У
Основы защиты персональных данных
Ключевые слова:
информационная безопасность, персональные данные, правовое регулирование, 152-ФЗ, подзаконные акты, нормативные документы
26 января 2007 г. вступил в силу Федеральный закон 152-ФЗ "О персональных данных" (далее — 152-ФЗ). Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных (ПДн), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, путем правового регулирования взаимоотношений между субъектами и операторами персональных данных. Требования данного закона по защите ПДн являются обязательными как для коммерческих, так и государственных организаций. Согласно статье 25 закона, информационные системы должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 г.
Полещук А.В.,
руководитель отдела консалтинга,
ООО "Безопасные телекоммуникации", pol@sectel.ru
Основные термины и понятия
В главе 1 Федерального закона 152-ФЗ вводится понятийный аппарат предметной области:
• персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
• оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
• информационная система персональных данных (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с исполь-
зованием средств автоматизации или без использования таких средств;
• обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
• обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту ПДн;
• общедоступные персональные данные — ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
• специальные категории ПДн — сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
• согласие субъекта — письменное согласие субъекта о предоставлении своих ПДн оператору для обработки.
Предыстория
152-ФЗ разработан во исполнение "Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" (Страсбург, 28 января 1981 г. с изменениями от 15 июня 1999 г.), ратифицированной в России Федеральным Законом от 19 декабря 2005 г. №160-ФЗ со следующими ограничениями:
• конвенция не распространяется на область государственной тайны;
• конвенция не распространяется на обработку персональных данных для личных и семейных нужд;
• могут быть установлены дополнительные ограничения прав субъектов ПДн на доступ к данным о себе в целях защиты безопасности государства и общественного порядка.
В соответствии со статьей 4 152-ФЗ, "международные соглашения РФ имеют большую силу", т.е. в остальных случаях, кроме оговоренных, положения Конвенции ЕС должны действовать на территории России и иметь больший приоритет.
Правовое поле
По состоянию на конец 2009 г. правовое поле защиты ПДн определяется следующими законодательными актами РФ:
• 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн" от 19.12.2005;
• 152-ФЗ "О персональных данных" от 27.07.2006;
• 197-ФЗ 'Трудовой кодекс РФ" (ТК РФ) от 30.12.2001 с изменениями от 01.12.2007 — глава 14 "Защита персональных данных работника";
• 195-ФЗ "Кодекс РФ об административных правонарушениях" (КоАП) от 30.12.2001 с изменениями от 20 июня 2009 г.
Подзаконные акты, методические и нормативные документы по защите ПДн
Согласно ст. 19 Федерального закона "оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий". Необходимые (требуемые зако-
нодательством) меры изложены в следующих подзаконных актах, методических и нормативные документах по защите ПДн, разработанных и утвержденных за прошедшее с момента выхода 152-ФЗ время:
• Указ Президента РФ от 30 мая 2005 г. № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего РФ и ведении его личного дела";
• Постановление Правительства РФ от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
• Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. №55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
• Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
• Приказ Россвязькомнадзора "Об утверждении образца формы уведомления об обработке персональных данных" №8 от 17.07.2008 г.;
• Приказ Россвязькомнадзора "О внесении изменений в приказ Россвязькомнадзора от 17 июля 2008 г. №8 Об утверждении образца формы уведомления об обработке персональных данных" №42 от 18.02.2009 г.;
В начале 2008 г. ФСТЭК (Федеральной службой по техническому и экспортному контролю) и ФСБ был утвержден пакет документов с техническими требованиями по защите персональных данных.
Нормативно-методические документы ФСБ РФ по криптографической защите ПДн:
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации;
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержа-
щей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
Нормативно-методические документы ФСТЭК России в области персональных данных (имеют гриф "Для Служебного Пользования", предоставляются зарегистрированным операторам ПДн по запросу):
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Данные рекомендации и требования ФСТЭК и ФСБ являются методической основой для создания систем обеспечения безопасности персональных данных, соответствующих требованиям Федерального закона 152-ФЗ. К концу 2009 г. ФСТЭК и ФСБ планируют выпустить новые редакции своих методических документов.
Полный перечень документов доступен на официальном портале РосКомНадзора (РКН) — Уполномоченного органа по защите прав субъектов персональных данных — http://pd.rsoc.ru.
Ответственность за нарушение требований Федерального закона
В соответствии со статьей 24 Федерального закона 152-ФЗ "лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность". На практике нарушение этих требований регулируется статьями Кодекса РФ об административных правонарушениях (КоАП) и может привести к одному из следующих последствий:
• приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований ФЗ "О персональных данных";
• направление в органы прокуратуры, другие правоохранительные органы материалов
для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
• приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;
• конфискация несертифицированных средств защиты информации;
• привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей уголовного и административного кодекса.
Процесс создания системы защиты персональных данных
В соответствии с п.2 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (781-ПП, основного подзаконного акта 152-ФЗ) "Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии".
