Научная статья на тему 'Мероприятия по обеспечению безопасности персональных данных как элемент системы технической защиты персональных данных в органах внутренних дел'

Мероприятия по обеспечению безопасности персональных данных как элемент системы технической защиты персональных данных в органах внутренних дел Текст научной статьи по специальности «Право»

CC BY
1149
127
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
ПЕРСОНАЛЬНЫЕ ДАННЫЕ / PERSONAL DATA / ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ / INFORMATION SYSTEM OF PERSONAL DATA / ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ / SYSTEM OF TECHNICAL PROTECTION OF PERSONAL DATA / СИСТЕМА ТЕХНИЧЕСКОЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ / МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ / MEASURES TO ESTABLISH THE SECURITY OF PERSONAL DATA / PERSONAL DATA SECURITY

Аннотация научной статьи по праву, автор научной работы — Лебедев В. Н.

В статье продолжается рассмотрение актуальных в настоящее время для органов внутренних дел вопросов обеспечения безопасности персональных данных. Основное внимание уделено рассмотрению мероприятий, направленных на обеспечение безопасности персональных данных как элемента системы технической защиты персональных данных в органах внутренних дел.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Measures to Secure Personal Data as a Part of Technical Protection System of Personal Data in Internal Affairs Agencies

The paper continues to review the challenges of internal affairs agencies posed by the security of personal data. The particular attention is drawn to the measures designed to establish the security of personal data as a part of the technical protection system of personal data in internal affairs agencies.

Текст научной работы на тему «Мероприятия по обеспечению безопасности персональных данных как элемент системы технической защиты персональных данных в органах внутренних дел»

В.Н. ЛЕБЕДЕВ,

заместитель начальника кафедры информационных технологий

управления органами внутренних дел, кандидат технических наук, доцент (Академия управления МВД России)

V.N. LEBEDEV,

Candidate of Technical Sciences, Associate-Professor, Deputy Dean, Department of Information technologies for Command of Internal affairs agencies (Management academy, Ministry for Internal affairs of Russia)

УДК 004.056.5

Мероприятия по обеспечению безопасности персональных данных как элемент системы технической защиты персональных данных в органах внутренних дел

Measures to secure personal Data as a part of Technical protection system of personal data in internal Affairs Agencies

В статье продолжается рассмотрение актуальных в настоящее время для органов внутренних дел вопросов обеспечения безопасности персональных данных. Основное внимание уделено рассмотрению мероприятий, направленных на обеспечение безопасности персональных данных как элемента системы технической защиты персональных данных в органах внутренних дел.

Персональные данные, информационная система персональных данных, защита персональных данных, система технической защиты персональных данных, мероприятия по защите персональных данных.

The paper continues to review the challenges of internal affairs agencies posed by the security of personal data. The particular attention is drawn to the measures designed to establish the security of personal data as a part of the technical protection system of personal data in internal affairs agencies.

Personal data, information system of personal data, personal data security, system of technical protection of personal data, measures to establish the security of personal data.

Ранее нами уже предпринималась попытка системного рассмотрения процесса защиты персональных данных (далее — ПДн), которые обрабатываются в информационных системах органов внутренних дел Российской Федерации [9].

В целях обеспечения безопасности ПДн в органах внутренних дел создается система технической защиты ПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в информационных системах персональных данных (далее — ИСПДн).

Система технической защиты ПДн в органах внутренних дел Российской Федерации рассматривается как совокупность следующих

взаимосвязанных элементов: 1) персональные данные и носители таких данных; 2) должностные лица, подразделения и сотрудники, ответственные за организацию и проведение работ по защите ПДн; 3) способы, техника и средства защиты ПДн; 4) мероприятия, проводимые в целях защиты ПДн.

Первые три элемента были рассмотрены нами ранее [9]. Остановимся на рассмотрении четвертого элемента системы — меры и мероприятия, проводимые в целях обеспечения безопасности ПДн.

