Должны ли платить алименты, лишенные прав родители?
Предлагаем обсудить две таких тесно переплетающихся темы, как лишение родительских прав и . Физические лица узнают про...
Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.
Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.
Необходимость принятия мер по защите персональных данных (далее ПДн) вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.
С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.
Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации. Представьте себе работу кредитно-финансовой или телекоммуникационной компании, которая потеряла хотя бы часть информации о своих клиентах. Долго ли просуществует такая компания на рынке?..
Понимая важность и ценность информации о человеке, а также заботясь о
соблюдении прав своих граждан, государство требует от организаций и физических
лиц обеспечить надежную защиту персональных данных. Законодательство Российской
Федерации в области ПДн основывается на Конституции РФ и международных договорах
Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. N
152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи
и особенности обработки персональных данных, отраслевых нормативных актов,
инструкций и требований регуляторов.
В 1981 году Совет Европы принял Конвенцию «О защите личности в связи с автоматической обработкой персональных данных». 25 ноября 2005 г. Государственная Дума ратифицировала данную Конвенцию (ФЗ от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»), возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн. Первым шагом в реализации взятых обязательств стало принятие Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных». Закон вступил в силу в январе 2007 года.
Закон № 152-ФЗ определил высокоуровневые требования, которые затем были конкретизированы в подзаконных актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
Каждый из этих актов и документов посвящен отдельным областям и тематикам законодательства и будет раскрываться в дальнейшем по ходу изложения материала. Целью российского законодательства в области ЗПД является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой ПДн, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.
Состав и содержание персональных данных определяют операторы ПДн1 в зависимости от целей их обработки. Например, перечень персональных данных для популярных в последнее время систем лояльности клиентов компании, как правило, включают контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. Состав этих сведений не должен быть избыточен при этом оставаясь достаточным, чтобы «понимать» предпочтения клиента, его финансовые возможности, «отслеживать» его покупательскую историю и т.п.
Отличие российского и международного законодательства США, Великобритания и Канада, так же как и Россия, разработали технические регламенты, которые транслируют положения законодательства верхнего уровня в конкретные советы и рекомендации по защите персональных данных. В Великобритании в 1998 году был принят «Закон о защите персональных данных» – «Data Protection Act 1998». Его техническая реализация – проект стандарта «Specification for the management of personal information in compliance with the Data Protection Act 1998» (BS 10012) должен получить статус официального документа в июне 2009. Параллельно с англичанами свою версию стандарта по безопасности ПДн выпустили в США. Проект документа по защите персональных данных для американских государственных структур – «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» (SP 800122) регламентирует выполнение Законов «The Privacy Act of 1974» и «Privacy Protection Act of 1980». Канада выпустила «Privacy Code» – набор документов для реализации законодательства по защите сведений о частных лицах (The Privacy Act и PIPEDA).
Канадский, английский и американский стандарты, в отличие от документов российских регуляторов, дают более общие екомендации по обеспечению безопасности ПДн и не предписывают, как конкретно должны защищаться персональные данные. Более того, тот же американский стандарт рекомендует по возможности обезличивать персональные данные, чтобы уйти от различных защитных мер, снижающих удобство пользования информацией.
Существуют случаи, когда цели, состав и содержание ПДн четко определяются законодательными и нормативно-правовыми актами. Это касается областей, где взаимоотношения между субъектами ПДн и операторами нуждаются в строгой регламентации. При этом в некоторых случаях2 субъект персональных данных обязан предоставлять оператору сведения о себе.
Например, функционирование определенных отраслей экономики связано с необходимостью обеспечения безопасности. Так, ФЗ-16 «О транспортной безопасности» определяет необходимость создания единой государственной информационной системы обеспечения транспортной безопасности. Такая система должна состоять из централизованных баз персональных данных о пассажирах, включающих следующие данные:
Регламентация состава и содержания ПДн касается отношений, связанных с трудовой деятельностью человека. Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением № 1 Госкомстата России от 05.01.2004. К таким сведениям относятся:
К другим нормативным актам, регулирующим отношения в сфере деятельности человека и определяющим цели обработки, состав и содержание ПДн, относятся ФЗ-179 «Трудовой кодекс РФ», ФЗ-27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», ФЗ-129 «О государственной регистрации юридических лиц и индивидуальных предпринимателей» и т.п.
Какие сведения о сотрудниках государственных организаций собирать и как их
обрабатывать, определяет Указ Президента РФ от 30 мая 2005 г. N 609 «Об
утверждении Положения о персональных данных государственного гражданского
служащего Российской Федерации и ведении его личного дела».
Своя специфика
существует и в различных отраслях экономики. Определенные рамки обработки
персональных данных для кредитно-финансовых учреждений устанавливает ФЗ-218 «О
кредитных историях», для авиационного транспорта – Воздушный кодекс, для
торговых организаций (Интернет-магазинов и т.п.) – Постановление Правительства
Российской Федерации от 27 сентября 2007 г. N 612 «Об утверждении Правил продажи
товаров дистанционным способом», для туристического бизнеса – Постановление
Правительства Российской Федерации от 18 июля 2007 г. N 452 «Об утверждении
Правил оказания услуг по реализации туристского продукта» и т.п.
Невозможно не упомянуть и ФЗ-143 «Об актах гражданского состояния», в котором государство четко определяет, какие сведения о личности должны собираться, храниться и обрабатываться на протяжении всей его жизни.
Законодательство определяет различные категории персональных данных. К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.
Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:
Категория 1 – персональные данные, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных и философских убеждений,
состояния здоровья, интимной жизни.
Категория 2 – персональные данные,
позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную
информацию, за исключением персональных данных, относящихся к категории
1.
Категория 3 – персональные данные, позволяющие идентифицировать субъекта
ПДн.
Категория 4 – обезличенные и (или) общедоступные персональные
данные.
Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. Этот параметр может принимать следующие значения:
Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.
Исходя из определения биометрических ПДн, к ним относятся фотографии и видеизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения – в системах видеонаблюдения и т.п.
Согласно Закону №152-ФЗ операторами персональных данных являются
государственный орган, муниципальный орган, юридическое или физическое лицо,
организующие и (или) осуществляющие обработку персональных данных, а также
определяющие цели и содержание обработки персональных данных.
Под обработкой
ПДн понимаются действия (операции) с персональными данными, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
использование, распространение (в том числе передачу), обезличивание,
блокирование, уничтожение ПДн.
Исходя из определения, можно сделать вывод о том, что все без исключения организации или компании независимо от форм собственности являются операторами персональных данных, поскольку они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках в соответствии с российским законодательством (Трудовой Кодекс РФ). Помимо этого многие компании по роду своей деятельности обрабатывают сведения о своих клиентах, партнерах, поставщиках и субподрядчиках, которые им необходимы для выполнения функций в соответствии с их назначением.
В каких случаях оператор ПДн имеет право не уведомлять Роскомнадзор Оператор вправе осуществлять обработку следующих персональных данных без уведомления уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор):
- относящихся к субъектам ПДн, которых с оператором связывают трудовые отношения;
- полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора
и заключения договоров с субъектом ПДн;- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных
целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;- являющихся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем (далее ИС), а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов ПДн.
При этом бытует ошибочное мнение о том, что в случае, если нет необходимости регистрироваться как оператор ПДн в Роскомнадзоре (а законом такие случаи предусмотрены), то компания не является оператором ПДн и на нее не распространяются обязанности, предусмотренные законодательством. Более того, таким образом компании пытаются оправдать свое бездействие в области обеспечения безопасности ПДн. Если компания не предпринимает никаких усилий по защите персональных данных, это однозначно расценивается как «невыполнение требований российского законодательства».
Российское законодательство возлагает на операторов ПДн определенные обязанности, основными из которых являются:
Невыполнение требований законодательства?.. Какие последствия?..
Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот
же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).
При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.
В российском законодательстве определяются основные принципы обработки персональных данных4 . К ним, в частности, относятся:
Большое значение в Законе уделено условиям обработки персональных данных5 . Так, обработка персональных данных может осуществляться оператором только с письменного согласия субъектов ПДн.
В каких случаях не требуется согласие субъекта ПДн на обработку сведений о нем?
Согласие субъекта ПДн не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПДн своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
- оператор и субъект ПДн связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
- бработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
- обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный. Об этих видах обработки ПДн речь пойдет в следующих разделах статьи.
Обработка персональных данных требует создание специального режима, в котором четко определены технология их обработки, порядок и условия существования ПДн на каждом этапе их жизненного цикла. Это предусматривает разработку и внедрение процедур их сбора, приема, учета, регистрации, хранения, использования, уничтожения и т.п. Большое значение при этом имеет срок хранения ПДн, а также наличие системы контроля обработки ПДн на всех этапах их жизненного цикла.
Определение сроков обработки ПДн крайне важно потому, что Федеральный закон определяет, что «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки».
Анализ технологических процессов обработки ПДн
В своих проектах по защите ПДн специалисты компании «Инфосистемы Джет» большое внимание уделяют учету технологических процессов обработки персональных данных (жизненный цикл ПДн) и получению информации о существующих процедурах обработки ПДн. С этой целью ими проводятся следующие работы:
- анализ документов, определяющих технологические процессы обработки ПДн;
- проведение интервью с сотрудниками заказчика, реализующими процедуры обработки ПДн;
- определение владельца технологического процесса обработки ПДн (соотнесение технологического процесса со структурным подразделением заказчика и используемой ИСПДн);
- определение процедур сбора, приема, учета и регистрации ПДн в информационных системах персональных данных, хранения, обработки, выпуска, копирования и передачи ПДн, их уничтожения и контроля за этими процедурами.
Сроки обработки также определяются на основании других нормативно-правовых актов. Так, требованиями трудового, гражданского, пенсионного законодательства, отраслевых нормативных актов устанавливаются определенные сроки обработки персональных данных. Например, для карточек Т-2 – это 75 лет6 (Постановление Госкомстата № 1), а для сведений о предоставленных абоненту услугах связи – 3 года (Постановление Правительства № 538).
Неавтоматизированная обработка персональных данных осуществляется в
соответствии с Постановлением Правительства Российской Федерации от 15 сентября
2008 г. N 687 г. «Об утверждении Положения об особенностях обработки
персональных данных, осуществляемой без использования средств
автоматизации».