Для создания и внедрения системы защиты персональных данных (СЗПДн) необходимо реализовать комплекс мероприятий, который, как правило, включает в себя следующие основные работы:
• обследование автоматизированной системы (АС) предприятия с целью выявления ПДн и порядка их обработки;
• классификация информационных систем, обрабатывающих персональные данные;
• разработка модели угроз безопасности ПДн и требований по защите;
• проектирование решений по защите и документирование ИСПДн;
• разработка пакета организационнораспорядительной документации;
• внедрение системы защиты персональных данных;
• аттестация ИСПДн (при необходимости);
• обучение сотрудников предприятия и персонала ИСПДн;
• проведение контрольных мероприятий.
Обследование АС предприятия
Обследование автоматизированной системы включает в себя:
• определение перечня ПДн, подлежащих защите;
• определение перечня ИСПДн, обрабатывающих ПДн;
У
• определение используемых средств защиты ПДн;
• анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн;
• определение степени участия персонала в обработке ПДн.
По результатам обследования формируется отчет, в котором содержатся исходные данные для классификации ИСПДн и описание текущего состояния защиты ПДн.
Классификация ИСПДн
На втором этапе работ на основе информации, собранной на этапе обследования, проводится классификация ИСПДн. Классификация проводится в соответствии с "Порядком проведения классификации ИСПДн", утвержденным приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК), ФСБ и Министерства информационных технологий и связи РФ №55/86/20 от 13 февраля 2008 г.
Для классификации ИСПДн производится категорирование следующих исходных данных:
• категория обрабатываемых в информационной системе данных (Хпд);
• объем обрабатываемых персональных данных (Хнпд);
• заданные оператором характеристики безопасности ПДн;
• структура информационной системы;
• наличие подключений к сетям связи общего пользования;
• режим обработки персональных данных;
• режим разграничения прав доступа пользователей;
• местонахождение технических средств.
Различают типовые и специальные ИСПДн.
К типовым ИСПДн относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные ИСПДн — системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (например, защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Для типовых ИСПДн определено четыре возможных класса в зависимости от вида и степени ущерба субъекту ПДн, возникающего вследствие реализации угроз безопасности: К1, К2, КЗ и К4.
Класс типовой системы определяется по таблице, в зависимости от категорий исходных
Определение класса типовой системы по категориям исходных данных
^^^Хнпд Хпд 3 2 1
Категория 4 К4 К4 К4
Категория 3 КЗ КЗ К2
Категория 2 КЗ К2 К1
Категория 1 К1 К1 К1
данных ИСПДн (см. таблицу). Результаты классификации ИСПДн оформляются соответствующим актом, подписываемым руководителем предприятия, с указанием всех исходных данных.
На сегодняшний день, классификация ИСПДн, несмотря на простоту используемой методики, является наиболее важной и сложной работой, поскольку:
• обязанность и ответственность за проведение классификации возложена на оператора ПДн;
• состав требований, а следственно и стоимость защиты, напрямую зависят от класса ИСПДн;
• неоднозначность формулировок очень часто приводят к ошибкам категорирования данных, присвоению системе завышенного класса и неоправданным расходам.
В большинстве случаев, если есть такая возможность, бывает экономически выгоднее привлечь к классификации ИСПДн экспертов по ПДн.
Разработка модели угроз и требований по защите
В зависимости от класса и некоторых характеристик типовой ИСПДн определяются соответствующие модель угроз и требования по защите персональных данных. Модель определяется на основе перечня угроз, который содержится в "Базовой модели угроз безопасности ПДн при их обработке в ИСПДн", определенной ФСТЭК. При необходимости применения средств криптографических защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн разрабатываются на основании разработанных моделей угроз и нарушителя в соответствии с методическими рекомендациями ФСТЭК и ФСБ. Для типовых систем требования могут быть определены по документу "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабаты-
ваемых в информационных системах персональных данных".
Планирование мероприятий по обеспечению безопасности ПДн
Далее, с учетом исходных данных, полученных на этапе обследования ИСПДн, проводится оценка соответствия существующего порядка обеспечения информационной безопасности разработанным требованиям, анализ недостатков и применимости средств защиты информации в ИСПДн организации. По результатам анализа разрабатываются рекомендации по устранению выявленных недостатков и нарушений, Техническое задание на проектирование системы защиты, удовлетворяющей разработанным требованиям, а также План реализации мероприятий по созданию и внедрению СЗПДн.
Разработка и внедрение СЗПДн
В рамках проектирования СЗПДн выполняются следующие работы:
• подготовка и согласование технического задания;
• макетирование и стендовые испытания средств защиты информации при необходимости;
• разработка технического проекта;
• разработка рабочего проекта и сопутствующей документации.
На основе технического задания осуществляется разработка технического проекта, содержащего детальное описание конкретных программно-технических и организационных решений, обеспечивающих исполнение установленных требований по защите ПДн в создаваемой СЗПДн.
В процессе рабочего проектирования осуществляется разработка пакета эксплуатационной и организационно-распорядительной документации, отвечающей требованиям нормативных документов по защите ПДн и регламентирующей порядок обеспечения безопасности ИСПДн в организации.
Работы по созданию системы защиты персональных данных могут выполняться операторами ПДн как собственными силами, так и с привлечением сторонних специалистов. зиро-ванных по ИБ. Однако, в соответствии с положениями Федерального закона от 08.08.2001 г. №128 "О лицензировании отдельных видов деятельности" и требованиями постановления Правительства РФ от 16.08.2006 г. №504 "О лицензировании деятельности по технической защите конфиденциальной информации" работы по защите ПДн при их обработке в ИСПДн классов К1 и К2 и в распределенных
ИСПДн класса КЗ требуют наличия лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации, в следствии чего предприятия-операторы таких систем должны получить такую лицензию, либо привлечь на договорной основе компа-нию-интегратора, специализирующуюся на оказании услуг в области информационной безопасности и обладающую необходимыми лицензиями.
На завершающем этапе проводится обучение сотрудников и разработка проектов документов, необходимых для выполнения контрольных мероприятий и, при необходимости, аттестационных испытаний. Аттестация требуется только для систем класса К1 и К2. В рамках этапа также осуществляется проведение самих испытаний, а также оформление Аттестата соответствия.
Заключение
Ведущими специалистами по информационной безопасности было выявлено много противоречий и шероховатостей в существующих нормативных документах, регламентирующих защиту ПДн. Весной 2009 г. ассоциацией российских банков (АРБ) при поддержке некоторых депутатов в РКН было направлено письмо с обоснованными предложениями доработки нормативной базы и отсрочке начала проверок по 152-ФЗ на 2 года.
В июне РКН ответил отрицательно на обращение банкиров по поводу переноса сроков начала проверки ИСПДн на соответствие 152-ФЗ, однако признал, что для устранения существующих сложностей возможны изменения в законах, касающихся ПДн. Изменения, внесенные в Кодекс об административных нарушениях (КоАП) в июне 2009 г., ясно подтвердили позицию регулятора и продемонстрировали тенденцию к ужесточению санкций за система-
тическое нарушение и неисполнение требований по обеспечению безопасности ПДн. Для всех стало очевидным, что затраты за защиту персональных данных ПДн неизбежны.
Опыт первых проверок, прошедших в 2008-2009 гг. показывает, что для того чтобы в нынешних условиях недостатка времени и ресурсов сделать первый шаг на пути к созданию СЗПДн, необходимо, как минимум, провести классификацию ИСПДн и выработать поэтапный план мероприятий по обеспечению безопасности ПДН в соответствии со всеми требованиями 152-ФЗ.
Планируя разработку СЗПДн надо учитывать, что для защиты ПДн на предприятии необходимо внедрение целого комплекса организационных и технических мер защиты, от эффективности которых зависит, станут ли затраты на ИБ вынужденными потерями или вложением в конкурентоспособность компании.
Сертификация на соответствие требованиям "Базовый уровень информационной безопасности
операторов связи"
Светушкин СА.,
советник генерального директора ООО "Безопасные телекоммуникации" svet@sectel.ru
Введение
Обеспечение безопасности сети связи общего пользования всегда была и остается актуальной задачей государственного значения. В текущей ситуации, когда сеть связи общего пользования формируется из сетей операторов связи различного масштаба, одним из направлений решения этой непростой задачи видится в стандартизации требований к информационной безопасности операторов связи и создание эффективной динамично развивающей системы сертификации. Требования к "Базовому уровню информационной безопасности оператора связи" системы сертификации "Связь-качество" является большим шагом в этом направлении.
Система сертификации "Связь-качество"
Система добровольной сертификации "Связь-Качество" ориентирована на услуги связи, средства связи и системы управления качеством предприятий связи. Целями системы добровольной сертификации "Связь-Качество" являются:
• подтверждение соответствия качества предоставляемых услуг связи установленным требованиям и нормативам;
• стимулирование различных операторов связи к повышению качества предоставляемых ими услуг;
• создание уверенности у потребителей в стабильности и устойчивости предоставляемых услуг связи.
Мировой опыт показывает высокую эффективность института добровольной сертификации при условии существования самоорганизующихся профессиональных объединений. В этой связи активная и консолидированная позиция операторов связи позволяет формировать среду их существования в самом широком смысле (бизнес, технологии, методология, сред-
Ключевые слова:
сертификация, информационная безопасность, операторы связи, подтверждение соответствия
ства связи). Вместе с тем, очевидно, что требования добровольной системы сертификации в перспективе (когда общий уровень операторского сообщества будет соответствовать выдвигаемым требованиям) станут элементами системы обязательной сертификации, целью которой в данном случае будет законодательно поддержать операторское сообщество на уровне, который сами же операторы сформировали.
Требования "Базовый уровень информационной безопасности
операторов связи"
Одним из направлений системы сертификации "Связь-Качество" является направление "Управление информационной безопасностью сетей и систем операторов связи".
В рамках данного направления разработаны следующие нормативные документы:
• Требования "Базовый уровень информационной безопасности операторов связи";
• Требования к "Системе обнаружения потерь доходов операторов связи и потребителей".