В соответствии с требованиями законодательства оператор ПДн (в нашем случае — МВД

S H

и о X

л

<

и

H

к

s

:|S

о X

л

<

и

H

s

X

<

а

X о о

са <

а

С

<

а S н

bS

<

а С

к s

а

О и

H

бЗ

S н и

0

1

л

<

и н к

:|S

0

1

л

<

и н S

I

<

а

X о о

м

<

а

С

<

а S н

bS

<

а С

к S а

О и н

64

России) обязан принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн [1].

Одновременно законодатель определяет некоторые меры, направленные на обеспечение безопасности ПДн [1]. К основным из них можно отнести определение угроз безопасности ПДн, применение организационных и технических мер по обеспечению безопасности ПДн и средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн (ИСПДн) и др.

Законодатель наделил Правительство Российской Федерации правом и обязанностью устанавливать [1]:

1) уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных [2];

2) требования к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн [2];

3) требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн [3].

Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения установленных Правительством РФ требований к защите ПДн, устанавливаются ФСБ России [6] и ФСТЭК России [5, 7], в соответствии с их полномочиями [1].

В соответствии с п. 7 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — Состав и содержание мер), утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [5], меры по обеспечению безопасности ПДн при их обработке в государственных информационных системах принимаются в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (далее — Требования), которые утверждены приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государ-

ственную тайну, содержащейся в государственных информационных системах» [7].

Учитывая, что меры по обеспечению безопасности ПДн и порядок их выбора, установленные Составом и содержанием мер [6], аналогичны мерам защиты информации и порядку их выбора, установленным Требованиями, для обеспечения безопасности ПДн, обрабатываемых в государственных информационных системах, достаточно руководствоваться только Требованиями.

Тем не менее для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям необходимо руководствоваться требованиями, установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [2]. При этом в соответствии с п. 27 Требований должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности ПДн. В случае когда установленный уровень защищенности ПДн выше, чем установленный класс защищенности государственной информационной системы, осуществляется повышение класса защищенности до значения, обеспечивающего выполнение п. 27 Требований.

В настоящее время меры, мероприятия и порядок организации защиты ПДн, содержащихся в информационных системах органов внутренних дел РФ, установлены приказами ФСТЭК России от 11 февраля 2013 г. № 17 и МВД России от 6 июля 2012 г. № 678 «Об утверждении инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации» [4, 7].

Остановимся более подробно на мероприятиях, направленных на обеспечение безопасности ПДн, обрабатываемых в органах внутренних дел. Мероприятия, проводимые в органах внутренних дел РФ с целью создания системы технической защиты ПДн, можно разделить на две группы.

1. Управленческие (или организационно-управленческие). Направлены на создание системы технической защиты ПДн и управление ею. Ответственным за организацию проведения данных мероприятий являются руководитель территориального органа МВД России и руководители структурных подразделений, обрабатывающих ПДн.

2. Организационно-технические (мероприятия по обеспечению безопасности ПДн и аттестация ИСПДн по требованиям защиты ин-

формации). Обработка ПДн в ИСПДн органов внутренних дел должна осуществляться только после завершения работ по созданию системы технической защиты ПДн и ввода в эксплуатацию ИСПДн.

К управленческим мероприятиям относятся следующие.

1. Получение территориальным органом МВД России на региональном уровне лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Лицензия необходима для проведения аттестации информационных систем, обрабатывающих ПДн, по требованиям защиты информации.

2. Создание комиссии для определения уровня защищенности ИСПДн.

Комиссия создается приказом руководителя (начальника) территориального органа МВД России, в ее состав включаются представители структурных подразделений, эксплуатирующих ИСПДн, а также специалисты подразделения (сотрудники) информационных технологий, связи и защиты информации.

3. Планирование мероприятий, направленных на защиту ПДн, обрабатываемых в информационных системах территориального органа МВД России.

Работы по обеспечению безопасности ПДн включаются в План основных организационных мероприятий территориального органа МВД России отдельным разделом (или планы работы структурных подразделений территориального органа МВД России).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

4. Организация взаимодействия подразделений, обеспечивающих создание и эксплуатацию ИСПДн, с подразделением по защите ПДн. То есть взаимодействие структурных подразделений территориального органа МВД России, эксплуатирующих ИСПДн, с подразделением по противодействию техническим разведкам и технической защите информации территориального органа МВД Росси на региональном уровне.

