Научная статья на тему 'Основы защиты персональных данных'

Основы защиты персональных данных Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
2898
379
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ПЕРСОНАЛЬНЫЕ ДАННЫЕ / ПРАВОВОЕ РЕГУЛИРОВАНИЕ / 152 ФЗ / ПОДЗАКОННЫЕ АКТЫ / НОРМАТИВНЫЕ ДОКУМЕНТЫ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Полещук А. В.

26 января 2007 г. вступил в силу Федеральный закон 152 ФЗперсональных данных" (далее 152 ФЗ). Целью закона является обеспечение за щиты прав и свобод человека и гражданина при обработке его персональных данных (ПДн), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, путем правового регулирования взаимоотношений между субъектами и операторами персональных данных. Требо вания данного закона по защите ПДн являются обязательными как для коммерческих, так и государственных организаций. Согласно статье 25 закона, информационные системы должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 г.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Основы защиты персональных данных»

У

Основы защиты персональных данных

Ключевые слова:

информационная безопасность, персональные данные, правовое регулирование, 152-ФЗ, подзаконные акты, нормативные документы

26 января 2007 г. вступил в силу Федеральный закон 152-ФЗ "О персональных данных" (далее — 152-ФЗ). Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных (ПДн), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, путем правового регулирования взаимоотношений между субъектами и операторами персональных данных. Требования данного закона по защите ПДн являются обязательными как для коммерческих, так и государственных организаций. Согласно статье 25 закона, информационные системы должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 г.

Полещук А.В.,

руководитель отдела консалтинга,

ООО "Безопасные телекоммуникации", pol@sectel.ru

Основные термины и понятия

В главе 1 Федерального закона 152-ФЗ вводится понятийный аппарат предметной области:

• персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

• оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

• информационная система персональных данных (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с исполь-

зованием средств автоматизации или без использования таких средств;

• обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

• обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту ПДн;

• общедоступные персональные данные — ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

• специальные категории ПДн — сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

• согласие субъекта — письменное согласие субъекта о предоставлении своих ПДн оператору для обработки.

Предыстория

152-ФЗ разработан во исполнение "Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" (Страсбург, 28 января 1981 г. с изменениями от 15 июня 1999 г.), ратифицированной в России Федеральным Законом от 19 декабря 2005 г. №160-ФЗ со следующими ограничениями:

• конвенция не распространяется на область государственной тайны;

• конвенция не распространяется на обработку персональных данных для личных и семейных нужд;

• могут быть установлены дополнительные ограничения прав субъектов ПДн на доступ к данным о себе в целях защиты безопасности государства и общественного порядка.

В соответствии со статьей 4 152-ФЗ, "международные соглашения РФ имеют большую силу", т.е. в остальных случаях, кроме оговоренных, положения Конвенции ЕС должны действовать на территории России и иметь больший приоритет.

Правовое поле

По состоянию на конец 2009 г. правовое поле защиты ПДн определяется следующими законодательными актами РФ:

• 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн" от 19.12.2005;

• 152-ФЗ "О персональных данных" от 27.07.2006;

• 197-ФЗ 'Трудовой кодекс РФ" (ТК РФ) от 30.12.2001 с изменениями от 01.12.2007 — глава 14 "Защита персональных данных работника";

• 195-ФЗ "Кодекс РФ об административных правонарушениях" (КоАП) от 30.12.2001 с изменениями от 20 июня 2009 г.

Подзаконные акты, методические и нормативные документы по защите ПДн

Согласно ст. 19 Федерального закона "оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий". Необходимые (требуемые зако-

нодательством) меры изложены в следующих подзаконных актах, методических и нормативные документах по защите ПДн, разработанных и утвержденных за прошедшее с момента выхода 152-ФЗ время:

• Указ Президента РФ от 30 мая 2005 г. № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего РФ и ведении его личного дела";

• Постановление Правительства РФ от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";

• Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. №55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";

• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

• Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

• Приказ Россвязькомнадзора "Об утверждении образца формы уведомления об обработке персональных данных" №8 от 17.07.2008 г.;

• Приказ Россвязькомнадзора "О внесении изменений в приказ Россвязькомнадзора от 17 июля 2008 г. №8 Об утверждении образца формы уведомления об обработке персональных данных" №42 от 18.02.2009 г.;

В начале 2008 г. ФСТЭК (Федеральной службой по техническому и экспортному контролю) и ФСБ был утвержден пакет документов с техническими требованиями по защите персональных данных.

Нормативно-методические документы ФСБ РФ по криптографической защите ПДн:

• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации;

• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержа-

щей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

Нормативно-методические документы ФСТЭК России в области персональных данных (имеют гриф "Для Служебного Пользования", предоставляются зарегистрированным операторам ПДн по запросу):

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;

• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Данные рекомендации и требования ФСТЭК и ФСБ являются методической основой для создания систем обеспечения безопасности персональных данных, соответствующих требованиям Федерального закона 152-ФЗ. К концу 2009 г. ФСТЭК и ФСБ планируют выпустить новые редакции своих методических документов.

Полный перечень документов доступен на официальном портале РосКомНадзора (РКН) — Уполномоченного органа по защите прав субъектов персональных данных — http://pd.rsoc.ru.

Ответственность за нарушение требований Федерального закона

В соответствии со статьей 24 Федерального закона 152-ФЗ "лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность". На практике нарушение этих требований регулируется статьями Кодекса РФ об административных правонарушениях (КоАП) и может привести к одному из следующих последствий:

• приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований ФЗ "О персональных данных";

• направление в органы прокуратуры, другие правоохранительные органы материалов

для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;

• приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;

• конфискация несертифицированных средств защиты информации;

• привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей уголовного и административного кодекса.

Процесс создания системы защиты персональных данных

В соответствии с п.2 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (781-ПП, основного подзаконного акта 152-ФЗ) "Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии".

Для создания и внедрения системы защиты персональных данных (СЗПДн) необходимо реализовать комплекс мероприятий, который, как правило, включает в себя следующие основные работы:

• обследование автоматизированной системы (АС) предприятия с целью выявления ПДн и порядка их обработки;

• классификация информационных систем, обрабатывающих персональные данные;

• разработка модели угроз безопасности ПДн и требований по защите;

• проектирование решений по защите и документирование ИСПДн;

• разработка пакета организационнораспорядительной документации;

• внедрение системы защиты персональных данных;

• аттестация ИСПДн (при необходимости);

• обучение сотрудников предприятия и персонала ИСПДн;

• проведение контрольных мероприятий.

Обследование АС предприятия

Обследование автоматизированной системы включает в себя:

• определение перечня ПДн, подлежащих защите;

• определение перечня ИСПДн, обрабатывающих ПДн;

У

• определение используемых средств защиты ПДн;

• анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн;

• определение степени участия персонала в обработке ПДн.

По результатам обследования формируется отчет, в котором содержатся исходные данные для классификации ИСПДн и описание текущего состояния защиты ПДн.

Классификация ИСПДн

На втором этапе работ на основе информации, собранной на этапе обследования, проводится классификация ИСПДн. Классификация проводится в соответствии с "Порядком проведения классификации ИСПДн", утвержденным приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК), ФСБ и Министерства информационных технологий и связи РФ №55/86/20 от 13 февраля 2008 г.

Для классификации ИСПДн производится категорирование следующих исходных данных:

• категория обрабатываемых в информационной системе данных (Хпд);

• объем обрабатываемых персональных данных (Хнпд);

• заданные оператором характеристики безопасности ПДн;

• структура информационной системы;

• наличие подключений к сетям связи общего пользования;

• режим обработки персональных данных;

• режим разграничения прав доступа пользователей;

• местонахождение технических средств.

Различают типовые и специальные ИСПДн.

К типовым ИСПДн относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные ИСПДн — системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (например, защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Для типовых ИСПДн определено четыре возможных класса в зависимости от вида и степени ущерба субъекту ПДн, возникающего вследствие реализации угроз безопасности: К1, К2, КЗ и К4.

Класс типовой системы определяется по таблице, в зависимости от категорий исходных

Определение класса типовой системы по категориям исходных данных

^^^Хнпд Хпд 3 2 1

Категория 4 К4 К4 К4

Категория 3 КЗ КЗ К2

Категория 2 КЗ К2 К1

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Категория 1 К1 К1 К1

данных ИСПДн (см. таблицу). Результаты классификации ИСПДн оформляются соответствующим актом, подписываемым руководителем предприятия, с указанием всех исходных данных.

На сегодняшний день, классификация ИСПДн, несмотря на простоту используемой методики, является наиболее важной и сложной работой, поскольку:

• обязанность и ответственность за проведение классификации возложена на оператора ПДн;

• состав требований, а следственно и стоимость защиты, напрямую зависят от класса ИСПДн;

• неоднозначность формулировок очень часто приводят к ошибкам категорирования данных, присвоению системе завышенного класса и неоправданным расходам.

В большинстве случаев, если есть такая возможность, бывает экономически выгоднее привлечь к классификации ИСПДн экспертов по ПДн.

Разработка модели угроз и требований по защите

В зависимости от класса и некоторых характеристик типовой ИСПДн определяются соответствующие модель угроз и требования по защите персональных данных. Модель определяется на основе перечня угроз, который содержится в "Базовой модели угроз безопасности ПДн при их обработке в ИСПДн", определенной ФСТЭК. При необходимости применения средств криптографических защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн разрабатываются на основании разработанных моделей угроз и нарушителя в соответствии с методическими рекомендациями ФСТЭК и ФСБ. Для типовых систем требования могут быть определены по документу "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабаты-

ваемых в информационных системах персональных данных".

Планирование мероприятий по обеспечению безопасности ПДн

Далее, с учетом исходных данных, полученных на этапе обследования ИСПДн, проводится оценка соответствия существующего порядка обеспечения информационной безопасности разработанным требованиям, анализ недостатков и применимости средств защиты информации в ИСПДн организации. По результатам анализа разрабатываются рекомендации по устранению выявленных недостатков и нарушений, Техническое задание на проектирование системы защиты, удовлетворяющей разработанным требованиям, а также План реализации мероприятий по созданию и внедрению СЗПДн.

Разработка и внедрение СЗПДн

В рамках проектирования СЗПДн выполняются следующие работы:

• подготовка и согласование технического задания;

• макетирование и стендовые испытания средств защиты информации при необходимости;

• разработка технического проекта;

• разработка рабочего проекта и сопутствующей документации.

На основе технического задания осуществляется разработка технического проекта, содержащего детальное описание конкретных программно-технических и организационных решений, обеспечивающих исполнение установленных требований по защите ПДн в создаваемой СЗПДн.

В процессе рабочего проектирования осуществляется разработка пакета эксплуатационной и организационно-распорядительной документации, отвечающей требованиям нормативных документов по защите ПДн и регламентирующей порядок обеспечения безопасности ИСПДн в организации.

Работы по созданию системы защиты персональных данных могут выполняться операторами ПДн как собственными силами, так и с привлечением сторонних специалистов. зиро-ванных по ИБ. Однако, в соответствии с положениями Федерального закона от 08.08.2001 г. №128 "О лицензировании отдельных видов деятельности" и требованиями постановления Правительства РФ от 16.08.2006 г. №504 "О лицензировании деятельности по технической защите конфиденциальной информации" работы по защите ПДн при их обработке в ИСПДн классов К1 и К2 и в распределенных

ИСПДн класса КЗ требуют наличия лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации, в следствии чего предприятия-операторы таких систем должны получить такую лицензию, либо привлечь на договорной основе компа-нию-интегратора, специализирующуюся на оказании услуг в области информационной безопасности и обладающую необходимыми лицензиями.

На завершающем этапе проводится обучение сотрудников и разработка проектов документов, необходимых для выполнения контрольных мероприятий и, при необходимости, аттестационных испытаний. Аттестация требуется только для систем класса К1 и К2. В рамках этапа также осуществляется проведение самих испытаний, а также оформление Аттестата соответствия.

