование, с какими целями, на каких условиях... И ниразу оно не освобождает от того, чтобы эти данные защищать при их обработке.


Обсуждение на форуме

Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:





Закрыть ... [X]

Как выполнить требования Федерального Закона 152-ФЗ «О Денежные топиарии мастер класс с пошаговым фото

Организация защиты персональных данных своими силами О минимальном перечне услуг и работ, необходимых для
Организация защиты персональных данных своими силами Тренинги в Москве от Business Relations: обучающие бизнес
Организация защиты персональных данных своими силами Известный маг и экстрасенс Данара
Организация защиты персональных данных своими силами Защита персональных данных
Организация защиты персональных данных своими силами ГЛАВНАЯ СТРАНИЦА
Организация защиты персональных данных своими силами MasterFormat - Official Site
Организация защиты персональных данных своими силами 50 лучших игр жанра RPG обзор и тест
Организация защиты персональных данных своими силами Cached
Организация защиты персональных данных своими силами «Лифт к чему снится во сне? Если видишь во сне Лифт, что значит?»