Согласно данному Постановлению, обработка персональных данных
считается осуществленной без использования средств автоматизации
(неавтоматизированной), если такие действия осуществляются при непосредственном
участии человека.
Что считать неавтоматизированной обработкой ПДн?
Вопрос разделения неавтоматизированной и автоматизированной обработки у многих организаций вызывает затруднения. Рассмотрим п.п. 1 и 2
Постановления РФ:
- Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее – персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
- Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Исходя из этого, некоторые организации полагают, что всю обработку ПДн можно отнести к неавтоматизированной, поскольку во всех случаях имеется факт «обработки ПДн при непосредственном участии человека». И это является ошибкой. В данном случае неправильно рассматривать эту обработку только как неавтоматизированная. К примеру, если пользователь внес данные в персональный компьютер только для того, чтобы их распечатать, и не сохранял данные на компьютере, то эту обработку можно считать неавтоматизированной. Если пользователь сохранил эти данные в виде файла и хранит их на компьютере, то нужно рассматривать эту обработку ПДн в том числе
и как автоматизированную.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн для каждой из них должен использоваться отдельный материальный носитель.
Постановление определяет, какая информация должна быть включена в типовые формы документов, включающих персональные данные, условия ведения журналов (реестров, книг), содержащих ПДн (например, необходимых для однократного пропуска субъекта ПДн на территорию оператора), описывает важнейшие этапы жизненного цикла персональных данных, зафиксированных на материальном носителе.
Для того, чтобы определить, что является «автоматизированной обработкой ПДн», необходимо ввести понятие «автоматизированного файла ПДн», которое означает любой комплекс данных о субъектах ПДн, подвергающийся автоматизированной обработке («Конвенция о защите физических лиц при автоматизированной обработке персональных данных», СЕД №108, от 28 января 1981 г.).
«Автоматизированная обработка ПДн» подразумевает действия с «автоматизированными файлами ПДн», которая включает следующие операции, осуществляемые полностью или частично с помощью средств автоматизации: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.
В соответствии со статьей 19 Федерального Закона «О персональных данных» оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
В данном разделе рассказывается о требованиях к обеспечению безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн), которые содержатся в Постановлении Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также конкретизируются в нормативно-методических документах ФСТЭК и ФСБ.
В каких случаях обеспечение безопасности ПДн не требуется?..
Обеспечение безопасности (в данном случае конфиденциальности) в соответствии с российским законодательством не требуется лишь для обезличенных и общедоступных персональных данных.
Персональные данные могут быть обезличенными, в случае, если над ними были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПДн.
Персональные данные могут быть общедоступными только с письменного согласия субъекта ПДн. Они могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом ПДн.
Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПДн при их обработке в ИСПДн полностью возлагается на оператора персональных данных. В связи с этим оператор обязан:
Кто должен обеспечивать безопасность ПДн?..
Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (уполномоченное лицо). При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПДн при их обработке в ИСПДн.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных.
Информационные системы персональных данных представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются:
Сроки и условия приведения ИСПДн в соответствие с законодательством
Российским законодательством определены сроки и условия приведения ИСПДн в соответствие требованиям по обеспечению безопасности ПДн.
Для информационных систем персональных данных, находившихся в эксплуатации до введения в действие Федерального закона от 27 июля 2006 г. № 152ФЗ «О персональных данных», должна быть обеспечена их доработка, обеспечивающая безопасность ПДн в соответствии с требованиями Законодательства, в срок до 1 января 2010 г.
Для функционирующих ИСПДн доработка (модернизация) систем защиты персональных данных (далее СЗПДн) должна проводиться в случае, если:
- изменился состав или структура самой информационной системы или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ИСПДн);
- изменился состав угроз безопасности ПДн в информационной системе;
- изменился класс ИСПДн.
Для вновь создаваемых или модернизируемых информационных систем деятельность по обеспечению безопасности ПДн является неотъемлемой частью работ по их созданию или модернизации. Производителей приложений, в которых предусмотрена обработка сведений о физических лицах, обязаны реализовывать в своих
разработках требования по безопасности ПДн, предусмотренные российским законодательством.Компания «Инфосистемы Джет», являясь системным интегратором, осуществляет в своих проектах разработку и внедрение различных вычислительных комплексов и бизнес-приложений. Подобные работы проводятся с учетом требований российского законодательства по обеспечению информационной безопасности, в том числе по защите персональных данных.
Персональные данные обрабатываются в массе приложений. Как показал опыт компании «Инфосистемы Джет» по выполнению проектов по ЗПД, их количество может варьироваться от 3 до 5 в малых и средних компаниях, от 30 до 50 – в крупных компаниях. К информационным системам персональных данных могут быть отнесены:
С точки зрения принадлежности информационные системы могут быть следующих видов: ИСПДн государственных и муниципальных органов, юридических и физических лиц, организующих или осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных (за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд).
Классификация ИСПДн проводится оператором в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №. 55/86/20, а также на основании нормативно-методических документов регуляторов ФСТЭК и ФСБ.
Классификация информационных систем проводится на этапе создания или в ходе
их эксплуатации (для ранее введенных в эксплуатацию и модернизируемых
информационных систем) с целью установления методов и способов защиты
информации, необходимых для обеспечения безопасности персональных
данных.
Проведение классификации информационных систем включает в себя
следующие этапы:
При проведении классификации информационной системы учитываются следующие исходные данные:
Таб. 1. Определение класса типовой
информационной системы
Классификация ИСПДн
Практика показала, что существуют определен ные сложности в проведении классификации ИСПДн силами операторов, поскольку для выполнения данной задачи не всегда хватает компетенции собственных специалистов.
Обладая опытом проведения проектов по защите персональных данных, компания «Инфосистемы Джет» сформировала свой подход к проведению данного вида работ. При этом отличительной особенностью является «правильная» классификация ИСПДн, при которой удается в значительной степени минимизировать расходы наших заказчиков на создание системы защиты персональных данных.
В частности, это становится возможным за счет минимизации мест хранения и обработки ПДн, разделения/сегментирования ИС, снижения требований к части сегментов, сокращения числа сотрудников, имеющих доступ к персональным данным, обезличивания части персональных данных, выведения части данных из ИСПДн.
В ходе анализа технологических процессов обработки ПДн специалистами компании «Инфосистемы Джет» вырабатываются рекомендации по снижению предполагаемых классов ИСПДн, которые могут содержать следующее:
- Абстрагирование ПДн – сделать их менее точными, например, путем группирования общих характеристик;
- Скрытие ПДн – удалить всю или часть записи ПДн;
- Замена ПДн – переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи;
- Замена данных средним значением – заменить выбранные данные средним значением для группы ПДн;
- Разделение ПДн на части – использование таблиц перекрестных ссылок;
- Маскирование ПДн – замена одних символов в ПДн другими.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, ИСПДн подразделяются на типовые и специальные:
По структуре информационные системы подразделяются:
По наличию подключений к сетям связи общего пользования и сетям международного информационного обмена информационные системы подразделяются на имеющие и не имеющие подключений к таким сетям.
По режиму обработки персональных данных в информационной системе ИСПДн подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и с разграничением прав доступа.
Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах РФ, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
Класс типовой информационной системы определяется в соответствии с .
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.
К специальным ИСПДн автоматически относятся:
Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 февраля 2008 года:
На основе базовой модели угроз и в соответствии с нормативным документом ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным 14 февраля 2008 г., разрабатываются частные модели угроз в отношении конкретных ИСПДн. В ходе такой разработки составляется перечень актуальных угроз в отношении конкретных информационных систем.
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности ПДн при их обработке в ИСПДн» и «Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденных ФСТЭК, формулируются конкретные организационно- технические требования по защите информационных систем от утечки данных по техническим каналам, от несанкционированного доступа. Также осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.
Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) ПДн. Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Носители ПДн могут содержать информацию, представленную в следующих видах:
В соответствии с Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также документом ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденным 15 февраля 2008 г., мероприятия по обеспечению безопасности ПДн при обработке в ИСПДн формулируются в зависимости от класса информационных систем с учетом возможного возникновения угроз безопасности в отношении персональных данных. Такие мероприятия включают в себя:
Мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн включают:
Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных.
Что включает СЗПДн?
Структура, состав и основные функции систем защиты персональных данных определяются исходя из класса ИСПДн. СЗПДн включает в себя организационные меры, средства защиты информации, а также используемые в информационной системе информационные технологии.
Организационные меры
Обеспечение безопасности персональных данных при их обработке в ИСПДн должно предусматривать:
Средства защиты ПДн
В соответствии с классификацией ИСПДн, а также с учетом актуальных угроз, приведенных в адаптивных моделях для «специальных» ИСПДн, и в соответствии с требованиями нормативно-методических документов регуляторов ФСТЭК РФ и ФСБ РФ, СЗПДн должна включать ряд подсистем, описание которых представлено в следующих разделах.
Средства защиты ПДн от утечки по техническим каналам
С целью предотвращения утечек акустической (речевой), видовой информации, а также утечек информации за счет побочных электромагнитных излучений и наводок применяются специальные технические средства. При этом выделяются пассивные и активные средства защиты.
Пассивные средства защиты , как правило, реализуются на этапе разработки проектных решений при строительстве или реконструкции зданий. Преимущества применения пассивных средств заключаются в том, что они позволяют заранее учесть типы строительных конструкций, способы прокладки коммуникаций, оптимальные места размещения защищаемых помещений.
Защита ПДн при осуществлении пользователями информационных систем голосового ввода данных в ИСПДн или их воспроизведении акустическими средствами ИСПДн обеспечивается путем звукоизоляции помещений, в которых устанавливаются аппаратные средства ИСПДн, систем инженерного обеспечения (вентиляции, отопления и кондиционирования), а также ограждающих конструкций помещений (стены, пол, потолок, окна, двери).
Что использовать: встроенные или наложенные средства защиты?
Опираясь на накопленный опыт в области защиты информации, специалисты компании «Инфосистемы Джет» в проектировании решений по защите ПДн при их обработке в ИСПДн стараются комбинировать как наложенные средства защиты информации, так и встроенные механизмы защиты в общесистемное и прикладное программное обеспечение (ПО), используемое в ИСПДн. Каждый вариант имеет свои достоинства и недостатки. Наложенные средства далеко не всегда могут в полной мере реализовать требования регуляторов, а также могут оказаться несовместимыми с уже используемыми в ИСПДн программными решениями. Применение встроенных механизмов приводит к возникновению проблем, связанных с обязательным наличием у такого ПО сертификатов соответствия российских регуляторов.
Специалисты компании «Инфосистемы Джет» отдают предпочтение встроенным механизмам реализации управления доступом к ПДн.
Данный подход обусловлен тем, что позволяет минимизировать изменения в структуре как самих ИСПДн, так и механизмов безопасности.
Большое внимание при проектировании СЗПДн специалисты нашей компании также уделяют обеспечению целостности настроек самих средств защиты информации. При выборе данных средств компанией «Инфосистемы Джет» тщательно анализируются собственные механизмы контроля целостности. Только неизменность настроек средств защиты информации может гарантировать оператору ПДн надежную защиту обрабатываемой в ИСПДн информации.
Звукоизоляция обеспечивается с помощью архитектурных и инженерных решений,
применением специальных звукопоглощающих строительных и отделочных материалов,
виброизолирующих опор, которыми разделяют друг от друга различные ограждающие
конструкции. Для обеспечения требований по защите ПДн достаточным является
повышение звукоизоляции на 10-15 дБ. Для снижения вероятности перехвата
информации такого рода необходимо исключить возможность установки посторонних
предметов на внешней стороне ограждающих конструкций помещений и выходящих из
них инженерных коммуникаций.
В случае технической невозможности использования
пассивных средств защиты помещений, применяют активные меры защиты
,
заключающиеся в создании маскирующих акустических и вибрационных помех.
Средства акустической маскировки используется для защиты речевой информации от утечки по прямому акустическому каналу путем создания акустических шумов в местах возможного размещения средств подслушивания или нахождения посторонних лиц.
Средства виброакустической маскировки применяются для защиты информации от перехвата с помощью электронных стетоскопов, радиостетоскопов, а также лазерных акустических систем подслушивания.
Для получения оптимального уровня антивирусной защиты ИСПДн компания «Инфосистемы Джет» реализует двух-эшелонную систему защиты информации. Первый эшелон организуется на периметре информационной системы оператора ПДн, второй эшелон защищает внутренние ресурсы системы от возможного попадания вирусов путем использования непроверенных носителей информации сотрудниками оператора. Не секрет, что не все антивирусы «одинаково полезны». Опыт нашей компании показывает, что не существует универсального средства безопасности от вирусов, поэтому для наиболее эффективной защиты в проектируемых решениях наши специалисты применяют одновременно антивирусные средства разных производителей.
С целью предотвращения утечки информации по телефонным каналам связи необходимо оконечные устройства телефонной связи, которые имеют прямой выход на городскую автоматическую телефонную станцию, оборудовать специальными средствами защиты информации, которые используют электроакустическое преобразование.
Для осуществления мероприятий по защите ПДн при их обработке в информационных системах от несанкционированного доступа (НСД) и неправомерных действий пользователей и нарушителей СЗПДн могут включать в себя следующие подсистемы:
Подсистема управления доступом, регистрации и учета , как правило, реализуется с помощью программных средств блокирования НСД, сигнализации и регистрации. Это специальные, не входящие в ядро операционной системы программные и программно-аппаратные средства защиты самих операционных систем, СУБД и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения несанкционированных действий пользователей или нарушителей. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики (тестирование файловой системы), регистрации (журналирование действий и операций), сигнализации (предупреждение об обнаружении фактов несанкционированных действий или нарушения штатного режима функционирования ИСПДн).
Подсистема обеспечения целостности
также реализуется преимущественно
средствами самих операционных систем и СУБД. Работа данных средств основана на
расчете контрольных сумм, уведомлении о сбое в передаче пакетов сообщений,
повторе передачи непринятых пакетов.
Частота применения в российских
компаниях в качестве операционной системы продуктов компании Microsoft вызвала
необходимость использовать в качестве базовой платформы для построения решения
подсистемы разграничения и контроля доступа к ресурсам информационной системы
функционал Microsoft Windows Server 2003.
Эта сетевая операционная система наряду с необходимым для обеспечения безопасности ПДн набором технологических параметров обладает всеми необходимыми сертификатами на соответствие требованиям регулирующих органов. ФСТЭК России в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертифицировал:
Компанией Microsoft также производится сертификация ежемесячно выходящих новых патчей к данным продуктам.
ФСБ России сертифицировала русскую версию серверной операционной системы Windows Server 2003 Enterprise Edition. Сертификат ФСБ удостоверяет, что продукт соответствует требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2. Таким образом, данная система может быть использована в качестве средства для защиты ПДн в ИСПДн.
Последней версией Windows Server является версия Windows Server 2008.
Ожидается, что к дате выхода данной статьи сертификация данной ОС будет получена
и в технических решениях для подсистемы управления доступом, регистрации и учета
будет возможно применение Microsoft Windows Server 2008.
Для обеспечения
безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку
этой информации, рекомендуется применять специальные средства антивирусной
защиты (подсистема антивирусной защиты). Такие средства способны
обеспечивать:
Подсистема антивирусной защиты должна строиться с учетом следующих факторов:
Для реализации подсистемы антивирусной защиты ПДн при их обработке в ИСПДн возможно использование антивирусных средств компании «Лаборатория Касперского».
Продукты компании «Лаборатория Касперского» сертифицированы Федеральной службой безопасности России. Данные сертификаты удостоверяют, что Антивирус Касперского 6.0 для Windows Servers соответствует требованиям к антивирусным средствам класса А1с, Антивирус Касперского 5.5 для Linux и FreeBSD Workstations и File Server соответствует требованиям к антивирусным средствам класса А2с и Kaspersky Administration Kit 6.0 соответствует требованиям к антивирусным средствам класса А3с. Указанные продукты могут использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.
Кроме того, продукты Антивирус Касперского 6.0 для Windows Servers, Антивирус
Касперского 6.0 для Windows Workstation и Kaspersky Administration Kit 6.0
соответствуют требованиям руководящего документа ФСТЭК – по 3 уровню контроля и
требованиям технических условий.
Для осуществления разграничения доступа к
ресурсам ИСПДн при межсетевом взаимодействии (подсистема обеспечения
безопасности межсетевого взаимодействия ИСПДн)
применяется межсетевое
экранирование, которое реализуется программными и программно-аппаратными
межсетевыми экранами (МЭ). Межсетевой экран устанавливается между защищаемой
внутренней и внешней сетями. МЭ входит в состав защищаемой сети. За счет
соответствующих настроек задаются правила, которые позволяют ограничивать доступ
пользователей из внутренней сети во внешнюю и наоборот.
Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 3 и 4 классов рекомендуется использовать МЭ не ниже пятого уровня защищенности, в ИСПДн 2 класса – МЭ не ниже четвертого уровня защищенности, в ИСПДн 1 класса – МЭ не ниже третьего уровня защищенности.
Подсистема анализа защищенности
предназначена для осуществления
контроля настроек защиты операционных систем на рабочих станциях и серверах и
позволяет оценить возможность проведения нарушителями атак на сетевое
оборудование, контролирует безопасность программного обеспечения. С помощью
таких средств (средства обнаружения уязвимостей) производится сканирование сети
с целью исследования ее топологии, осуществления поиска незащищенных или
несанкционированных сетевых подключений, проверки настроек межсетевых экранов и
т.п. Данный анализ производится на основании детальных описаний уязвимостей
настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых
экранов) или уязвимостей операционных систем или прикладного программного
обеспечения. Результатом работы средств анализа защищенности является отчет, в
котором обобщаются сведения об обнаруженных уязвимостях.
Средства обнаружения
уязвимостей могут функционировать на сетевом уровне (network-based), уровне
операционной системы (host-based) и уровне приложения (application-based).
Применяя сканирующее ПО, можно составить карту доступных узлов ИСПДн, выявить
используемые на каждом из них сервисы и протоколы, определить их основные
настройки и сделать предположения относительно вероятности реализации НСД. По
результатам сканирования системы вырабатываются рекомендации и меры, позволяющие
устранить выявленные недостатки.
В качестве средства, применяемого в подсистеме анализа защищенности, специалисты компании «Инфосистемы Джет» часто используют Xspider компании Positive Technologies. Сетевой сканер Xspider сертифицирован ФСТЭК России (сертификат соответствия № 1323от 23 января 2007 г., действителен до 23 января 2010 г.) и Министерством Обороны (сертификат соответствия № 354). Xspider – сетевой сканер безопасности, построенный на базе интеллектуального сканирующего ядра, которое обеспечивает максимально полное и надежное определение уязвимостей на системном и прикладном уровне. XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов, работает с уязвимостями на разном уровне – от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений. Xspider поддерживает различные способы сканирования, в том числе и удаленное, при гарантии доступности сетевого сегмента.
В настоящее время компания Positive
Technologies
проводит
работы по сертификации
на отсутствие НДВ и соответствие ТУ системы оценки
защищенности и контроля соответствия техническим политикам MaxPatrol.
В
отличие от сканера безопасности, который оценивает только внешние уязвимости,
MaxPatrol проводит внутренний аудит информационных ресурсов.
Применение системы MaxPatrol позволяет:
В данный момент ведется сертификация системы MaxPatrol.
Выявление угроз НСД при межсетевом взаимодействии производится с помощью систем обнаружения вторжений (подсистема обнаружения вторжений) . Такие системы строятся с учетом особенностей реализации атак и этапов их развития. Они основаны на следующих методах обнаружения атак: сигнатурные методы, методы выявления аномалий, комбинированные методы с использованием обоих названных методов.
Для обнаружения вторжений в ИСПДн 3 и 4 классов рекомендуется использовать
системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2
класса – системы, применяющие сигнатурный метод и метод выявления аномалий.
В
качестве средства для реализации подсистемы обнаружения и предотвращения
вторжений специалисты компании «Инфосистемы Джет» часто используют продукты
компании Cisco. Данные средства сертифицированы ФСТЭК и соответствуют
требованиям технических условий и стандарту ГОСТ Р ИСО/МЭК 15408-2002.
К
таким продуктам, в частности, относится Cisco Intrusion Detection
System/Intrusion Preventing System (IPS/IDS), который является основным
компонентом решений Cisco Systems по обнаружению и отражению атак. Наряду с
традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы,
отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения
сетевых приложений. Это позволяет обнаруживать как известные, так и многие
неизвестные атаки. Встроенные технологии корреляции событий безопасности Cisco
Threat Response, Threat Risk Rating и Meta Event Generator не только помогают
существенно уменьшить число ложных срабатываний, но и позволяют администраторам
реагировать лишь на действительно критичные атаки, которые могут нанести
серьезный ущерб ресурсам корпоративной сети.
Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий).
Cisco ASA 5500 предназначен для решения сразу нескольких задач – разграничения доступа к сетевым ресурсам, защиты от атак, защиты взаимодействия с удаленными территориями, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа «фишинг». Это достигается за счет объединения в одном устройстве лучших защитных средств – межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator.
Помимо описанных выше программно-технических средств защиты компания «Инфосистемы Джет» широко использует продукты других ведущих производителей на рынке информационной безопасности. К ним, в частности, относятся Oracle, Aladdin, Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят активную позицию по соответствию требований регуляторов и сертификации своих продуктов с целью их применения в решениях по защите персональных данных.
Для реализации перечисленных подсистем, общая структура СЗПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации.
В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации10.
Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ.
К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации (происходящие, например, в ходе модернизации ИСПДн), предусмотренных указанными правилами, согласовывается с ФСТЭК и ФСБ.
Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.
Особенности разработки, производства, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации и предоставления услуг по
шифрованию персональных данных при их обработке в информационных системах
устанавливаются Федеральной службой безопасности Российской Федерации.
Все
сертифицированные ФСТЭК средства защиты представлены на сайте ФСТЭК
(http://www.fstec.ru/) в разделе «Сведения о Системе сертификации средств защиты
информации по требованиям безопасности информации»
(http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр
сертифицированных средств защиты информации».
По результатам предпроектного обследования с учетом установленного класса
ИСПДн задаются конкретные требования по обеспечению безопасности данных,
включаемые в техническое (частное техническое) задание на разработку системы
защиты.
Техническое (частное техническое) задание на разработку СЗПДн должно
содержать:
На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:
Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании «Инфосистемы Джет» проводят работы с учетом следующих факторов:
- совместимости средств защиты со штатным программным обеспечением ИСПДн;
- степени снижения производительности функционирования ИСПДн по основному назначению;
- наличия подробной документации по эксплуатации средств защиты;
- возможность осуществления периодического тестирования или самотестирования средств защиты ПДн;
- возможность наращивания состава средств защиты новыми дополнительными средствами без осуществления ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты;
- гармонизации средств защиты информации с уже существующими в информационной системе;
- масштабирование (распространение) применяемых решений по защите ПДн на остальные информационные системы.
Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации
Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:
Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.
Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.
Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:
Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.
Аттестационные испытания ИСПДн предполагают проведение следующих проверок:
Результатом работ на данном подэтапе является:
В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных системах 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Под технической защитой конфиденциальной информации понимается комплекс
мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том
числе и по техническим каналам, а также от специальных воздействий в целях ее
уничтожения, искажения или блокирования доступа к ней.
Лицензирование
деятельности по технической защите конфиденциальной информации осуществляет
Федеральная служба по техническому и экспортному контролю. Срок действия
лицензии составляет 5 лет и по его окончании может быть продлен по заявлению
лицензиата.
Условия получения лицензии
Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
Для получения лицензии на деятельность по технической защите ПДн необходимо выполнить следующие работы:
Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687
г. «Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации».
Персональные данные
при их обработке, осуществляемой без использования средств автоматизации, должны
обособляться от иной информации, в частности, путем фиксации их на отдельных
материальных носителях персональных данных, в специальных разделах или на полях
форм (бланков).
При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
Лица, осуществляющие обработку персональных данных, как сотрудники организации-оператора, так и уполномоченного лица (осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки.
При разработке и использовании типовых форм документов, в которые предполагается включение ПДн, должны соблюдаться определенные условия по их содержанию. Например, они должны содержать сведения о цели обработки, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения ПДн, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн, поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку персональных данных и т.п.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться условия:
Должна обеспечиваться раздельная фиксация на материальный носитель ПДн, имеющих различную цель обработки. Если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению их раздельной обработки.
В отношении каждой категории ПДн должны быть определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
С точки зрения формирования требований к защите персональных данных существует два типа биометрических данных. Первый тип – биометрические данные, которые обрабатываются в ИСПДн. Требования к их защите определены в постановлении Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и ничем не отличаются от требований к защите обычных ПДн, которые обрабатываются в информационных системах.
Второй тип – это биометрические данные, обрабатываемые вне информационных систем персональных данных. Требования по защите таких ПДн сформулированы в Постановлении от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
При этом под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека, и на основе которых можно установить его личность.
Материальный носитель таких ПДн должен обеспечивать:
Оператор биометрических данных, используемых вне ИСПДн, обязан:
Технологии хранения биометрических персональных данных вне ИСПДн должны обеспечивать доступ к информации, содержащейся на материальном носителе, применение средств электронной цифровой подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических ПДн, записанных на материальный носитель, а также проверку наличия письменного согласия субъекта ПДн на обработку его биометрических персональных данных.
При хранении биометрических персональных данных вне ИСПДн должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации. Такая передача называется трансграничной.
До начала осуществления трансграничной передачи персональных данных оператор ПДн обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн. Министерство связи и массовых коммуникаций РФ (Минкомсвязи) в своем письме № ДС-П11-2502 от 13.05.2009 определило «адекватную защиту» как защиту, при которой «обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации».
Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г., ETS № 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. К сожалению, многие поставщики решений по защите персональных данных применяют типовой подход как с точки зрения этапности и состава работ, так и подбора средств защиты. Наши специалисты стараются избежать такой «уравниловки». К примеру, при разработке решений по защите персональных данных в телекоммуникационных организациях специалисты компании «Инфосистемы Джет» учитывают специфику работы с абонентскими базами и биллинговыми системами операторов связи. В случае с кредитно-финансовыми организациями многие компании большое внимание уделяют стандарту СТО БР, поэтому важно при проведении работ по защите персональных данных подбирать такие решения, которые могли бы одновременно закрывать требования и законодательства, и стандарта.
В каких случаях не надо обеспечивать «адекватную защиту» ПДн при трансграничной передаче?..
Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных. То есть субъект ПДн как минимум должен письменно заверить оператора, что «он разрешает организации, которая обрабатывает его персональные данные, не защищать их при передаче за границу». Автор данной статьи скептически относится к такой возможности;
- предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
В своей деятельности компания «Инфосистемы Джет» также ориентируется на российское законодательство. В представлены нормативные акты, которые устанавливают требования в данной области для организации различных отраслей.
Компания «Инфосистемы Джет» имеет большой опыт проведения проектов в кредитно-финансовых организациях. В частности, в следующем разделе статьи приводится пример одного из решений, которое было реализовано в одном из крупных российских банков.
Таб. 2. Нормативно-правовые акты,
устанавливающие требования по защите ПДн для различных вертикальных рынков
К персональным данным для сегмента автоматизированной банковской системы, связанного с ведением кредитной истории клиента, перечень обрабатываемых ПДн можно определить на основании Федерального закона от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях». В соответствии с данным Законом необходимо иметь следующие сведения о заемщике:
Если учесть, что количество клиентов, кредитование которых осуществляет среднестатистический Банк, составляет не менее 80 000 человек, то такая совокупность параметров позволяет сделать вывод о том, что АБС относится к ИСПДн 2-го класса. А так как эти данные требуют обеспечения не только конфиденциальности, но и доступности и целостности, то мы относим АБС к специальной ИСПДн 2-го класса. По режиму обработки персональных данных рассматриваемая ИСПДн относится к многопользовательской, а по разграничению прав доступа – к системе с разными правами доступа к ПДн. Это требует проведения определенных мероприятий по обеспечению безопасности.
В подсистеме управления доступом должны осуществляться следующие мероприятия:
В подсистеме регистрации и учета должны осуществляться следующие мероприятия:
В подсистеме обеспечения целостности должны проводиться следующие мероприятия:
В подсистеме антивирусной защиты должны проводиться следующие мероприятия:
В подсистеме защиты от утечки данных в ИСПДн по техническим каналам для ИСПДн 2-го класса использовались СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).
В соответствии со статьей 23 Федерального Закона «О персональных данных» для обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона назначается Уполномоченный орган по защите прав субъектов персональных данных (далее, регулятор). Такие функции возложены на три организации:
В рамках своих полномочий регуляторы имеют право проводить плановые и внеплановые проверки.
Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных
в уведомлении уполномоченного органа по защите ПДн, а также внеплановые – на
основании заявления физических лиц с целью проверки информации, указанной в
данном заявлении.
ФСБ России имеет право проводить плановые проверки:
ФСТЭК РФ уполномочен осуществлять плановые проверки:
В рамках межведомственного сотрудничества между Роскомнадзором, ФСТЭК России и ФСБ РФ достигнута договоренность о проведении совместных мероприятий по контролю и надзору в области персональных данных.
Роскомнадзор рассматривает обращения субъекта ПДн о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Он имеет право:
Итоги Роскомнадзора за 2008 год
В рамках выполнения функций по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий.
По результатам проверок выписано 19 предписаний об устранении выявленных нарушений Федерального закона «О персональных данных», 5 материалов направлено в органы прокуратуры, 11 – в судебные органы.
Выявленные нарушения классифицированы по следующим статьям Кодекса Российской Федерации об административных правонарушениях:
- ст. 13.11. – нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
- ст. 19.7. – непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде.
С начала возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных поступило 146 обращений: из них даны ответы заявителям – 60, направлены в правоохранительные органы – 5, органы прокуратуры – 24, в судебные органы – 22, на момент выхода данной статьи находилось на рассмотрении – 35.
В результате взаимодействия с правоохранительными органами приостановлена деятельность интернет-ресурсов www.nomer.org.ru и www.vslomaj.com, предоставляющих услуги доступа к персональным данным граждан Российской Федерации.
В 2008 году прошли первые судебные процессы по искам в области защиты прав субъектов персональных данных. Судебными инстанциями из 22 административных дел семь рассмотрены в пользу субъектов персональных данных, в шести случаях вынесены решения об отказе в исковых требованиях, девять административных дел на конец года находились в судебном производстве.
Чаще всего субъекты персональных данных обращаются по фактам нарушений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:
- главы 2 статьи 5 «Принципы обработки персональных данных»;
- статьи 6 «Условия обработки персональных данных»;
- статьи 9 «Согласие субъекта персональных данных на обработку своих персональных данных».
Изложенные в обращениях факты нарушения федерального законодательства в ходе рассмотрения подтвердились в большинстве случаев.
Анализ категорий операторов, осуществляющих обработку персональных данных, на действия которых чаще всего поступают обращения от субъектов персональных данных, позволяет утверждать, что «лидерами» являются:
- кредитные учреждения – 34;
- жилищнокоммунальные организации – 21;
- операторы связи – 10;
- страховые компании – 9.
Для решения поставленных задач Уполномоченным органом по защите прав субъектов персональных данных 28 декабря 2007 года был создан координационный центр на федеральном уровне – Управление по защите прав субъектов персональных данных и территориальные органы в субъектах Российской Федерации – соответствующие структурные подразделения в 78 территориальных органах.
Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах.
Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах.
Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, компании-интеграторы способны реализовать требования законодательства в конкретных решениях.
Защита персональных данных является сегодня приоритетным направлением деятельности Центра информационной безопасности компании «Инфосистемы Джет». Специалисты нашей компании рассматривают эту задачу не только как выполнение требований российского и международного законодательства, но и как возможность создать полноценную систему обеспечения безопасности.
Накопив значительный опыт в проведении проектов по обеспечению информационной безопасности, специалисты компании «Инфосистемы Джет» разработали свой подход к реализации задачи защиты персональных данных. Он базируется на государственных стандартах (ГОСТ 34.201-89, ГОСТ 34.601-90), нормативных актах и документах регулирующих органов, а также на экспертном опыте наших специалистов.
При этом главными принципами при проведении проектов по реализации требований российского законодательства в области защиты персональных данных наша компания считает:
Необходимость учета отраслевой специфики при проведении проектов. Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. При этом наши специалисты стараются избежать типового подхода как к этапности проведения работ, так и к подбору средств защиты. Это позволяет находить такие решения, которые могли бы одновременно закрывать требования и Закона, и отраслевых стандартов, учитывать при разработке решений по защите персональных данных специфику деятельности организации и ведения ее бизнес-процессов.
Требования к защите персональных данных регулируются законами:
С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242 , которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему. Перечень разъяснений доступен по ссылке .
Согласно результатам исследования аналитического центра «МФИ Софт » за сентябрь 2017 года, уже 5,6 млн записей данных клиентов страховых компаний обнаружены на черном рынке, их можно приобрести на открытых пиратских форумах. Актуальность данных самая свежая - 2016-2017 годы. При этом две трети всех предложений касаются автострахования - вероятно, клиенты КАСКО/ОСАГО ценятся в первую очередь конкурирующими страховыми компаниями. Вместе с этим, предложения баз автостраховок обновляются быстрее всех - некоторые продавцы предлагают обновление на ежемесячной основе.
Стоимость баз данных
Базы страховых компаний - одни из самых дорогих и востребованных на рынке информации. На «черном рынке» представлены базы данных разных объемов - от нескольких сотен клиентов до десятков и сотен тысяч. Стоимость одного контакта в небольшой, но актуальной базе может достигать 10 рублей, в то время как в крупных базах она падает до 0,001 рублей. Купить такую базу может каждый по цене от 250 до 40 тыс. рублей. На стоимость влияют такие параметры как количество контактов, актуальность и полнота данных. Наиболее часто встречающийся ценник - 3500 руб, с размером базы до 60 тыс. записей, указали в «МФИ Софт».
Географический охват
Чуть менее половины предложений о продаже составляют базы страховых компаний Московской области (41% от исследованных предложений). Базы Ленинградской области - на втором месте (21%). Порядка 26% баз охватывают всю Россию . Предложения баз данных, охватывающих только один нестоличный город или регион, встречаются в единичных случаях (12%). В 59% случаев базы содержат полные данные о клиентах, включающие не только персональную информацию, но и данные об автомобиле, историю страховых сделок, копии документов.
Риски для клиентов и компаний
По оценкам «МФИ Софт», риск для пользователя услуг страховой компании в случае утечки варьируется от получения спама до крупного мошенничества с собственностью, так как данные могут представлять интерес для криминальных структур. Для самих страховых компаний кроме прямой потери клиентов крупные утечки чреваты потерей репутации и санкциями со стороны регуляторов по факту нарушения закона 152-ФЗ «О персональных данных». Такие прецеденты в отрасли уже были зафиксированы в 2012 году.
Источники утечек
Как выяснили исследователи, информация о клиентах страховых компаний утекает не на этапе сбора, а из информационных систем. Состав базы данных часто указывает на источник утечки, в некоторых случаях может указывать даже на отдел внутри компании (при понимании, на каком бизнес-процессе запись обогащается теми или иными данным), однако установить владельца самой информационной системы достаточно затруднительно. Так как данные могут поступать как непосредственно от страховых компаний, так и из других информационных систем - ГИБДД , единая база РСА и т.д.
Основным поставщиками данных внутри компаний являются страховые агенты, также встречаются утечки, спровоцированные системными администраторами. Нередко встречается на торговых площадках предложение об аренде удалённого доступа в ИС страховых компаний (например, партнёрские порталы), через которые можно делать выгрузки по клиентам.
Высокий спрос на страховые базы данных на черном рынке формирует все новые и все более актуальные предложения со стороны инсайдеров, которые нередко работают на заказ.
Для сохранности данных и предотвращения утечек аналитики «МФИ Софт» рекомендуют страховым компаниям более тщательно контролировать легитимность доступа к своим базам данных внутри организации, обращать внимание на массовые выгрузки из систем хранения информации и на аномальные действия привилегированных пользователей, а также контролировать уязвимости используемых СУБД .
По результатам исследования «Черный рынок баз данных » аналитического центра «МФИ Софт » за ноябрь 2016 года, объем рынка нелегальных баз данных в России - больше 30 млн рублей, если перевести на количество записей частных лиц – получается больше 1,2 млрд. Всего за несколько часов поиска в интернете можно найти базы данных клиентов крупных банков, страховых компаний и онлайн-казино.
Как оказалось, на пиратских форумах и порталах особенно распространены данные клиентов финансовых организаций – 34%, а также заказчиков крупных интернет-магазинов – 19%, брокеров -18% и операторов связи – 6%.
В рамках исследования были обнаружены базы клиентов 18 крупных российских банков - среди них есть представители ТОП-10 крупнейших российских банков, а также базы популярных микрофинансовых организаций. К таким базам высокий уровень интереса у различного рода мошенников, в том случае, если база обогащена информацией по счетам. Почти каждая десятая запись (8% обнаруженных данных) в украденной базе может с высокой вероятностью повлечь за собой тяжелые негативные последствия - например, использоваться для подделки кредитных договоров, махинаций с недвижимостью, банковским мошенничеством или более тяжелым последствиям. Еще один вариант развития событий - оформление кредитов на паспортные данные пользователей банковских услуг и перепродажа базы коллекторам. В продаваемой базе можно найти полные контактные данные лица, с его паспортными данными, текущим местом проживания, выпиской по банковским счетам и перечислением имущества, информацией о налогах и штрафах.
Сколько стоят персональные данные на черном рынке?
В последние годы стоимость персональных данных сильно обесценилась. Как показало исследование 134 баз данных, находящихся в свободной продаже на черном рынке, средняя стоимость одного контакта для баз рассылок составляет 2 копейки. Наибольшей ценностью обладают базы страховых компаний – цена записи достигает 10 рублей при средней цене в 2,73 рубля, данные клиентов банков оцениваются в среднем по 0,28 рубля за запись. По сути, каждый пользователь интернета может купить такую базу, одни из праздного любопытства, другие - для наживы.
Что содержится в серых базах данных и чем это грозит?
Базы данных могут содержать не только имена и контакты пользователей услуг, но и все документы, от паспортных данных и водительского удостоверения до номеров банковских карт и счетов с указанием сумм депозитов. Есть даже базы по направлениям деятельности, например, базы руководителей служб безопасности, базы директоров по регионам и другие не менее интересные варианты.
В лучшем случае такие базы покупают для спам -рассылок и обзвона с предложениями услуг. Чуть менее часто базы данных на черном рынке скупают мошенники в целях совершения финансовых махинаций. По паспортным данным с помощью социальной инженерии можно получить доступ к карточным счетам пользователя и выводить с них средства, а также шантажировать владельцев этих данных или оформить на них кредит в микрофинансовой организации.
Источники утечки баз данных
В ответе за утечку данных пользователей – владельцы баз, так как это прямое нарушение ФЗ-152 «О персональных данных ». Но часто они сами даже не подозревают, что их базы были украдены, и узнают об этом только после громких инцидентов. Согласно выборке «МФИ Софт», базы данных попадают на черный рынок четырьмя путями: злонамеренный инсайд – 78%, взлом – 2%, недобросовестность (целенаправленное распространение данных клиентов на коммерческой основе) – 13%, парсинг (сбор и структурирование данных из открытых источников) – 7%. Из чего следует – что главная проблема российских компаний – это утечка баз данных через сотрудников.
phonenumber.to: 137,090,136 скомпрометированных учетных записей в базе
Организациям, осуществляющим обработку персональных данных для того, чтобы избежать нарушений, необходимо провести ряд мероприятий, которые включают в себя следующие работы:
Для успешного проведения данных работ необходимо, во-первых, назначить сотрудника, ответственного за вопросы защиты персональных данных, во-вторых, для всех ресурсов и подсистем, содержащих персональные данные, определить их статус, и, наконец, определить способы и сроки обработки данных, а также сроки хранения».
В первую очередь, самый действенный и не затратный подход к хранению персональных данных - это хранение их в обезличенной форме. Необходимо максимально обобщать, обезличивать информацию, отказываться от избыточной - таким образом можно просто не бояться умышленной или случайной утечки информации - она не будет представлять практически никакой ценности для злоумышленников. Кстати, законодательство Соединенных Штатов, рекомендует для обеспечения безопасности персональных данных именно такой подход. Конечно, это палка о двух концах. Такой подход, несомненно, снижает потребность в защите данных, однако значительно затрудняет возможность их обработки.
Операторы персональных данных сейчас в большинстве своем отказались от работ по обеспечению информационной безопасности. Закон будет меняться, в этом есть необходимость и об этом есть свидетельства, так что вкладывать средства в реализацию формальных требований безотносительно их важности довольно расточительно.
В неоднозначной ситуации находятся и компании, занимающиеся производством продуктов для защиты персональных данных. В поисках решений, которые позволят, с одной стороны, удовлетворить регуляторов, с другой - заказчиков, и, наконец, не остаться в проигрыше, они приходят к тому, что перестройка устоявшейся модели системы защиты персональных данных неизбежна.
При этом четко прослеживается разница между компаниями-лидерами в своей области и фирмами-подголосками. Последние, в большинстве своем, быстро переориентировались на соответствие требованиям закона. Спектр предлагаемых ими услуг расширился такими предложениями, как помощь в получении лицензии, проведение обследования и классификации информационной системы, консультационная поддержка. Нашлись умельцы и по способам обхождения закона - широко разошлась статья под названием "Пять сравнительно легальных способов сопротивления ФЗ-152".
Куда интереснее, что думают о нововведении представители серьезных компаний, занимающихся защитой информации. Многие вендоры начали активную доработку своих решений, задавшись вопросом о том, соответствуют ли они требованиям регуляторов. Другие же пока не спешат со столь кардинальными мерами, ожидая дальнейших изменений в законодательстве. Однако ключевым моментом по мнению многих компаний является формирование культуры защиты персональных данных. Так, например, Алексей Сабанов, заместитель генерального директора компании Aladdin считает, что №152-ФЗ прививает культуру информационной безопасности в обществе и на всех уровнях российского бизнеса. Александр Шарамок, представитель компании "Ортикон" придерживается мнения, что ситуация с защитой персональных данных улучшится, если будет создана прозрачная правовая и нормативно-техническая база и в обществе сформируется культура защиты персональных данных, первые шаги к чему он также видит в законе №152-ФЗ "О персональных данных".
Все же, кроме совершенствования технических мер безопасности, компаниям непременно нужно уделить внимание методологической составляющей. Уже сейчас многие компании предлагают своим клиентам построение модели угроз безопасности персональных данных. Кроме того, помощь в определении типа информационной системы, информационная поддержка по вопросам лицензирования и прохождения проверок, нахождение способов снижения класса обрабатываемых данных - все это уже потихоньку начинает занимать свою нишу на рынке услуг по защите информации и, в дальнейшем, будет только развиваться .
Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных .
Кража персональных данных – одна из наиболее опасных и часто встречающихся угроз в области защиты информации. Она является причиной взлома в четырех из пяти случаев Verizon . Отчет об утечке данных 2013. Таким образом, для доступа в персональную систему не достаточно ввести имя пользователя и пароль. Для защиты персональных данных необходимо применять надежную аутентификацию . Например, одним из оптимальных решений будет двухфакторная аутентификация , в рамках которой необходимо дважды подтвердить свою личность: при помощи удостоверения – токена, смарт-карты, мобильного приложения, а также при помощи ввода секретного пароля. В будущем, возможно, будет введен дополнительный биометрический фактор, при котором для подтверждения личности сотрудника могут потребоваться отпечатки его пальцев.
Электронная почта является наиболее важным инструментом коммуникации внутри любой организации, ей пользуются как руководители, так и другие сотрудники компаний. Чтобы защитить электронную почту, необходимо использовать специальную сертифицированную программу, которая позволяет шифровать отдельные файлы или сообщения таким образом, что только конкретный получатель, обладающий ключом, сможет получить доступ к зашифрованной информации. Также необходимо четко вести базу контактов, чтобы информация случайным образом не попала неверному адресату.
Безусловно, все вышеперечисленные рекомендации будут работать при условии дополнительных вложений со стороны руководства компании. В этой ситуации необходимы посредники, которые смогут провести необходимый тренинг для руководителя и расскажут все основные правила обеспечения информационной безопасности. Данная практика поможет изменить поведение руководителя и мотивирует сотрудников брать пример с руководства.
Деятельность киберпреступников активизируется, и любая организация должна задуматься о защите корпоративных данных. Во многих компаниях обеспечение информационной безопасности – это обязательная мера, которую необходимо соблюдать по требованию регуляторов, но вопрос безопасности данных руководителей компаний по-прежнему остается отрытым и требует специального подхода, который обеспечит защиту информации и, в то же время, не затронет мобильный образ жизни руководителя.
»Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.
К специальным ИСПДн автоматически относятся:
Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 февраля 2008 года:
На основе базовой модели угроз и в соответствии с нормативным документом ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным 14 февраля 2008 г., разрабатываются частные модели угроз в отношении конкретных ИСПДн. В ходе такой разработки составляется перечень актуальных угроз в отношении конкретных информационных систем.
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности ПДн при их обработке в ИСПДн» и «Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденных ФСТЭК, формулируются конкретные организационно- технические требования по защите информационных систем от утечки данных по техническим каналам, от несанкционированного доступа. Также осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.
Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) ПДн. Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Носители ПДн могут содержать информацию, представленную в следующих видах:
В соответствии с Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также документом ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденным 15 февраля 2008 г., мероприятия по обеспечению безопасности ПДн при обработке в ИСПДн формулируются в зависимости от класса информационных систем с учетом возможного возникновения угроз безопасности в отношении персональных данных. Такие мероприятия включают в себя:
Мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн включают:
Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных.
Что включает СЗПДн?
Структура, состав и основные функции систем защиты персональных данных определяются исходя из класса ИСПДн. СЗПДн включает в себя организационные меры, средства защиты информации, а также используемые в информационной системе информационные технологии.
Организационные меры
Обеспечение безопасности персональных данных при их обработке в ИСПДн должно предусматривать:
Средства защиты ПДн
В соответствии с классификацией ИСПДн, а также с учетом актуальных угроз, приведенных в адаптивных моделях для «специальных» ИСПДн, и в соответствии с требованиями нормативно-методических документов регуляторов ФСТЭК РФ и ФСБ РФ, СЗПДн должна включать ряд подсистем, описание которых представлено в следующих разделах.
Средства защиты ПДн от утечки по техническим каналам
С целью предотвращения утечек акустической (речевой), видовой информации, а также утечек информации за счет побочных электромагнитных излучений и наводок применяются специальные технические средства. При этом выделяются пассивные и активные средства защиты.
Пассивные средства защиты , как правило, реализуются на этапе разработки проектных решений при строительстве или реконструкции зданий. Преимущества применения пассивных средств заключаются в том, что они позволяют заранее учесть типы строительных конструкций, способы прокладки коммуникаций, оптимальные места размещения защищаемых помещений.
Защита ПДн при осуществлении пользователями информационных систем голосового ввода данных в ИСПДн или их воспроизведении акустическими средствами ИСПДн обеспечивается путем звукоизоляции помещений, в которых устанавливаются аппаратные средства ИСПДн, систем инженерного обеспечения (вентиляции, отопления и кондиционирования), а также ограждающих конструкций помещений (стены, пол, потолок, окна, двери).
Что использовать: встроенные или наложенные средства защиты?
Опираясь на накопленный опыт в области защиты информации, специалисты компании «Инфосистемы Джет» в проектировании решений по защите ПДн при их обработке в ИСПДн стараются комбинировать как наложенные средства защиты информации, так и встроенные механизмы защиты в общесистемное и прикладное программное обеспечение (ПО), используемое в ИСПДн. Каждый вариант имеет свои достоинства и недостатки. Наложенные средства далеко не всегда могут в полной мере реализовать требования регуляторов, а также могут оказаться несовместимыми с уже используемыми в ИСПДн программными решениями. Применение встроенных механизмов приводит к возникновению проблем, связанных с обязательным наличием у такого ПО сертификатов соответствия российских регуляторов.
Специалисты компании «Инфосистемы Джет» отдают предпочтение встроенным механизмам реализации управления доступом к ПДн.
Данный подход обусловлен тем, что позволяет минимизировать изменения в структуре как самих ИСПДн, так и механизмов безопасности.
Большое внимание при проектировании СЗПДн специалисты нашей компании также уделяют обеспечению целостности настроек самих средств защиты информации. При выборе данных средств компанией «Инфосистемы Джет» тщательно анализируются собственные механизмы контроля целостности. Только неизменность настроек средств защиты информации может гарантировать оператору ПДн надежную защиту обрабатываемой в ИСПДн информации.
Звукоизоляция обеспечивается с помощью архитектурных и инженерных решений, применением специальных звукопоглощающих строительных и отделочных материалов, виброизолирующих опор, которыми разделяют друг от друга различные ограждающие конструкции. Для обеспечения требований по защите ПДн достаточным является повышение звукоизоляции на 10-15 дБ. Для снижения вероятности перехвата информации такого рода необходимо исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций помещений и выходящих из них инженерных коммуникаций.
В случае технической невозможности использования пассивных средств защиты помещений, применяют активные меры защиты
, заключающиеся в создании маскирующих акустических и вибрационных помех.
Средства акустической маскировки используется для защиты речевой информации от утечки по прямому акустическому каналу путем создания акустических шумов в местах возможного размещения средств подслушивания или нахождения посторонних лиц.
Средства виброакустической маскировки применяются для защиты информации от перехвата с помощью электронных стетоскопов, радиостетоскопов, а также лазерных акустических систем подслушивания.
Для получения оптимального уровня антивирусной защиты ИСПДн компания «Инфосистемы Джет» реализует двух-эшелонную систему защиты информации. Первый эшелон организуется на периметре информационной системы оператора ПДн, второй эшелон защищает внутренние ресурсы системы от возможного попадания вирусов путем использования непроверенных носителей информации сотрудниками оператора. Не секрет, что не все антивирусы «одинаково полезны». Опыт нашей компании показывает, что не существует универсального средства безопасности от вирусов, поэтому для наиболее эффективной защиты в проектируемых решениях наши специалисты применяют одновременно антивирусные средства разных производителей.
С целью предотвращения утечки информации по телефонным каналам связи необходимо оконечные устройства телефонной связи, которые имеют прямой выход на городскую автоматическую телефонную станцию, оборудовать специальными средствами защиты информации, которые используют электроакустическое преобразование.
Для осуществления мероприятий по защите ПДн при их обработке в информационных системах от несанкционированного доступа (НСД) и неправомерных действий пользователей и нарушителей СЗПДн могут включать в себя следующие подсистемы:
Подсистема управления доступом, регистрации и учета , как правило, реализуется с помощью программных средств блокирования НСД, сигнализации и регистрации. Это специальные, не входящие в ядро операционной системы программные и программно-аппаратные средства защиты самих операционных систем, СУБД и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения несанкционированных действий пользователей или нарушителей. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики (тестирование файловой системы), регистрации (журналирование действий и операций), сигнализации (предупреждение об обнаружении фактов несанкционированных действий или нарушения штатного режима функционирования ИСПДн).
Подсистема обеспечения целостности
также реализуется преимущественно средствами самих операционных систем и СУБД. Работа данных средств основана на расчете контрольных сумм, уведомлении о сбое в передаче пакетов сообщений, повторе передачи непринятых пакетов.
Частота применения в российских компаниях в качестве операционной системы продуктов компании Microsoft вызвала необходимость использовать в качестве базовой платформы для построения решения подсистемы разграничения и контроля доступа к ресурсам информационной системы функционал Microsoft Windows Server 2003.
Эта сетевая операционная система наряду с необходимым для обеспечения безопасности ПДн набором технологических параметров обладает всеми необходимыми сертификатами на соответствие требованиям регулирующих органов. ФСТЭК России в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертифицировал:
Компанией Microsoft также производится сертификация ежемесячно выходящих новых патчей к данным продуктам.
ФСБ России сертифицировала русскую версию серверной операционной системы Windows Server 2003 Enterprise Edition. Сертификат ФСБ удостоверяет, что продукт соответствует требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2. Таким образом, данная система может быть использована в качестве средства для защиты ПДн в ИСПДн.
Последней версией Windows Server является версия Windows Server 2008. Ожидается, что к дате выхода данной статьи сертификация данной ОС будет получена и в технических решениях для подсистемы управления доступом, регистрации и учета будет возможно применение Microsoft Windows Server 2008.
Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты (подсистема антивирусной защиты). Такие средства способны обеспечивать:
Подсистема антивирусной защиты должна строиться с учетом следующих факторов:
Для реализации подсистемы антивирусной защиты ПДн при их обработке в ИСПДн возможно использование антивирусных средств компании «Лаборатория Касперского».
Продукты компании «Лаборатория Касперского» сертифицированы Федеральной службой безопасности России. Данные сертификаты удостоверяют, что Антивирус Касперского 6.0 для Windows Servers соответствует требованиям к антивирусным средствам класса А1с, Антивирус Касперского 5.5 для Linux и FreeBSD Workstations и File Server соответствует требованиям к антивирусным средствам класса А2с и Kaspersky Administration Kit 6.0 соответствует требованиям к антивирусным средствам класса А3с. Указанные продукты могут использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.
Кроме того, продукты Антивирус Касперского 6.0 для Windows Servers, Антивирус Касперского 6.0 для Windows Workstation и Kaspersky Administration Kit 6.0 соответствуют требованиям руководящего документа ФСТЭК - по 3 уровню контроля и требованиям технических условий.
Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии (подсистема обеспечения безопасности межсетевого взаимодействия ИСПДн)
применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами (МЭ). Межсетевой экран устанавливается между защищаемой внутренней и внешней сетями. МЭ входит в состав защищаемой сети. За счет соответствующих настроек задаются правила, которые позволяют ограничивать доступ пользователей из внутренней сети во внешнюю и наоборот.
Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 3 и 4 классов рекомендуется использовать МЭ не ниже пятого уровня защищенности, в ИСПДн 2 класса - МЭ не ниже четвертого уровня защищенности, в ИСПДн 1 класса - МЭ не ниже третьего уровня защищенности.
Подсистема анализа защищенности
предназначена для осуществления контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяет оценить возможность проведения нарушителями атак на сетевое оборудование, контролирует безопасность программного обеспечения. С помощью таких средств (средства обнаружения уязвимостей) производится сканирование сети с целью исследования ее топологии, осуществления поиска незащищенных или несанкционированных сетевых подключений, проверки настроек межсетевых экранов и т.п. Данный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средств анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях.
Средства обнаружения уязвимостей могут функционировать на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Применяя сканирующее ПО, можно составить карту доступных узлов ИСПДн, выявить используемые на каждом из них сервисы и протоколы, определить их основные настройки и сделать предположения относительно вероятности реализации НСД. По результатам сканирования системы вырабатываются рекомендации и меры, позволяющие устранить выявленные недостатки.
В качестве средства, применяемого в подсистеме анализа защищенности, специалисты компании «Инфосистемы Джет» часто используют Xspider компании Positive Technologies. Сетевой сканер Xspider сертифицирован ФСТЭК России (сертификат соответствия № 1323от 23 января 2007 г., действителен до 23 января 2010 г.) и Министерством Обороны (сертификат соответствия № 354). Xspider - сетевой сканер безопасности, построенный на базе интеллектуального сканирующего ядра, которое обеспечивает максимально полное и надежное определение уязвимостей на системном и прикладном уровне. XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов, работает с уязвимостями на разном уровне - от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений. Xspider поддерживает различные способы сканирования, в том числе и удаленное, при гарантии доступности сетевого сегмента.
В настоящее время компания Positive
Technologies
проводит работы по сертификации
на отсутствие НДВ и соответствие ТУ системы оценки защищенности и контроля соответствия техническим политикам MaxPatrol.
В отличие от сканера безопасности, который оценивает только внешние уязвимости, MaxPatrol проводит внутренний аудит информационных ресурсов.
Применение системы MaxPatrol позволяет:
В данный момент ведется сертификация системы MaxPatrol.
Выявление угроз НСД при межсетевом взаимодействии производится с помощью систем обнаружения вторжений (подсистема обнаружения вторжений) . Такие системы строятся с учетом особенностей реализации атак и этапов их развития. Они основаны на следующих методах обнаружения атак: сигнатурные методы, методы выявления аномалий, комбинированные методы с использованием обоих названных методов.
Для обнаружения вторжений в ИСПДн 3 и 4 классов рекомендуется использовать системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2 класса - системы, применяющие сигнатурный метод и метод выявления аномалий.
В качестве средства для реализации подсистемы обнаружения и предотвращения вторжений специалисты компании «Инфосистемы Джет» часто используют продукты компании Cisco. Данные средства сертифицированы ФСТЭК и соответствуют требованиям технических условий и стандарту ГОСТ Р ИСО/МЭК 15408-2002.
К таким продуктам, в частности, относится Cisco Intrusion Detection System/Intrusion Preventing System (IPS/IDS), который является основным компонентом решений Cisco Systems по обнаружению и отражению атак. Наряду с традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки. Встроенные технологии корреляции событий безопасности Cisco Threat Response, Threat Risk Rating и Meta Event Generator не только помогают существенно уменьшить число ложных срабатываний, но и позволяют администраторам реагировать лишь на действительно критичные атаки, которые могут нанести серьезный ущерб ресурсам корпоративной сети.
Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий).
Cisco ASA 5500 предназначен для решения сразу нескольких задач - разграничения доступа к сетевым ресурсам, защиты от атак, защиты взаимодействия с удаленными территориями, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа «фишинг». Это достигается за счет объединения в одном устройстве лучших защитных средств - межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator.
Помимо описанных выше программно-технических средств защиты компания «Инфосистемы Джет» широко использует продукты других ведущих производителей на рынке информационной безопасности. К ним, в частности, относятся Oracle, Aladdin, Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят активную позицию по соответствию требований регуляторов и сертификации своих продуктов с целью их применения в решениях по защите персональных данных.
Для реализации перечисленных подсистем, общая структура СЗПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации.
В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации10.
Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ.
К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации (происходящие, например, в ходе модернизации ИСПДн), предусмотренных указанными правилами, согласовывается с ФСТЭК и ФСБ.
Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.
Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
Все сертифицированные ФСТЭК средства защиты представлены на сайте ФСТЭК (http://www.fstec.ru/) в разделе «Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации» (http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр сертифицированных средств защиты информации».
По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности данных, включаемые в техническое (частное техническое) задание на разработку системы защиты.
Техническое (частное техническое) задание на разработку СЗПДн должно содержать:
На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:
Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании «Инфосистемы Джет» проводят работы с учетом следующих факторов:
- совместимости средств защиты со штатным программным обеспечением ИСПДн;
- степени снижения производительности функционирования ИСПДн по основному назначению;
- наличия подробной документации по эксплуатации средств защиты;
- возможность осуществления периодического тестирования или самотестирования средств защиты ПДн;
- возможность наращивания состава средств защиты новыми дополнительными средствами без осуществления ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты;
- гармонизации средств защиты информации с уже существующими в информационной системе;
- масштабирование (распространение) применяемых решений по защите ПДн на остальные информационные системы.
Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации
Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:
Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.
Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом - «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.
Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:
Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.
Аттестационные испытания ИСПДн предполагают проведение следующих проверок:
Результатом работ на данном подэтапе является:
В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных системах 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий в целях ее уничтожения, искажения или блокирования доступа к ней.
Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю. Срок действия лицензии составляет 5 лет и по его окончании может быть продлен по заявлению лицензиата.
Условия получения лицензии
Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
Для получения лицензии на деятельность по технической защите ПДн необходимо выполнить следующие работы:
Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
Лица, осуществляющие обработку персональных данных, как сотрудники организации-оператора, так и уполномоченного лица (осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки.
При разработке и использовании типовых форм документов, в которые предполагается включение ПДн, должны соблюдаться определенные условия по их содержанию. Например, они должны содержать сведения о цели обработки, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения ПДн, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн, поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку персональных данных и т.п.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться условия:
Должна обеспечиваться раздельная фиксация на материальный носитель ПДн, имеющих различную цель обработки. Если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению их раздельной обработки.
В отношении каждой категории ПДн должны быть определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
С точки зрения формирования требований к защите персональных данных существует два типа биометрических данных. Первый тип - биометрические данные, которые обрабатываются в ИСПДн. Требования к их защите определены в постановлении Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и ничем не отличаются от требований к защите обычных ПДн, которые обрабатываются в информационных системах.
Второй тип - это биометрические данные, обрабатываемые вне информационных систем персональных данных. Требования по защите таких ПДн сформулированы в Постановлении от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
При этом под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека, и на основе которых можно установить его личность.
Материальный носитель таких ПДн должен обеспечивать:
Оператор биометрических данных, используемых вне ИСПДн, обязан:
Технологии хранения биометрических персональных данных вне ИСПДн должны обеспечивать доступ к информации, содержащейся на материальном носителе, применение средств электронной цифровой подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических ПДн, записанных на материальный носитель, а также проверку наличия письменного согласия субъекта ПДн на обработку его биометрических персональных данных.
При хранении биометрических персональных данных вне ИСПДн должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации. Такая передача называется трансграничной.
До начала осуществления трансграничной передачи персональных данных оператор ПДн обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн. Министерство связи и массовых коммуникаций РФ (Минкомсвязи) в своем письме № ДС-П11-2502 от 13.05.2009 определило «адекватную защиту» как защиту, при которой «обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации».
Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г., ETS № 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. К сожалению, многие поставщики решений по защите персональных данных применяют типовой подход как с точки зрения этапности и состава работ, так и подбора средств защиты. Наши специалисты стараются избежать такой «уравниловки». К примеру, при разработке решений по защите персональных данных в телекоммуникационных организациях специалисты компании «Инфосистемы Джет» учитывают специфику работы с абонентскими базами и биллинговыми системами операторов связи. В случае с кредитно-финансовыми организациями многие компании большое внимание уделяют стандарту СТО БР, поэтому важно при проведении работ по защите персональных данных подбирать такие решения, которые могли бы одновременно закрывать требования и законодательства, и стандарта.
В каких случаях не надо обеспечивать «адекватную защиту» ПДн при трансграничной передаче?..
Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных. То есть субъект ПДн как минимум должен письменно заверить оператора, что «он разрешает организации, которая обрабатывает его персональные данные, не защищать их при передаче за границу». Автор данной статьи скептически относится к такой возможности;
- предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
В своей деятельности компания «Инфосистемы Джет» также ориентируется на российское законодательство. В представлены нормативные акты, которые устанавливают требования в данной области для организации различных отраслей.
Компания «Инфосистемы Джет» имеет большой опыт проведения проектов в кредитно-финансовых организациях. В частности, в следующем разделе статьи приводится пример одного из решений, которое было реализовано в одном из крупных российских банков.
Таб. 2. Нормативно-правовые акты, устанавливающие требования по защите ПДн для различных вертикальных рынков
К персональным данным для сегмента автоматизированной банковской системы, связанного с ведением кредитной истории клиента, перечень обрабатываемых ПДн можно определить на основании Федерального закона от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях». В соответствии с данным Законом необходимо иметь следующие сведения о заемщике:
Если учесть, что количество клиентов, кредитование которых осуществляет среднестатистический Банк, составляет не менее 80 000 человек, то такая совокупность параметров позволяет сделать вывод о том, что АБС относится к ИСПДн 2-го класса. А так как эти данные требуют обеспечения не только конфиденциальности, но и доступности и целостности, то мы относим АБС к специальной ИСПДн 2-го класса. По режиму обработки персональных данных рассматриваемая ИСПДн относится к многопользовательской, а по разграничению прав доступа - к системе с разными правами доступа к ПДн. Это требует проведения определенных мероприятий по обеспечению безопасности.
В подсистеме управления доступом должны осуществляться следующие мероприятия:
В подсистеме регистрации и учета должны осуществляться следующие мероприятия:
В подсистеме обеспечения целостности должны проводиться следующие мероприятия:
В подсистеме антивирусной защиты должны проводиться следующие мероприятия:
В подсистеме защиты от утечки данных в ИСПДн по техническим каналам для ИСПДн 2-го класса использовались СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).
В соответствии со статьей 23 Федерального Закона «О персональных данных» для обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона назначается Уполномоченный орган по защите прав субъектов персональных данных (далее, регулятор). Такие функции возложены на три организации:
В рамках своих полномочий регуляторы имеют право проводить плановые и внеплановые проверки.
Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных в уведомлении уполномоченного органа по защите ПДн, а также внеплановые - на основании заявления физических лиц с целью проверки информации, указанной в данном заявлении.
ФСБ России имеет право проводить плановые проверки:
ФСТЭК РФ уполномочен осуществлять плановые проверки:
В рамках межведомственного сотрудничества между Роскомнадзором, ФСТЭК России и ФСБ РФ достигнута договоренность о проведении совместных мероприятий по контролю и надзору в области персональных данных.
Роскомнадзор рассматривает обращения субъекта ПДн о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Он имеет право:
Итоги Роскомнадзора за 2008 год
В рамках выполнения функций по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий.
По результатам проверок выписано 19 предписаний об устранении выявленных нарушений Федерального закона «О персональных данных», 5 материалов направлено в органы прокуратуры, 11 - в судебные органы.
Выявленные нарушения классифицированы по следующим статьям Кодекса Российской Федерации об административных правонарушениях:
- ст. 13.11. - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
- ст. 19.7. - непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде.
С начала возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных поступило 146 обращений: из них даны ответы заявителям - 60, направлены в правоохранительные органы - 5, органы прокуратуры - 24, в судебные органы - 22, на момент выхода данной статьи находилось на рассмотрении - 35.
В результате взаимодействия с правоохранительными органами приостановлена деятельность интернет-ресурсов www.nomer.org.ru и www.vslomaj.com, предоставляющих услуги доступа к персональным данным граждан Российской Федерации.
В 2008 году прошли первые судебные процессы по искам в области защиты прав субъектов персональных данных. Судебными инстанциями из 22 административных дел семь рассмотрены в пользу субъектов персональных данных, в шести случаях вынесены решения об отказе в исковых требованиях, девять административных дел на конец года находились в судебном производстве.
Чаще всего субъекты персональных данных обращаются по фактам нарушений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:
- главы 2 статьи 5 «Принципы обработки персональных данных»;
- статьи 6 «Условия обработки персональных данных»;
- статьи 9 «Согласие субъекта персональных данных на обработку своих персональных данных».
Изложенные в обращениях факты нарушения федерального законодательства в ходе рассмотрения подтвердились в большинстве случаев.
Анализ категорий операторов, осуществляющих обработку персональных данных, на действия которых чаще всего поступают обращения от субъектов персональных данных, позволяет утверждать, что «лидерами» являются:
- кредитные учреждения - 34;
- жилищнокоммунальные организации - 21;
- операторы связи - 10;
- страховые компании - 9.
Для решения поставленных задач Уполномоченным органом по защите прав субъектов персональных данных 28 декабря 2007 года был создан координационный центр на федеральном уровне - Управление по защите прав субъектов персональных данных и территориальные органы в субъектах Российской Федерации - соответствующие структурные подразделения в 78 территориальных органах.
Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах.
Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах.
Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, компании-интеграторы способны реализовать требования законодательства в конкретных решениях.
Защита персональных данных является сегодня приоритетным направлением деятельности Центра информационной безопасности компании «Инфосистемы Джет». Специалисты нашей компании рассматривают эту задачу не только как выполнение требований российского и международного законодательства, но и как возможность создать полноценную систему обеспечения безопасности.
Накопив значительный опыт в проведении проектов по обеспечению информационной безопасности, специалисты компании «Инфосистемы Джет» разработали свой подход к реализации задачи защиты персональных данных. Он базируется на государственных стандартах (ГОСТ 34.201-89, ГОСТ 34.601-90), нормативных актах и документах регулирующих органов, а также на экспертном опыте наших специалистов.
При этом главными принципами при проведении проектов по реализации требований российского законодательства в области защиты персональных данных наша компания считает:
Необходимость учета отраслевой специфики при проведении проектов. Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. При этом наши специалисты стараются избежать типового подхода как к этапности проведения работ, так и к подбору средств защиты. Это позволяет находить такие решения, которые могли бы одновременно закрывать требования и Закона, и отраслевых стандартов, учитывать при разработке решений по защите персональных данных специфику деятельности организации и ведения ее бизнес-процессов.
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.
7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке , установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.
8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Документы по защите персональных данных работников необходимы для успешного внедрения на предприятии системы обеспечения конфиденциальности таких сведений. В нашей статье вы найдете информацию не только о том, какая документация может применяться в ходе работы с персональными данными, но также и о том, где можно скачать примеры таких документов.
Законодатель в ст. 7 ФЗ «О персональных данных» от 27.07.2006 № 152 устанавливает обязанность организаций, имеющих статус оператора персональных данных (далее — ПД), т. е. юридического лица, выполняющего сбор, обработку и хранение такой информации, по обеспечению конфиденциальности сведений. Чтобы предотвратить несанкционированный доступ к ПД, необходимо реализовать комплекс защитных мер, в перечень которых входит разработка пакета специализированных документов и их внедрение в деятельность предприятия.
При этом законодатель не определяет точного состава такого пакета и не указывает, какую форму должны иметь документы по защите персональных данных. Это означает, что руководство организации может определить перечень и вид используемой для этих целей документации самостоятельно.
Не знаете свои права?
Условно всю документацию, используемую в ходе реализации мероприятий, направленных на обеспечение защиты персональных данных на предприятии, можно разделить на 3 группы:
Таким образом, пакет документации по защите ПД может включать в себя должностные инструкции, приказы, уведомления, а также положения, регулирующие порядок сбора, обработки и хранения информации. Образцы всех этих документов имеются на нашем сайте.