Защита персональных данных вывод. Защита персональных данных в Российской Федерации: Проблемы и перспективы

Комплекс мероприятий разного характера, проводимый для активного противодействия возможному несанкционированному доступу к персональным данным, состоящий из управленческих мер, эффективно действующих аппаратных средств защиты, составляет основу эффективно работающей Система защиты персональных данных (СЗПДн).

Целью внедрения надежно работающего комплекса мероприятий является:

Точное соответствие требованиям регулятора о соблюдении положений Федерального закона «О защите персональных данных», положениям утвержденных подзаконных актов, обеспечивающих должный уровень безопасности для используемых персональных данных;

Разработка инструкций, предписывающих выполнение определенных правил при преобразовании используемых ПДн, обеспечивающих их защиту.

• Решаемые задачи
• Используемое оборудование
• Сферы применения

Разработка и внедрение системы защиты персональных данных (СЗПДн) — это ряд мероприятий технического и управленческого характера, ставящих перед собой цель обеспечить комплексную защиту сведений, которые признаются Федеральным Законом от 27.07. 2006 г. N 152-ФЗ персональными данными.

Оператор, которым являются госструктуры и коммерческие предприятия, выполняющие действия по работе с ПДн, заинтересованы в безопасной их обработке, тем самым, признавая необходимость внедрения системы защиты.

Учитывая накопленный при реализации проектов по созданию СЗПДн опыт, представляется возможным определить ряд важных преимуществ от внедрения системы:

На первом месте находится кардинальное снижение как правовых, так и репутационных рисков, возникающих при несоблюдении действующего законодательства относительно сохранности персональных данных.

Вторым важным моментом является тот факт, что научно-обоснованное построение системы защиты позволяет обрабатывать персональные данные сотрудников и клиентов, не опасаясь за их сохранность. Это может стать мощным конкурентным преимуществом при работе с конфиденциальными сведениями частных лиц и информацией, предназначенной лишь для служебного (внутреннего) использования. Грамотно выстроенная СЗПДн легко справляется с наиболее распространенными угрозами - блокирует воздействие вредоносных ПО, предотвращает воровство клиентских баз данных, что часто практикуют уволенные сотрудники.

Третьим фактором, мотивирующим внедрение эффективной СЗПДн, является создание у компании имиджа надежного партнера, которому можно доверять обеспечение конфиденциальности персональных данных.

Как указывают аналитики, частые скандалы, связанные с утечкой конфиденциальной информации, заставляют обращать внимание на систему безопасности при выборе партнера-контрагента. Уже привычными становятся договора о партнерстве либо условия тендера, в которых требуется предоставить задокументированное соответствие СЗПДн действующим нормативным актам.

Не следует забывать, что эффективная СЗПДн обеспечивает непрерывность всех бизнес-процессов в самой компании, устраняет вероятность появления клиентских претензий, обоснованных жалоб со стороны работников, грозных предписания от надзорных органов регулятора.

Этапы выполнения работ по приведению в соответствие 152-ФЗ

1. Инвентаризация, полноценный анализ состояния информационных структур, задействованных в обработке ПДн.

Подобный предпроектный аудит предоставляет объективные сведения о процессах, задействованных при обработке ПДн в компании и мерах по их защите. Специалистами Open Vision в обязательном порядке проводится проверка всей служебной документации, регулярности осуществляемых мероприятий, разработанных для исполнения требований правовой базы относительно безопасности используемых в работе данных ограниченного доступа.

2. Создание концепции системы безопасности, используемой для сохранности персональных данных, предоставление заказчику обоснованных рекомендаций по оптимизации самой обработки ПДн, обеспечению сохранности конфиденциальной информации.

На этом этапе работы квалифицированные специалисты оценивают возможные варианты осуществления проекта, определяют отправные точки для его реализации, устанавливают определенные ограничения по масштабам внедряемого в практику проекта. Определяются основные проблемы, создается обоснование предлагаемых решений. Клиенты получают перечень программно-аппаратных элементов разрабатываемого комплекса защиты информации, с обязательным указанием стоимости по каждому пункту.

3. Уточнение реального уровня защищенности ПДн

В процессе работы определяется возможный тип угроз для защищаемых ПДн, с привязкой к конкретной информационной системе, уточняется предполагаемый состав персональных данных, возможное количество субъектов. Учитывая весь объем полученных сведений, определяется реальное состояние системы безопасности персональных данных.

4. Разработка модели возможных угроз для системы безопасности ПДн, создание модели злоумышленника

Предоставляемый заказчику документ представляет собой систематизированный список возможных угроз для безопасности ПДн при работе с ними в информационных системах персональных данных (ИСПДн). Угрозы безопасности персональных данных (УБПДн) могут возникнуть в результате злонамеренных либо случайных действий физических лиц, деятельности иностранных спецслужб либо специализирующихся на шпионаже организаций, специализированных криминальных группировок, подготавливающих взлом безопасности ПДн, которое затронет права и свободы, как общества, так и государства либо граждан.

5. Разработка Техзадания на строительство СЗПДн

Частное техзадание на построение для определенной информационной структуры СЗПДн определяет ее назначение, преследуемые цели, требования к техническому и организационному обеспечению, план разработки и непосредственного создания СЗПДн.

6. Создание проекта СЗПДн

Создаваемая на этом этапе внедрения СЗПДн проектная документация предусматривает работу, учитывающую предписанные нормативными актами стандарты защищенности данных с ограниченным доступом.

7. Разработка организационно-распорядительной документации

Комплект документов, предписывающих правила обработки, защиты ПДн, состоит из десятков организационно-распорядительных предписаний, которые необходимы для приведения всех процессов по работе и сохранности персональных данных в соответствие с нормативами действующего законодательства.

8. Поставка программно-аппаратных средств информационной защиты

Клиенту поставляются программно-аппаратные элементы для внедрения СЗПДн, прошедшие проверку и соответствующие требованиям законов РФ относительно мер информационной безопасности.

9. Монтаж, настройка СЗИ

На данном этапе внедрения СЗПДн осуществляется монтаж оборудования, инсталлирование программного обеспечения, с соответствующей настройкой. В результате проведенных работ заказчик получает комплект СЗИ, совместимый с применяемой информационной структурой для работы с ПДн.

10. Оценка действенности предпринимаемых мер для создания эффективной защиты персональных данных

Определение эффективности разработанных мер безопасности для данных ограниченного доступа осуществляется до момента запуска СЗПДн в эксплуатацию. Контрольное тестирование системы, работающей в коммерческих структурах, требуется проводить каждые 3 года.

11. Аттестация используемых ИСПДн на соответствие современным требованиям информационной безопасности

Аттестация ИСПДн включает в себя комплекс организационно-технических проверок (аттестационных испытаний), направленных на подтверждение соответствия требованиям информационной безопасности. Предусмотрена для госорганизаций.