В настоящее время данный аспект является одним из проблемных и сложных в проведении мероприятий по обеспечению безопасности ПДн в органах внутренних дел. Дело заключается в том, что в соответствии с положением об аттестации объектов информатизации по требованиям безопасности информации подготовку объекта к аттестации осуществляет подразделение, эксплуатирующее ИСПДн [8]. В органах внутренних дел наблюдается серьезная нехватка специально подготовленных сотрудников для проведения работ по защите информации, которые могут квалифицированно организовать и провести необходимые подготовительные мероприятия.

Кроме того, по этой же причине после проведения аттестационных мероприятий в структурных подразделениях в ряде случаев не соблюда-

ются организационные и технические меры по защите ПДн, обрабатываемых в информационных системах.

5. Определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн, с внесением соответствующих положений в должностные регламенты (инструкции) сотрудников.

6. Планирование и организация проведения занятий по изучению требований нормативных правовых актов и методических документов по вопросам обеспечения безопасности ПДн, а также ежегодной проверки их знаний.

В целях повышения уровня профессиональной подготовки работников и сотрудников органов внутренних дел, уполномоченных на обработку ПДн, необходимо организовывать изучение ими требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодную проверку их знаний [4].

Ведомственное повышение квалификации работников и сотрудников органов внутренних дел в области защиты ПДн осуществляется на базе ФГОУ ВПО «Воронежский институт МВД России».

7. Организация и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.

Целью такого контроля является соблюдение структурными подразделениями территориального органа МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.

Задачами контроля являются:

— установление фактического положения дел в структурном подразделении по обеспечению безопасности ПДн при их обработке в ИСПДн;

— выявление проблемных вопросов в организации обеспечения безопасности ПДн;

— обеспечение соблюдения законодательства в сфере защиты ПДн;

— выработка мер по оказанию методической и практической помощи структурным подразделениям территориального органа МВД России;

— повышение ответственности руководителей за обеспечение безопасности ПДн. Ведомственный контроль достаточности принятых мер по обеспечению безопасности ПДн проводится не реже одного раза в два года и осуществляется ДИСТиЗИ МВД России и подразделением (сотрудниками) информационных технологий, связи и защиты информации.

Остановимся на организационно-технических мероприятиях (мероприятиях по обеспечению безопасности ПДн и аттестации ИСПДн по требованиям защиты информации).

К основным мероприятиям по обеспечению безопасности ПДн в органах внутренних дел от-

S н и о X

л

<

и н к

о X

л

<

и н S

X

<

а

X О

о

са <

а

С

<

а S н

bS

<

а С

к S а

О и н

65

S н и

0

1

л

<

и н к

:|S

0

1

л

<

и н S

I

<

а

X о о

м

<

а

С

<

а S н

bS

<

а С

к S а

О и н

66

носятся мероприятия, направленные на формирование требований к защите ПДн, содержащихся в ИСПДн, разработку и внедрение системы технической защиты ИСПДн, аттестацию информационных систем по требованиям защиты информации и ввод их в действие, обеспечение защиты ПДн в ходе эксплуатации и при выводе из эксплуатации аттестованных ИСПДн. Состав и содержание указанных мероприятий определены приказом ФСТЭК России от 11 февраля 2013 г. № 17 [7].

Наиболее технически сложным мероприятием являются аттестационные испытания информационной системы на соответствие требованиям защиты информации. Аттестация ИСПДн проводится до начала обработки ПДн в данной информационной системе.

Проведение данной аттестации ИСПДн делится на три этапа [8].

Этап 1. Подготовка ИСПДн к аттестации на соответствие требованиям защиты информации, состоящая из следующих мероприятий.

1. Предпроектное обследование ИСПДн, которое включает в себя определение:

— перечня ПДн, обрабатываемых в ИСПДн органа внутренних дел и подлежащих защите;

— условий расположения ИСПДн относительно границ контролируемой зоны;

— конфигурации и топологии ИСПДн;

— перечня технических средств и систем, используемых или предполагаемых к использованию в ИСПДн;

— общесистемных и прикладных программных средств, предполагаемых к использованию в ИСПДн;

— режимов обработки ПДн в ИСПДн;

— уровня защищенности ИСПДн.

2. Разработка модели угроз безопасности ПДн при их обработке в ИСПДн и перечня актуальных угроз.

Этап 2. Разработка технического проекта на систему технической защиты ИСПДн.

Этап 3. Создание и аттестация ИСПДн по требованиям защиты информации, включающие в себя следующие мероприятия.

1. Приобретение сертифицированных технических, программных и программно-технических средств защиты информации.

Список литературы

1. О персональных данных: Федеральный закон от 27 июля 2006 г. № 152-ФЗ // СЗ РФ. 2006. № 31. Ч. 1. Ст. 3448.

2. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: постановление Правительства РФ от 1 ноября 2012 г. № 1119 // СЗ РФ. 2012. № 45. Ст. 6257.

2. Установка и настройка, ввод в эксплуатацию средств защиты ПДн.

3. Подготовка проекта приказа о допуске сотрудников к работам в ИСПДн.

4. Оформление журналов учета эксплуатирующего персонала, администраторов защиты, администраторов, пользователей, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн; учет машинных носителей ПДн и их выдачи; проведение инструктажей по обеспечению безопасности ПДн; проверки исправности технических средств и технического обслуживания.

5. Разработка:

— инструкций сотрудникам, обрабатывающим ПДн в ИСПДн, в части обеспечения безопасности ПДн;

— технического паспорта на ИСПДн;

— инструкций по эксплуатации средств защиты информации для пользователей, администраторов ИСПДн и сотрудников.

6. Проверка соответствия организационно-технических мер защиты требованиям нормативно-методических и руководящих документов ФСБ России и ФСТЭК России.

7. Проведение специальных исследований и аттестации ИСПДн с оформлением документов по результатам аттестационных испытаний и выдачей аттестата соответствия ИСПДн требованиям безопасности информации.

8. Проведение контроля состояния защиты информации в ИСПДн.

Итак, нами продолжено системное рассмотрение процесса защиты персональных данных в органах внутренних дел с целью дальнейшего совершенствования и развития данной системы.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Определение основных мероприятий, направленных на организацию работ по обеспечению безопасности ПДн при их автоматизированной обработке и созданию системы технической защиты ПДн в территориальных органах МВД России, является актуальной и важной задачей. В дальнейшем мы планируем рассмотреть более детально вопросы организации и проведения контроля состояния защиты информации в ИСПДн органов внутренних дел.

3. Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных: постановление Правительства РФ от 6 июля 2008 г. № 512 // СЗ РФ. 2008. № 28. Ст. 3384.

4. Об утверждении инструкции по организации защиты персональных данных, со-

держащихся в информационных системах органов внутренних дел Российской Федерации: приказ МВД России от 6 июля 2012 г. № 678 // СПС Гарант. 7.

5. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК России от 18 февраля 2013 г. № 21 // СПС 8. Гарант.

6. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных дан- 9. ных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите

персональных данных для каждого из уровней защищенности: приказ ФСБ России от 10 июля 2014 г. № 378 // СПС Гарант. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК России от 11 февраля 2013 г. № 17 // Рос. газ. 2013. № 136.

Положение по аттестации объектов информатизации по требованиям безопасности информации (утв. Гостехкомиссией РФ 25 ноября 1994 г.) // СПС КонсультантПлюс. Лебедев В.Н. Система технической защиты персональных данных в органах внутренних дел Российской Федерации: основные положения и элементы // Труды Академии управления МВД России. 2014. № 2 (29).

Тел.: 8 (499) 150-29-48

S н и о X

л

<

и н к

о X

л

<

и н S

X

<

а

X О

о

са <

а

С

<

а S н

bS

<

а С

к S а

О и н

67

i Надоели баннеры? Вы всегда можете отключить рекламу.