Заключение

Ведущими специалистами по информационной безопасности было выявлено много противоречий и шероховатостей в существующих нормативных документах, регламентирующих защиту ПДн. Весной 2009 г. ассоциацией российских банков (АРБ) при поддержке некоторых депутатов в РКН было направлено письмо с обоснованными предложениями доработки нормативной базы и отсрочке начала проверок по 152-ФЗ на 2 года.

В июне РКН ответил отрицательно на обращение банкиров по поводу переноса сроков начала проверки ИСПДн на соответствие 152-ФЗ, однако признал, что для устранения существующих сложностей возможны изменения в законах, касающихся ПДн. Изменения, внесенные в Кодекс об административных нарушениях (КоАП) в июне 2009 г., ясно подтвердили позицию регулятора и продемонстрировали тенденцию к ужесточению санкций за система-

тическое нарушение и неисполнение требований по обеспечению безопасности ПДн. Для всех стало очевидным, что затраты за защиту персональных данных ПДн неизбежны.

Опыт первых проверок, прошедших в 2008-2009 гг. показывает, что для того чтобы в нынешних условиях недостатка времени и ресурсов сделать первый шаг на пути к созданию СЗПДн, необходимо, как минимум, провести классификацию ИСПДн и выработать поэтапный план мероприятий по обеспечению безопасности ПДН в соответствии со всеми требованиями 152-ФЗ.

Планируя разработку СЗПДн надо учитывать, что для защиты ПДн на предприятии необходимо внедрение целого комплекса организационных и технических мер защиты, от эффективности которых зависит, станут ли затраты на ИБ вынужденными потерями или вложением в конкурентоспособность компании.

Сертификация на соответствие требованиям "Базовый уровень информационной безопасности

операторов связи"

Светушкин СА.,

советник генерального директора ООО "Безопасные телекоммуникации" svet@sectel.ru

Введение

Обеспечение безопасности сети связи общего пользования всегда была и остается актуальной задачей государственного значения. В текущей ситуации, когда сеть связи общего пользования формируется из сетей операторов связи различного масштаба, одним из направлений решения этой непростой задачи видится в стандартизации требований к информационной безопасности операторов связи и создание эффективной динамично развивающей системы сертификации. Требования к "Базовому уровню информационной безопасности оператора связи" системы сертификации "Связь-качество" является большим шагом в этом направлении.

Система сертификации "Связь-качество"

Система добровольной сертификации "Связь-Качество" ориентирована на услуги связи, средства связи и системы управления качеством предприятий связи. Целями системы добровольной сертификации "Связь-Качество" являются:

• подтверждение соответствия качества предоставляемых услуг связи установленным требованиям и нормативам;

• стимулирование различных операторов связи к повышению качества предоставляемых ими услуг;

• создание уверенности у потребителей в стабильности и устойчивости предоставляемых услуг связи.

Мировой опыт показывает высокую эффективность института добровольной сертификации при условии существования самоорганизующихся профессиональных объединений. В этой связи активная и консолидированная позиция операторов связи позволяет формировать среду их существования в самом широком смысле (бизнес, технологии, методология, сред-

Ключевые слова:

сертификация, информационная безопасность, операторы связи, подтверждение соответствия

ства связи). Вместе с тем, очевидно, что требования добровольной системы сертификации в перспективе (когда общий уровень операторского сообщества будет соответствовать выдвигаемым требованиям) станут элементами системы обязательной сертификации, целью которой в данном случае будет законодательно поддержать операторское сообщество на уровне, который сами же операторы сформировали.

Требования "Базовый уровень информационной безопасности

операторов связи"

Одним из направлений системы сертификации "Связь-Качество" является направление "Управление информационной безопасностью сетей и систем операторов связи".

В рамках данного направления разработаны следующие нормативные документы:

• Требования "Базовый уровень информационной безопасности операторов связи";

• Требования к "Системе обнаружения потерь доходов операторов связи и потребителей".

i Надоели баннеры? Вы всегда можете отключить рекламу.