Одним из бурно развивающихся сегментов отечественного IT-рынка является интернет торговля, что обусловлено технической простотой внедрения данного проекта, прозрачностью бизнес-процессов. Электронная торговля признана эффективным и перспективным видом предпринимательства.

Вопросы информационной безопасности бизнеса в интернете не утрачивают своей актуальности, напротив, возрастание числа хакерских атак на крупнейшие финансовые учреждения, инвестирующие огромные средства в системы защиты, требует принятия своевременных мер. Вот только как этого добиться, а еще бы и с приемлемым уровнем затрат.

Многие, особенно на начальном этапе, не имеют возможности вырвать с оборота значительные суммы, вложив их в системы информационной безопасности. Бизнес новый, возможные «подводные камни» не известны, да и специфика бизнеса в интернете предполагает постоянные изменения.

В итоге, система безопасности создается, но разрабатывается она «по знакомству» либо делается заказ фрилансеру, в лучшем случае официально оформленной web-студии. Приобретение уже готового решения также нельзя расценивать как обеспечение серьезного уровня безопасности, поскольку возникают вопросы интеграции его в уже существующую IT-инфраструктуру.

А может, следует задуматься, действительно ли подобные системы обеспечивают должный уровень безопасности? Имеет ли сам предприниматель необходимую квалификацию, чтобы определить уровень подготовки «интернет-шабашников»? Может ли такая работа минимизировать возможные риски? К сожалению, в большинстве случаев, ответ отрицательный.

Хоть со стороны потребителя и нет особо жестких требований относительно сохранности тех персональных данных, которые он передает интернет-магазину, совершая покупку, это не может служить основным показателем для выбора способов организации обработки и хранения такой конфиденциальной информации. Покупатель вообще не имеет возможность оценить, насколько эффективно действует защита его персональных данных. Да это, до поры, особенно и не беспокоит, поскольку привлекательные цены, красиво сделанное описание товара, льготная доставка, достигают поставленной цели.

Большая часть покупательской аудитории даже не задается вопросом - куда она отправляет свои персональные данные. То ли это ИП либо частный предприниматель, развивающий свой интернет бизнес. Или это web-подразделение крупного ритейлера бытовой электроники. Естественно, что отношение к информбезопасности в крупной торговой сети более строгое, нежели у предпринимателя, которому иногда приходится самостоятельно заниматься доставкой товара клиентам.

Примечательно, что, несмотря на все возрастающую угрозу хищения конфиденциальной информации, доверие к интернет торговле постоянно растет. Покупатель вводит информацию о себе, заполняя бланк заказа, порой, даже не беспокоясь о том, как с ней будут обращаться сотрудники магазина. А может, она и не настолько востребована для существующих бизнес-процессов?

Возникающая избыточность запрашиваемых данных как раз и подпадает под действие ФЗ-152, поскольку отмечается несоответствие характера и объема получаемой информации существующим задачам ее обработки для предусмотренных в интернет магазине бизнес-процессов.

Технический уровень развития современной интернет торговли дает возможность предположить использование CRM-систем, благодаря чему и можно сохранять данные о клиенте для последующего с ним взаимодействия и предложения нового товара. Вот только необходимо ли это для уровня послепродажного взаимодействия с покупателем?

Согласно ФЗ-152 персональная информация может храниться лишь только тот период времени, который необходим для ее обработки. После того, как совершена покупка либо сделан отказ, все персональные данные должны уничтожаться, так как их хранение не соответствует специфике осуществляемых бизнес-процессов. Стоит ли сомневаться, что этим практически никто и не занимается.

В ФЗ-152 имеются положения, которые ставят под угрозу само существование интернет торговли. Любой проверяющий орган может потребовать от владельца интернет магазина предоставить именно письменное разрешение гражданина на применение его персональных данных в работе. Никто подобного разрешения в письменной форме не предоставляет, максимум ограничиваются отметкой об ознакомлении с правилами магазина.

Поскольку непосредственного контакта в условиях торговли через интернет не предполагается, исключая встречу покупателя с курьером по доставке товара, обеспечить соблюдение норм ФЗ-152 можно лишь путем обезличивания покупательских персональных данных, а это требует корректировки существующих бизнес-процессов.

Несомненно, что удобным инструментом, упрощающим доступ к различным информационным сервисам компании, обоснованно признаются корпоративные порталы. При развитой сети филиалов и отделений, находящихся от головного офиса на большом расстоянии, значительном количестве бизнес-партнеров, оптимальным средством коммуникации является соединение по VPN каналам, имеющим должный уровень защищенности. Выбор подобного высокотехнологичного решения, однако, обходится довольно дорого, доступен не каждой компании. При отсутствии свободных средств для защищенного соединения, более простым способом работы является точка доступа из сети Интернет.

Особенностью корпоративного портала, даже учитывая разный уровень инфраструктуры, является хранение как конфиденциальной информации сотрудников, клиентов фирмы и бизнес-партнеров юридического лица, так и размещение финансовой информации самой компании, разглашение которой может нанести ущерб. Эффективная организация всех процессов работы с персональными данными должна учитывать, что цели и способы обработки данных у каждой подгруппы субъектов отличаются. Именно дифференцированный подход к преобразованию данных ограниченного доступа должен быть заложен в концепцию корпоративной безопасности.

Несомненно, что финансовое положение компании, создающей корпоративный портал, дает возможность привлечь для работы опытных программистов либо приобрести уже готовое и неоднократно обкатанное решение. Следует, однако, не забывать, что безопасность кода является не единственным параметром, на который необходимо обращать внимание, разрабатывая эффективную систему информбезопасности. По большому счету, информационная безопасность должна признаваться руководством компании как неотъемлемая часть общей системы безопасности.

За последние несколько лет количество пользователей популярных соцсетей в Рунете возрастало невиданными темпами, перевалив 50 миллионный рубеж. Колоссальный объем накопленных в соцсетях персональных данных требует соответствующего контроля, что и предполагают нормы ФЗ-152.

Несмотря на первое впечатление, что имеющаяся в соцсетях информация может рассматриваться как «общедоступная», с каждым годом нарастающий объем данных классифицируется законом уже как «конфиденциальные персональные данные».

Факты хищения из соцсетей аккаунтов не редкость за рубежом и в России. Сотни тысяч аккаунтов становятся доступными злоумышленникам. Число хакерских атак на социальные сети не снижается, эксперты отмечают постоянное внимание киберпреступности к этой части Интернета.

Социально-ориентированные мошеннические схемы имеют большой потенциал, используя в своих целях фарминг-атаки, рассылку спама, фишинг. Весь этот набор инструментов современной киберпреступности может привести к хищению данных конфиденциального характера, чему способствует доверчивость и неопытность людей. Администраторам соцсетей требуется осуществлять постоянный мониторинг, выявляя инциденты, устраняя их последствия.

Услуга интернет-банкинга становится все более популярной в российской банковской сфере, несколько десятков финансовых учреждений полноценно предоставляет подобную услугу. Обусловлено это как отсутствием единой интеграционной платформы, так и недостаточным уровнем автоматизации многих учреждений.

Как и распространенные web-приложения, сервис интернет-банкинга, электронные платежные системы, основываются на общей клиент-серверной архитектуре. Признается, что «слабым звеном» такого взаимодействия является именно пользователь и те устройства, используя которые он распоряжается собственным счетом.

К сожалению, потребитель не имеет возможности объективно оценить все риски, неизбежно возникающие при управлении банковским счетом на расстоянии. Не говоря уж о том, чтобы принять соответствующие меры безопасности. Следовательно, восполнить знания клиентов по этим вопросам должны банки.

Примечательно, что злоумышленники уделяют свое внимание интернет-банкингу чаще всего не с целью хищения средств, поскольку финансовые учреждения обеспечивают максимальную безопасность транзакциям, а для того, чтобы получить доступ к персональным данным клиента. Именно благодаря этому и становятся возможны мошеннические схемы с банковскими картами, иные способы хищения финансов. Многие эксперты уверены, что на «черном» рынке простая запись о клиентских счетах имеет свою собственную стоимость.

Статистика наглядно свидетельствует, что создание и работа сервиса интернет-банкинга во многих структурах не соответствует отраслевым нормам и правилам. Чаще всего каждое финансовое учреждение занималось разработкой самостоятельно, а существовавшие стандарты имели лишь рекомендательный характер.

Начало действия ФЗ-152 создало многим банкам существенные проблемы, поскольку ужесточается контроль регулятора за сохранностью персональных данных, что требует усовершенствования существующих систем безопасности. Как ни пыталась ассоциация банков отсрочить начало действия ФЗ-152, выполнять его положения все же стало необходимо.

Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.

Технические средства защиты информации делятся на два основных класса:

· средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);

· средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).

В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

· для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности;

· требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);

· на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);

· далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);

· аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.

В любом случае, независимо от размера и организационной структуры предприятия, наличия или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних организаций приступать к решению задачи под названием «Выполнение требований Закона О персональных данных » нужно как можно быстрее. Так как установленный законом срок выполнения требований не за горами, а сложность и масштабность работ по защите ПДн не предполагает быстрого их завершения.

Предприятия, которые уже приступили к реализации проектов по защите ПДн или приступят в ближайшее время имеют следующие преимущества:

· временной запас позволит тщательно изучить задачи и выбрать наиболее оптимальную конфигурацию защиты ПДн, соответствующую требованиям Закона;

· поэтапное выполнение работ обеспечит равномерное распределение затрат на создание системы защиты ПДн;

· выполнить работы в установленные сроки даже в случае возникновения непредвиденных обстоятельств.

Можно занять выжидательную позицию, но в этом случае предприятие рискует испытать на себе жесткость санкций со стороны регуляторов за неисполнение требований законодательства и подвергнуть свой бизнес рискам, влекущим репутационные и финансовые потери.

Тема 1.6. Технология электронного документооборота.

Первые системы электронного документооборота (СЭД) состояли из трех час­тей: системы управления документами, системы массового ввода бумажных документов, системы автоматизации деловых процессов.

Система управления документами обеспечивает интеграцию с приложениями, хранение данных на разных устройствах, распределенную обработку данных, поиск, ин­дексацию электронных документов, коллективную работу с электронными документами.

Разнообразие электронных документов на предприятии порождают используемые приложения: общего назначения (word, excel, access и др.) и предметные (бухгалтерский учет, расчеты с поставщиками, финансовый анализ и др.).Интеграция с ними осуществ­ляется на уровне операций с файлами, то есть операции приложения - открытие, закры­тие, создание, сохранение и другие - замещаются соответствующими операциями систе­мы управления документами. Интеграция выполняется автоматически. Ее достоинство в том, что сохраняются принятые в организации виды документов.

Следующей задачей является обеспечение хранения электронных документов на разных носителях (серверах, оптических дисках, библиотеках-автоматах и т.д.). К тому же надо обеспечить быстрый поиск и доступ к различным устройствам хранения инфор­мации, чтобы факторы доступности и стоимости хранения всегда были в оптимальном со­отношении в зависимости от важности и актуальности информации. Для этого использу­ют технологии информационных хранилищ HSM и Data Migration - автоматической миграции документов.

Для обеспечения распределенной обработки данныхв режиме реального времени (on-line) можно по сети посредством запросов, объединенных в транзакции, получить данные из информационного хранилища. Можно посредством Web-сервера предприятия подсоединиться к интернет и тем самым получить доступ к удаленным данным. Можно в почтовом режиме (off-line) по электронной почте послать запрос в информационное хра­нилище, задав критерии выбора данных. По этим критериям будет сформирован список документов и переправлен пользователю. Этим способом коммерческая служба может оказывать информационные услуги .

К традиционным функциям систем электронного документооборота относятся:

Библиотечные службы (хранение содержимого и атрибутов документов, регист­рация изменений, обеспечение поиска, средства безопасности);

Управление деловыми процессами (разработка маршрутов движения документов, автоматизация выполнения бизнес-процессов, контроль исполнения документов);

Работа с составными документами (определение структуры, формирование со­держания, опубликование);

Интеграция с внешними приложениями (офисными и предметными приложения­ми, электронной почтой).

К ним добавляются функции управления знаниями:

Автоматизация жизненного цикла документов;

Поддержка принятия решений.

Жизненный цикл представляет собой описание стадий использования документа в ходе делового процесса (история жизни документа) в целях управления этим процессом. Примерами стадий существования документа являются: создание документа, согласова­ние, использование, редактирование, уничтожение, хранение в архиве и др. Для каждой стадии жизненного цикла указываются бизнес-процессы и критерии перехода документа из одной стадии в другую.

Заметим, что жизненный цикл документа и маршрут движения (workflow) - прин­ципиально разные, хотя и тесно связанные между собой понятия. Маршрут движения показывает кто, что, в каком порядке делает в процессе движения документа. Например, на стадии жизненного цикла - согласование документа - могут применяться разные мар­шруты движения. В то же время в ходе исполнения единственного маршрута документ может пройти несколько стадий своего жизненного цикла

Технологии интеллектуального анализа данных обеспечивают:

Извлечение и накопление информации из внешних источников (файл-серверов,

серверов баз данных, почтовых систем, Web-серверов, принадлежащих различным ин­

формационным службам университетов, правительственных органов и даже конкурентов, доступным по интернету);

Анализ собранной информации с целью определения ее надежности и соответст­вия бизнесу на основании собственных внутренних баз данных;

Формирование и предоставление интеллектуального капитала (аналитических
данных) сотрудникам предприятия в нужное время в требуемом формате и в соответствии с их ролями и задачами в контексте бизнеса для принятия решений.

Модуль поддержки принятия решений состоит из графического редактора, систе­мы обеспечения жизненного цикла документов, инструментов извлечения аналитических данных, средств визуального программирования и др.

Для реализации большинства перечисленных функций разработаны специальные серверы, например, EDMS-сервер (Electronic Document Management System).

Использование технологий электронного документооборота и деловых интеллек­туальных технологий выбора данных позволили создать приложения по следующим на­правлениям:

Маркетинг и сбыт продукции;

Управление качеством;

Управление исследованиями;

Управление финансовыми рисками;

Управление проектами и командами разработчиков и др.

Во всех перечисленных направлениях работ требуется сбор и анализ «внешней» информации, чтобы определить спрос, конкурентов, поставщиков, ресурсы, заказчиков, состояние исследований и новых разработок у конкурентов и т.д. Этим занимаются спе­циальные службы организации.

Правовые вопросы, связанные с защитой персональных данных, волнуют юристов, которые ведут свою деятельность в разных сферах закона. Это связано с тем, что в любой области права имеется определенный перечень информации, которая требует обеспечения ее конфиденциальности и нераспространения третьим лицам теми, кому она была вверена в ходе исполнения ими должностных обязанностей.

Итак, рассмотрим далее то, какая информация относится к данной группе, а также особенности системы защиты персональных данных. Как она работает на предприятиях и в организациях? Кроме этого, рассмотрим то, что должно входить в структуру Положения о защите персональных данных работников (образец) и каким образом оно принимается.

Общее понятие

Если говорить об общем понятии, то конфиденциальная информация - это все те сведения, которые имеют непосредственное отношение к определенному физическому лицу. Как правило, это его личные данные. Если изъясняться юридическим термином, то данное лицо в практике специалистов в области права именуется субъектом персональных данных.

Какие данные законодатель относит к категории рассматриваемых? В первую очередь, это фамилия, имя и отчество человека, а также дата и место его рождения. Кроме этого, к группе таковых принадлежат сведения относительно места его проживания по факту, а также прописки. Сведения относительно семейного положения человека, а также его социального статуса, дохода и образования также относятся к группе конфиденциальной информации.

Законодательное регулирование работы с персональными данными в России. Основные нормативные акты

Что касается российского законодательства, то оно обеспечивает надлежащую защиту персональных данных людей, которые являются не только гражданами страны, но еще и пребывают на ее территории по любым обстоятельствам. Законодательство, которое регулирует данные вопросы, представлено несколькими нормативными актами. В частности, к группе таковых можно отнести основной Закон - Конституцию, а также ФЗ 152 "О защите персональных данных". Изменения в эти нормативные акты вносятся не очень часто, что позволяет специалистам более досконально изучить каждую новую поправку и применить ее на практике надлежащим образом.

Кроме российского законодательства, вопросы, связанные с защитой персональных данных, регулируются и международными нормативными актами. Кроме этого, данная деятельность ведется также и на основании нормативных актов, которые издаются органами местных властей, имеющимися в государстве. Законодатель отмечает, что в таких нормативных актах может содержаться регламент относительно обработки данных конкретного типа, но не могут быть предусмотрены правила, касающиеся ограничения определенных прав субъектов, которые являются носителями персональных данных.

Все законы и подзаконные акты, в которых прописаны требования относительно обработки персональных данных, а также обеспечения их защиты, в соответствии с законодательством, должны быть опубликованы официально на ресурсах, доступных для общества. Это правило имеет одно исключение, которое касается документов, регламентирующих работу с секретной информацией - данные сведения должны защищаться от доступа в довольно строгом порядке.

Принципы обработки данных персонального характера

В тексте ФЗ 152 "О защите персональных данных" говорится о том, что работа со сведениями, составляющими личную информацию, должна производиться исключительно в соответствии с определенными принципами. Какие они? Рассмотрим это далее более детально.

В первую очередь, все действия сотрудников органов и служб, которые имеют дело с обработкой личной информации, должны осуществляться с учетом основного принципа - законности. Это означает то, что все сведения, имеющиеся в базе, должны быть добыты законным путем, добросовестно и обработаны надлежащим образом, исключительно в рамках тех целей, для которых они были предоставлены. Кроме этого, должностное лицо, которое занимается обработкой вверенной ему информации, должно использовать те данные, которые позволяют рамки его полномочий.

Все способы обработки сведений, а также их характер, объем должны полностью соответствовать тем целям, для которых была принята в работу информация. В процессе деятельности не могут быть объединены сведения для обработки их в рамках нескольких целей единовременно. Исключением может стать только работа, производимая в информационной системе.

Все личные данные, которые предоставляются в обработку, должны быть достоверными - это также один из основных принципов работы с информацией рассматриваемого характера. Их объем должен быть достаточным для проведения операции в надлежащем виде, законодатель не допускает истребование у лица избыточных сведений, которые не требуются для проведения всех необходимых действий.

Условия, при которых возможна обработка сведений

В Положении о защите персональных данных предусматривается то, что вся работа с информацией, предоставленной на обработку, должна производиться на законных основаниях. Что это означает?

В первую очередь, следует помнить о том, что вся работа с личными данными должна осуществляться исключительно с согласия самого лица, которое является их обладателем. Что касается лица, которое совершает саму процедуру работы, то оно обязательно должно быть уполномоченным на то законом либо отдельным юридическим лицом, в котором производится обработка. В том случае, если лицо, которое принимает информацию, в ходе процесса работы со сведениями должен передать их иному сотруднику учреждения или организации, то в таком случае то самое иное лицо также обязано обеспечивать их сохранность.

В некоторых случаях законодатель предусматривает возможность использования личных данных без согласия на то субъекта, являющегося их непосредственным носителем. В частности, это касается того момента, когда производится использование данных для составления статистических отчетов, а также для достижения научных целей. Также это касается того случая, когда необходимо обеспечить исполнение договорных обязательств, защиту жизни и здоровья одного человека или целого общества. Кроме этого, наличие разрешения субъекта персональной информации не требуется в том случае, когда сведения используются в работе журналистами, в творческой или в научной деятельности. Однако, в Положении о защите персональных данных указывается то, что сведения могут быть применены исключительно профессиональной деятельности и только в том случае, если их раскрытие не принесет ущерб субъекту данной информации.

Особые категории персональной информации

Законодатель предусматривает определенный перечень персональной информации, которая представляет собой несколько категорий особого типа. К числу таковых относятся сведения о расовой принадлежности лица, о его философских и личных убеждениях, об интимной жизни, а также о состоянии здоровья. Данные группы сведений особенным образом охраняются законодательством и их разглашение ни в коем случае не допускается, за исключением определенных случаев. Какие они?

В первую очередь, следует обратить внимание на то, что согласие лица на раскрытие личных данных, относящихся к особым категориям, не требуется в том случае, если они уже являются общедоступными. По большей мере, это касается известных личностей, о жизни которых в открытых каждому источниках имеется немалое количество информации, в том числе, и личного характера.

В том случае, если субъект персональной информации особого характера дает свое письменное разрешение на разглашение сведений, они также могут быть раскрыты.

Что касается сведения относительно состояния здоровья человека, то защита персональной информации данной группы производится особым образом. В современной правовой практике имеется такое понятие, как "врачебная тайна". Именно благодаря ему и обеспечивается сохранность сведений медицинского характера, касающихся человека. Лица, которые, в силу своих должностных обязанностей, знают о состоянии здоровья пациента, не имеют права разглашать полученную информацию третьим лицам без письменного согласия на то самого клиента медицинского учреждения. В противном случае, лицо, которое не соблюдает данное правило, подвергается ответственности. Для получения доктором или иным профессиональным сотрудником медицинского или профилактического учреждения личной информации не требуется разрешение субъекта, так как неполучение специалистом информации относительно состояния здоровья человека может угрожать ему смертью или существенным ухудшением общего положения организма.

В современной практике также разрешается обработка информации личного характера, представленной в группе особых сведений, осуществляемая в процессе проведения следственных действий или судебного разбирательства дела по существу.

Персональные данные биометрического характера

В современную эпоху высоких технологий все большую популярность набирает новый вид личной информации - биометрические данные. Они представляют собой особую группу сведений. Обработка и защита персональных данных этого типа также производится на основании Закона РФ "О персональной информации".

В указанном акте говорится о том, что обработка данных биометрического характера, к числу которых относятся все те сведения, которые характеризуют биологические особенности конкретного человека, может быть произведена исключительно на основании письменного согласия, которое должно быть предоставлено субъектом личных данных непосредственно.

Однако, несмотря на такую строгость закона в отношении защиты конфиденциальности биометрических данных человека, и из этого имеется исключение. Оно заключается в отсутствии необходимости предоставления письменного согласия лица на обработку биометрической информации в случае ведения оперативно-розыскных мероприятий, которые могут производиться правоохранительными органами различных категорий, а также сотрудниками пограничных и миграционных служб.

Меры по обеспечению безопасности данных

После того, как личные данные субъектов принимаются в обработку, оператор и лица, которые принимают сведения на рассмотрение, обязаны обеспечивать их безопасность, которая заключается, в первую очередь, в отсутствии возможности попадания их к посторонним лицам. Какие предусматриваются требования к защите персональных данных?

Процедуры, связанные с обеспечением сохранности личных данных лиц, должны производиться с момента приема информации в обработку. Для этого оператор, который осуществляет данную деятельность, должен принимать меры технического и организационного характера, которые позволят обеспечить желаемую цель. Как правило, для этого используются средства шифровального типа (криптографические), которые препятствуют неправомерному и случайному доступу к внесенным сведениям, их копированию, блокированию, видоизменению и иных операций, которые могут быть произведены над данными, внесенными в открытом виде.

В том случае, если данные обрабатываются в рамках информационных систем, также должна обеспечиваться надлежащая безопасность. Определенные требования выдвигаются к материалам, на которых хранятся данные биометрического характера, а также к технологиям, при помощи которых обеспечивается сохранность элементов.

Над теми лицами и службами, деятельность которых связана со сбором, обработкой и хранением личных данных людей, законодатель устанавливает определенный контроль, который обеспечивает надлежащее исполнение ими всех предписанных в Законе №152 "О защите персональных данных" пунктов. В качестве контролирующих лиц и органов, в первую очередь, выступают представители исполнительной власти, призванные обеспечивать безопасность в различных сферах деятельности. Они имеют право производить контроль исключительно в пределах тех полномочий, которые представляются для них Законом, без возможности прямого доступа к конфиденциальной информации.

Любая контрольная и надзорная деятельность уполномоченных на то лиц или органов может быть осуществлена по индивидуальному заявлению лица, сохранность личных данных которых не была обеспечена, в связи с чем произошла их утечка. Контролирующий субъект обязан рассмотреть представленное обращение, после чего произвести проверку, в результате которой должны быть приняты меры относительно дальнейшего обеспечения безопасной сохранности вверенных личных сведений, а также устранения негативных последствий, которые повлекло за собой их разглашение. В том случае, если оператор незаконным путем получил сведения или запросил те данные, которые являются излишними, контролирующий орган обязан потребовать их полное удаление, а также блокирование.

О конфиденциальности персональных данных

Действующий Закон "О защите персональных данных" (ФЗ 152) предусматривает необходимость обеспечения конфиденциальности всех сведений, которые предоставляются субъектами в обработку. Данная обязанность, как правило, возлагается на самого оператора, который принимает данные в обработку, а на предприятиях - на определенных лиц, предусмотренных в специальном Положении. Однако в двух случаях законодатель все же разрешает снять конфиденциальность со сведений. Первый из них - это случай, когда данные полностью обезличиваются. Иными словами, они могут быть раскрыты, но только таким образом, чтобы по предоставленным третьим лицам сведениям невозможно было установить, о чьих конкретно личных данных идет речь.

Второй случай снятия конфиденциальности с информации относится к и без того открытой информации. Как правило, к таким личным данным относятся имя и фамилия человека, год рождения, город и точное место проживания, номер телефона, а также данные об образовании, профессии, карьерных достижениях и т. п. Однако, такое возможно лишь в том случае, когда сам субъект персональной информации дал свое письменное разрешение на снятие конфиденциальности со сведений.

Разрешение субъекта

Как уже упоминалось выше несколько раз, для обработки персональных данных субъекта требуется его письменное разрешение на работу с предоставленными оператору сведениями. Оно может быть оформлено в письменной форме и закреплено личной подписью. При желании, субъект имеет право в любой момент отозвать свое разрешение.

Рассматриваемое разрешение обязательно должно включать в себя определенный перечень сведений о субъекте. В их числе указываются имя, фамилия и отчество, его место жительства, а также данные документа, выданного государством, который удостоверяет личность. Кроме этого, в нем обязательно должна быть указана цель, с которой предоставляются сведения в обработку, а также определенный перечень сведений, которые были приняты оператором. Также субъект должен указать способ обработки сведений, на который он соглашается.

В самом конце документа обязательно должен быть указан срок, на протяжении которого действует согласие субъекта, а также определен порядок, в котором может состояться отзыв написанного документа.

После отметки всех представленных выше данных, субъект персональной информации обязан поставить дату, когда был составлен документ, а также свою подпись.

В том случае, если лицо не имеет возможности дать согласие на обработку данных в связи со своей смертью, это должны сделать за него наследники. Если же лицо является недееспособным, либо по физиологическим причинам не имеет возможности собственноручно написать согласие, то это могут сделать его законные представители.

Обязанности оператора

ФЗ 152 "О защите персональных данных" представляет вниманию всех заинтересованных лиц определенный перечень обязанностей, которые должен соблюдать оператор, работающий с личными данными субъектов.

По первому же запросу (устному или письменному) оператор обязан предоставить субъекту, который является носителем личной информации, все сведения относительно того, для каких целей будут использованы все предоставленные им данные, каким именно образом произведется их обработка, а также то, в течение какого времени будет производиться процедура. В обязательном порядке данные сведения также должны быть предоставлены в момент приема сведений и их фиксации.

В том случае, если личные сведения должны быть предоставлены в обязательном порядке, оператор должен уведомить субъекта об этом, а также разъяснить возможные юридические последствия его отказа от данной процедуры.

В некоторых случаях оператор может получать личные данные лиц не от них самих, а через посредников. В таком случае он обязан уведомить субъекта персональной информации о том, кто предоставил его сведения, а также цель, для которой данное действие было совершено.

Обработка и защита персональных данных полностью возлагается на оператора, который принимает сведения от лица. Именно он и несет ответственность за ненадлежащее исполнение этой своей прямой обязанности.

Защита персональных данных в организациях и на предприятиях

На любого человека, который ведет трудовую деятельность на каком-либо предприятии или в организации, имеется заведенное, в соответствии с требованиями законодательства, личное дело, в котором отражается огромное количество сведений, представляющих собой персональную информацию. Их сохранность также должна обеспечиваться надлежащим путем. Все требования к данному процессу отражены в содержании Положения о защите персональных данных работников, которое должно составляться на каждом предприятии индивидуально. Следует отметить, что имеется единая рекомендательная форма данного нормативного акта, имеющего локальный характер, однако в ней, по большей части, представлены основные принципы и требования к содержанию. При желании, на любом предприятии может быть принято свое индивидуальное Положение о защите персональных данных работников. Образец данного документа не предусматривает особенностей ведения деятельности конкретного предприятия, что может быть исправлено в случае разработки и принятия индивидуального документа.

Что касается обеспечения сохранности сведений и защиты персональных данных работников, то данные функции могут осуществляться в порядке ведения зашифрованной базы данных, в которую вносятся все индивидуальные данные, предоставленные работниками. Такие информационные системы, как правило, имеют локальный или системный характер, кроме того, на предприятии их может быть несколько. В числе данных, внесенных в такие базы, как правило, содержатся данные относительно должности, оклада, сертификатов, научных званий, наград, списка индивидуальных клиентов, социального статуса и т. п.

Разработка Положения и сопутствующих документов

Процесс разработки рассматриваемого Положения также прописан в ФЗ "О защите персональных данных". Закон отмечает, что данный документ должен быть разработан и принят путем согласования каждого пункта. В первую очередь, следует разработать проект документа, в котором должны быть отмечены все основные положения, в числе которых обязательно необходимо предусмотреть порядок обработки сведений личного характера о сотрудниках.

В связи с тем, что любой субъект персональной информации должен дать свое разрешение на обработку его личных данных, на всех предприятиях и в организациях должны быть разработаны два дополнительных проекта: согласия на обработку предоставленных сведений, а также уведомления о том, что все данные будут включены в общую базу. Кроме этого, предприятие обязано создать документ, в содержании которого будет даваться обязательство относительно надлежащего хранения информации, имеющей статус ограниченного доступа.

О том, что на предприятии будет вестись рассматриваемая база данных, должен быть издан приказ, который обязан подписать руководитель или лицо, уполномоченное на то. В его тексте необходимо указать само название базы, утвердить Положение, которое вводится в структурном подразделении или на всем предприятии в целом, а также определить нововведения в деятельности должностных лиц, чья деятельность связана непосредственно с обработкой личной информации и ее хранением.

После составления проектов всех вышеперечисленных документов, на предприятии должна быть собрана комиссия для обсуждения представленных в них положений. Только после того, как все лица, вошедшие в состав комиссии, будут удовлетворены каждым положением, документы могут быть подписаны и введены в действие.

Для осуществления защиты персональных данных изменения могут быть произведены и в структурных подразделениях предприятий. Нередко с этой целью вводятся новые штатные должности или изменяются обязанности лиц, занимающих уже имеющиеся места. В Законе "О защите персональных данных" не устанавливается конкретный перечень сотрудников, которые являются ответственными за сохранность вверенных сведений. Как правило, такой круг лиц определяется Положением на каждом предприятии отдельно.

Структура Положения о защите персональных данных (образец)

Персональные данные работников любого предприятия должны охраняться надлежащим образом. Именно для этого, создавая Положение по предприятию, необходимо четко знать то, какие моменты в нем должны быть рассмотрены. Итак, рассмотрим примерную структуру Положения о защите персональных данных (образец).

Персональные данные, которые находятся под охраной и относятся к категории личных, должны быть в точности определены в данном документе. Как правило, в локальных актах большинства предприятий их перечень указывается сразу после вступительной части, в которой должны быть прописаны общие положения и основные понятия, которые могут быть использованы в документе. В Положении следует четко определить тот порядок, в котором будет осуществляться доступ к данным, а также круг лиц, имеющих право на это. В том случае, если на предприятии или в организации имеется определенный перечень личных сведений, которым присвоен статус особой секретности, доступ к ним должен быть определен отдельно.

В Положении обязательно должен предусматриваться четкий комплекс действий и мер, с помощью которых будет осуществляться охрана данных, ответственность за нарушение установленных требований, наказание разглашение персональных данных, а также за халатное отношение к своим должностным обязанностям, связанным с приемом, обработкой сведений и обеспечением их сохранности.

В образце Положения о защите персональных данных также говорится о том, что в его структуре должен быть раздел, посвященный правам и обязанностям, имеющимся у работников, связанных с обработкой их личных сведений.

При необходимости, в связи со спецификой деятельности предприятия, в Положении могут быть указаны и дополнительные требования и понятия.

Устранение нарушений в процессе обработки предоставленных личных сведений

Вся ответственность за отсутствие сохранности личных сведений субъекта, в соответствии с ФЗ "О защите персональных данных", полностью возлагается на самого оператора, который совершал прием сведений и их обработку. В случае нарушения требований, выдвинутых законодательством, он обязан принять все меры, которые необходимы для устранения нарушения.

В соответствии с ФЗ "О защите персональных данных", если субъект обращается в контролирующие органы с жалобой на ненадлежащую работу оператора, принявшего его личные сведения, эти данные должны быть немедленно заблокированы на тот период, пока будет проводиться проверка. После того, как нарушение будет установлено, оператор обязан устранить все недочеты - это следует сделать в течение трех суток с момента вынесения постановления контролирующим органом. В Законе "О защите персональных данных" говорится о том, что устранение нарушений должно быть произведено путем удаления информации о субъекте. То же самое следует сделать и в том случае, если субъект отозвал свое разрешение на обработку личной информации. Так, например, любое Положение о защите персональных данных работников (образец) обязательно должно иметь в своем содержании правила относительно удаления сведений о сотруднике, который отозвал свое разрешение на обработку своих личных данных.

Требования к защите персональных данных регулируются законами:

• 149 ("Об информации "),
• 249 ("О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля ").
• Ст. 26 закона «О банках и банковской деятельности » - Согласно ст. 26 закона «О банках и банковской деятельности» к банковской тайне относится информация об операциях, счетах и вкладах клиентов и корреспондентов. По российскому законодательству кредитная организация гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242 , которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему. Перечень разъяснений доступен по ссылке .

Исследования

2018: 24% утечек конфиденциальной информации из государственных и коммерческих компаний сопряжены с мошенническими действиями

2017: Клиентские базы страховых компаний доступны на теневом рынке

Согласно результатам исследования аналитического центра «МФИ Софт » за сентябрь 2017 года, уже 5,6 млн записей данных клиентов страховых компаний обнаружены на черном рынке, их можно приобрести на открытых пиратских форумах. Актуальность данных самая свежая - 2016-2017 годы. При этом две трети всех предложений касаются автострахования - вероятно, клиенты КАСКО/ОСАГО ценятся в первую очередь конкурирующими страховыми компаниями. Вместе с этим, предложения баз автостраховок обновляются быстрее всех - некоторые продавцы предлагают обновление на ежемесячной основе.

Стоимость баз данных

Базы страховых компаний - одни из самых дорогих и востребованных на рынке информации. На «черном рынке» представлены базы данных разных объемов - от нескольких сотен клиентов до десятков и сотен тысяч. Стоимость одного контакта в небольшой, но актуальной базе может достигать 10 рублей, в то время как в крупных базах она падает до 0,001 рублей. Купить такую базу может каждый по цене от 250 до 40 тыс. рублей. На стоимость влияют такие параметры как количество контактов, актуальность и полнота данных. Наиболее часто встречающийся ценник - 3500 руб, с размером базы до 60 тыс. записей, указали в «МФИ Софт».

Географический охват

Чуть менее половины предложений о продаже составляют базы страховых компаний Московской области (41% от исследованных предложений). Базы Ленинградской области - на втором месте (21%). Порядка 26% баз охватывают всю Россию . Предложения баз данных, охватывающих только один нестоличный город или регион, встречаются в единичных случаях (12%). В 59% случаев базы содержат полные данные о клиентах, включающие не только персональную информацию, но и данные об автомобиле, историю страховых сделок, копии документов.

Риски для клиентов и компаний

По оценкам «МФИ Софт», риск для пользователя услуг страховой компании в случае утечки варьируется от получения спама до крупного мошенничества с собственностью, так как данные могут представлять интерес для криминальных структур. Для самих страховых компаний кроме прямой потери клиентов крупные утечки чреваты потерей репутации и санкциями со стороны регуляторов по факту нарушения закона 152-ФЗ «О персональных данных». Такие прецеденты в отрасли уже были зафиксированы в 2012 году.

Источники утечек

Как выяснили исследователи, информация о клиентах страховых компаний утекает не на этапе сбора, а из информационных систем. Состав базы данных часто указывает на источник утечки, в некоторых случаях может указывать даже на отдел внутри компании (при понимании, на каком бизнес-процессе запись обогащается теми или иными данным), однако установить владельца самой информационной системы достаточно затруднительно. Так как данные могут поступать как непосредственно от страховых компаний, так и из других информационных систем - ГИБДД , единая база РСА и т.д.

Основным поставщиками данных внутри компаний являются страховые агенты, также встречаются утечки, спровоцированные системными администраторами. Нередко встречается на торговых площадках предложение об аренде удалённого доступа в ИС страховых компаний (например, партнёрские порталы), через которые можно делать выгрузки по клиентам.

Высокий спрос на страховые базы данных на черном рынке формирует все новые и все более актуальные предложения со стороны инсайдеров, которые нередко работают на заказ.

Для сохранности данных и предотвращения утечек аналитики «МФИ Софт» рекомендуют страховым компаниям более тщательно контролировать легитимность доступа к своим базам данных внутри организации, обращать внимание на массовые выгрузки из систем хранения информации и на аномальные действия привилегированных пользователей, а также контролировать уязвимости используемых СУБД .

2016: Персональные данные миллионов россиян уже на "черном" рынке

По результатам исследования «Черный рынок баз данных » аналитического центра «МФИ Софт » за ноябрь 2016 года, объем рынка нелегальных баз данных в России - больше 30 млн рублей, если перевести на количество записей частных лиц – получается больше 1,2 млрд. Всего за несколько часов поиска в интернете можно найти базы данных клиентов крупных банков, страховых компаний и онлайн-казино.

Как оказалось, на пиратских форумах и порталах особенно распространены данные клиентов финансовых организаций – 34%, а также заказчиков крупных интернет-магазинов – 19%, брокеров -18% и операторов связи – 6%.

В рамках исследования были обнаружены базы клиентов 18 крупных российских банков - среди них есть представители ТОП-10 крупнейших российских банков, а также базы популярных микрофинансовых организаций. К таким базам высокий уровень интереса у различного рода мошенников, в том случае, если база обогащена информацией по счетам. Почти каждая десятая запись (8% обнаруженных данных) в украденной базе может с высокой вероятностью повлечь за собой тяжелые негативные последствия - например, использоваться для подделки кредитных договоров, махинаций с недвижимостью, банковским мошенничеством или более тяжелым последствиям. Еще один вариант развития событий - оформление кредитов на паспортные данные пользователей банковских услуг и перепродажа базы коллекторам. В продаваемой базе можно найти полные контактные данные лица, с его паспортными данными, текущим местом проживания, выпиской по банковским счетам и перечислением имущества, информацией о налогах и штрафах.

Сколько стоят персональные данные на черном рынке?

В последние годы стоимость персональных данных сильно обесценилась. Как показало исследование 134 баз данных, находящихся в свободной продаже на черном рынке, средняя стоимость одного контакта для баз рассылок составляет 2 копейки. Наибольшей ценностью обладают базы страховых компаний – цена записи достигает 10 рублей при средней цене в 2,73 рубля, данные клиентов банков оцениваются в среднем по 0,28 рубля за запись. По сути, каждый пользователь интернета может купить такую базу, одни из праздного любопытства, другие - для наживы.

Что содержится в серых базах данных и чем это грозит?

Базы данных могут содержать не только имена и контакты пользователей услуг, но и все документы, от паспортных данных и водительского удостоверения до номеров банковских карт и счетов с указанием сумм депозитов. Есть даже базы по направлениям деятельности, например, базы руководителей служб безопасности, базы директоров по регионам и другие не менее интересные варианты.

В лучшем случае такие базы покупают для спам -рассылок и обзвона с предложениями услуг. Чуть менее часто базы данных на черном рынке скупают мошенники в целях совершения финансовых махинаций. По паспортным данным с помощью социальной инженерии можно получить доступ к карточным счетам пользователя и выводить с них средства, а также шантажировать владельцев этих данных или оформить на них кредит в микрофинансовой организации.

Источники утечки баз данных

В ответе за утечку данных пользователей – владельцы баз, так как это прямое нарушение ФЗ-152 «О персональных данных ». Но часто они сами даже не подозревают, что их базы были украдены, и узнают об этом только после громких инцидентов. Согласно выборке «МФИ Софт», базы данных попадают на черный рынок четырьмя путями: злонамеренный инсайд – 78%, взлом – 2%, недобросовестность (целенаправленное распространение данных клиентов на коммерческой основе) – 13%, парсинг (сбор и структурирование данных из открытых источников) – 7%. Из чего следует – что главная проблема российских компаний – это утечка баз данных через сотрудников.

phonenumber.to: 137,090,136 скомпрометированных учетных записей в базе

Как обеспечить безопасность?

Организациям, осуществляющим обработку персональных данных для того, чтобы избежать нарушений, необходимо провести ряд мероприятий, которые включают в себя следующие работы:

• направление уведомления об обработке персональных данных в контролирующий орган, Роскомнадзор ;
• разработка формы и получение согласия каждого субъекта на обработку его персональных данных (согласие должно содержать собственноручную подпись субъекта (либо его цифровую подпись));
• документально описание информационных систем обработки персональных данных (назначение, состав данных, правовые основания для их обработки), а также обозначение круга лиц, работающих с персональными данными и имеющими к ним доступ;
• разработка ряда нормативных документов, описывающих модели угроз и средства защиты от них персональных данных;
• обеспечение защиты персональных данных техническими (программными, аппаратными) и организационными методами;
• прохождение необходимых проверок для подтверждения соответствия систем защиты персональных данных требованиям законодательства.

Для успешного проведения данных работ необходимо, во-первых, назначить сотрудника, ответственного за вопросы защиты персональных данных, во-вторых, для всех ресурсов и подсистем, содержащих персональные данные, определить их статус, и, наконец, определить способы и сроки обработки данных, а также сроки хранения».

В первую очередь, самый действенный и не затратный подход к хранению персональных данных - это хранение их в обезличенной форме. Необходимо максимально обобщать, обезличивать информацию, отказываться от избыточной - таким образом можно просто не бояться умышленной или случайной утечки информации - она не будет представлять практически никакой ценности для злоумышленников. Кстати, законодательство Соединенных Штатов, рекомендует для обеспечения безопасности персональных данных именно такой подход. Конечно, это палка о двух концах. Такой подход, несомненно, снижает потребность в защите данных, однако значительно затрудняет возможность их обработки.

Операторы персональных данных сейчас в большинстве своем отказались от работ по обеспечению информационной безопасности. Закон будет меняться, в этом есть необходимость и об этом есть свидетельства, так что вкладывать средства в реализацию формальных требований безотносительно их важности довольно расточительно.

В неоднозначной ситуации находятся и компании, занимающиеся производством продуктов для защиты персональных данных. В поисках решений, которые позволят, с одной стороны, удовлетворить регуляторов, с другой - заказчиков, и, наконец, не остаться в проигрыше, они приходят к тому, что перестройка устоявшейся модели системы защиты персональных данных неизбежна.

При этом четко прослеживается разница между компаниями-лидерами в своей области и фирмами-подголосками. Последние, в большинстве своем, быстро переориентировались на соответствие требованиям закона. Спектр предлагаемых ими услуг расширился такими предложениями, как помощь в получении лицензии, проведение обследования и классификации информационной системы, консультационная поддержка. Нашлись умельцы и по способам обхождения закона - широко разошлась статья под названием "Пять сравнительно легальных способов сопротивления ФЗ-152".

Куда интереснее, что думают о нововведении представители серьезных компаний, занимающихся защитой информации. Многие вендоры начали активную доработку своих решений, задавшись вопросом о том, соответствуют ли они требованиям регуляторов. Другие же пока не спешат со столь кардинальными мерами, ожидая дальнейших изменений в законодательстве. Однако ключевым моментом по мнению многих компаний является формирование культуры защиты персональных данных. Так, например, Алексей Сабанов, заместитель генерального директора компании Aladdin считает, что №152-ФЗ прививает культуру информационной безопасности в обществе и на всех уровнях российского бизнеса. Александр Шарамок, представитель компании "Ортикон" придерживается мнения, что ситуация с защитой персональных данных улучшится, если будет создана прозрачная правовая и нормативно-техническая база и в обществе сформируется культура защиты персональных данных, первые шаги к чему он также видит в законе №152-ФЗ "О персональных данных".

Все же, кроме совершенствования технических мер безопасности, компаниям непременно нужно уделить внимание методологической составляющей. Уже сейчас многие компании предлагают своим клиентам построение модели угроз безопасности персональных данных. Кроме того, помощь в определении типа информационной системы, информационная поддержка по вопросам лицензирования и прохождения проверок, нахождение способов снижения класса обрабатываемых данных - все это уже потихоньку начинает занимать свою нишу на рынке услуг по защите информации и, в дальнейшем, будет только развиваться .

Обезличивание персональных данных

Требование законодательства по обезличиванию данных

Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных .

Свойства обезличенных данных

• полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
• структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
• релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
• семантическая целостность (сохранение семантики персональных данных при их обезличивании);
• применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
• анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

Типичные подходы к обезличиванию данных

• Данные не обезличиваются (использование NDA с подрядчиками)

• После обезличивания теряются особенности данных (чрезмерное маскирование данных)
• После обезличивания теряется связанность данных
• Нет единого инструмента для обезличивания данных
• Обезличиваются только данные согласно документации приложения
• Одинаковые политики по деперсонализации данных для различных задач
• На деперсонализацию данных требуется значительное время
• После изменения источников (например, после установки патчей) требуется значительное время на изменение процессов деперсонализации

Применяйте надежную многофакторную аутентификацию

Кража персональных данных – одна из наиболее опасных и часто встречающихся угроз в области защиты информации. Она является причиной взлома в четырех из пяти случаев Verizon . Отчет об утечке данных 2013. Таким образом, для доступа в персональную систему не достаточно ввести имя пользователя и пароль. Для защиты персональных данных необходимо применять надежную аутентификацию . Например, одним из оптимальных решений будет двухфакторная аутентификация , в рамках которой необходимо дважды подтвердить свою личность: при помощи удостоверения – токена, смарт-карты, мобильного приложения, а также при помощи ввода секретного пароля. В будущем, возможно, будет введен дополнительный биометрический фактор, при котором для подтверждения личности сотрудника могут потребоваться отпечатки его пальцев.

Зашифруйте конфиденциальные электронные адреса и файлы

Электронная почта является наиболее важным инструментом коммуникации внутри любой организации, ей пользуются как руководители, так и другие сотрудники компаний. