CC BY
46
Молянов Д.А., Фатеев А.Г.
ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО БЮДЖЕТНОГО УЧРЕЖДЕНИЯ «ФЕДЕРАЛЬНАЯ КАДАСТРОВАЯ ПАЛАТА ФЕДЕРАЛЬНОЙ СЛУЖБЫ ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ, КАДАСТРА И КАРТОГРАФИИ» СУБЪЕКТА РФ
27 июля 2006 года был принят Федеральный закон № 152-ФЗ «О персональных данных» [1] устанавливающий требования, обязательные для всехоператоров, осуществляющихобработку персональных данных (ПДн) . С момента принятия Закона [1] , был разработан и введен в действие целый ряд документов, определяющих выполнение требований Закона - Постановлений Правительства РФ, приказов государственных регуляторов, нормативно-методических документов ФСТЭК, ФСБ и Роскомнадзора. Также были внесены изменения в положения самого Закона [1].
Цель данной статьи - дать обзор актуальных особенностей обеспечения безопасности ПДн, возникающих при этом сложностей и проблем, а также способов их разрешения на примере ФГБУ «ФКП Росрее-стра» субъекта РФ (далее - Учреждение).
Учреждение представляет собой территориальный отдел ФГБУ «ФКП Росреестра», осуществляющий на территории соответствующего субъекта РФ полномочия Росреестра по государственному кадастровому учету объектов недвижимости и ведению государственного кадастра недвижимости. При осуществлении основных видов деятельности обрабатываются ПДн физических лиц, в отношении которых Учреждением исполнятся государственная функция, и ПДн работников, состоящих в трудовых отношениях с Учреждением. Таким образом, выделяются две ИСПДн, в которых обрабатываются ПДн работников Учреждения и заявителей (физических лиц) соответственно. Наибольшую сложность представляет собой ИСПДн, предназначенная для обработки ПДн заявителей, обратившихся в Учреждение за государственными услугами. ЭтаИСПДн обладает следующими особенностями:
сложная распределенная структура с выходом в сеть общего пользования. ИСПДн распределена по территории соответствующего субъекта РФ и соединена в единую сеть;
наличие в ИСПДн отдельных информационных систем, отнесенных на основании правовых актов Правительства РФ к Федеральным государственным информационным системам (ФГИС); наличие как автоматизированной, так и неавтоматизированной обработки ПДн;
большой объем обрабатываемых ПДн (на уровне субъекта РФ) и большое количество сотрудников Учреждения, имеющих доступ к ИСПДн.
Перечисленные особенности вызывают следующие сложности при обеспечении безопасности ПДн при их обработке в Учреждении:
необходимость защиты ПДн при их передаче между площадками межрайонных отделов и центральным аппаратом Учреждения;
необходимость соблюдения дополнительных требований и условий, предъявляемых к ФГИС, устанавливаемых иными нормативными актами, регулирующими деятельность Учреждения;
наличие большого объема обрабатываемых ПДн, централизованно хранящихся и извлекаемых из общей БД ФГИС, предъявляет повышенные требования к обеспечению конфиденциальности, целостности и доступности обрабатываемых данных.
В настоящее время в связи со спецификой деятельности, и ряду причин, в Учреждении можно наблюдать только лишь частичное соблюдение соответствующих требований законодательства в области защиты ПДн; соблюдены лишь некоторые «интуитивно понятные» либо уже сложившиеся меры по обеспечению безопасности ПДн. В качестве примеразащитных мер, реализуемых в Учреждении, можно привестиследую-щие :
реализован пропускной режим, исключающий пребывание в помещениях ИСПДн посторонних лиц; реализована система разграничения доступа пользователей и обслуживающего персонала к обрабатываемым ПДн, программным и техническим средствам обработки (передачи) и защиты информации; все обращения пользователей к ПДн регистрируются в электронном журнале;
приняты и используются политики парольной защиты и антивирусной защиты;
все сотрудники Учреждения, допущенные к работе с ПДн, ознакомлены с перечнем обрабатываемыхПДн и требованием обеспечения конфиденциальности ПДн, а также ответственностью за нарушение данного требования.
Перечень реализуемых защитных мер требует дополнения. Это относится к документации, которая должна быть разработана в соответствии с требованиями действующих нормативно-правовых актов по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн. С учетом всехтребований, предъявляемых к ФГИС другими документами, число необходимых документов может достигать 40 и более.
Для приведения системы защиты персональных данных (СЗПДн) в соответствии с требованиями действующего законодательства РФ в области защиты ПДн Учреждением должны быть последовательно решены ряд задач, в их числе:
определение состава обрабатываемых ПДн, целей и условий их обработки, определение сроков хранения ПДн;
выделение и классификация ИСПДн; разработка модели угроз для ИСПДн; проектирование и реализация СЗПДн;
разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн;
организация постоянного контроля за обеспечением уровня защищенности ПДн и условий использования СЗПДн.
При выполнении каждой из перечисленных этапов работ должны быть организационно -распорядительные документы, содержащие результаты деятельности по приведению СЗПДн в соответствии с требованиями законодательства РФ по защите ПДн.
При выполнении указанных работ могут возникнуть определенные затруднения, связанные с несовершенством действующих нормативно-правовых актов по вопросам защиты ПДн. В частности, в «Порядке проведения классификации информационных систем персональных данных» [2], не установлены классы
для специальных ИСПДн, к которыми относятся все эксплуатируемые либо проектируемые ИСПДн на территории РФ, что следует из ч. 1, 2 ст. 19 ФЗ «О персональных данных» [1] и п. 11.г «Положения об обеспечении безопасности персональных данных» [3] . В связи с этим критерии классификации специ-
альных ИСПДн по сути зависят от возможностей и целей оператора. Для рассматриваемого Учреждения такой подход можно считать наиболее удачным, так как он позволяет понизить итоговый класс ИСПДн и, соответственно, снизить строгость предъявляемых к нему требований.
Необходимо обратить внимание на необходимость получения лицензий на деятельность по технической защите конфиденциальной информации (ТЗКИ) и на деятельность по техническому обслуживанию шифровальных (криптографических) средств. Получение лицензий является одним из наиболее затратны-
хэтапов, так как даже по оптимистичным оценкам выполнение лицензионных требований и условий обойдется Учреждению в несколько миллионов рублей. В настоящее время с принятием нового «Положения о лицензировании деятельности по технической защите конфиденциальной информации» [4] такая лицензия является обязательной для всех операторовПДн, что совпадает с официальным мнением ФСТЭК по этому вопросу. Эти же выводы относятся и к получению лицензии на осуществление деятельности по техническому обслуживанию шифровальных (криптографических) средств, необходимость получения которой следует из использования в Учреждении средств криптографической защиты [5]. Затратность определяется еще и тем, что получение лицензии требует проведение аттестацииИСПДн вместе с разработанной СЗПДн на соответствие требованиям безопасности информации (БИ), предъявленным к установленному классу ИСПДн.
При проведении исследований были выявлены актуальные особенности обеспечения безопасности ПДн в РФ, возникающие при этом сложности и проблемы, а также определена последовательность работ по приведению СЗПДн в соответствие стребованиям действующего законодательства РФ.
В заключение необходимо отметить, что описанные сложности связаны с некоторыминедостатками действующего законодательства РФ в области защиты ПДн. В частности, в ч. 3 ст. 19 ФЗ «О персональных данных» [1], согласно которой Правительство РФ устанавливает:
уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных ;
требования к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн.
Там же [1], в ч. 4. ст. 19, говорится о том, что состав и содержание необходимых для выполнения указанных требований к защите ПДн для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются ФСТЭК и ФСБ в пределах их полномочий. Однако в настоящее время документ, устанавливающий уровни защищенности ПДн, отсутствует. Соответственно, отсутствуют и требуемые уточняющие акты ФСБ и ФСТЭК, то есть фактически до издания соответствующих подзаконных актов операторы не смогут выполнить соответствующие требования.
Что касается сроков выхода данных документов, то 1 марта 2012 года на проведенном Роскомнадзо-ром Заседании Консультативного совета при Уполномоченном органе по защите прав субъектов ПДн, были представлены доклады начальника 8 центра ФСБ России о состоянии разработки проектов постановлений Правительства РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» и «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных». Следовательно, можно ожидать утверждения данных Постановлений в самое ближайшее время. При этом неясно, будут ли отменены действующие документы ФСТЭК и ФСБ, содержащие порядок классификации [2], построения модели угроз [6-8] и выбора защитных мер [9,10] для ИСПДн, или же они будут использоваться совместно с новыми Постановлениями. В любом случае, едва ли стоит ожидать, что разрабатываемые ФСБ документы облегчат предъявляемые к операторам ПДн требования.
Пока что операторам следует руководствоваться действующими нормативно-правовыми актами в области защиты ПДн, но быть готовыми к приведению своихИСПДн в соответствие с возможными изменениями в законодательстве.
ЛИТЕРАТУРА
1. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (в ред. Федеральных законов от 25.11.2009 «№ 266-ФЗ», от 27.12.2009 «№ 363-ФЗ», от 28.06.2010 «№ 123-ФЗ», от 27.07.2010 «№ 204-ФЗ», от 27.07.2010 «№ 227-ФЗ», от 29.11.2010 «№ 313-ФЗ», от 23.12.2010 «№ 359-ФЗ», от 04.06.2011 «№ 123-ФЗ», от 25.07.2011 «№ 261-ФЗ»).
2. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».
3. Постановление Правительства РФ от 17 ноября 2007 года № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
4. Постановление Правительства РФ от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
5. Постановление Правительства РФ от 29 декабря 2007 года № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» .
6. Базовая модель угроз безопасности персональных данных при их обработке в информационных
системах персональных данных» (утверждена заместителем ФСТЭК России 15 февраля 2008 года).
7. «Методика определения актуальных угроз безопасности персональных данных при их обработке в
информационных системах персональных данных» (утверждена заместителем ФСТЭК России 14 февраля
2008 года).
8. «Методические рекомендации по обеспечению с помощью криптографических средств безопасности
персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены приказом руководства 8 Центра ФСБ России от 21.02.2008 №
149/54-144).
9. Приказ ФСТЭК России от 5 февраля 2010 № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».
10. «Типовые требования по организации и обеспечению функционирования шифровальных (криптогра-
фических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены приказом руководства
8 Центра ФСБ России от 21 февраля 2008 года № 149/6/6-622).
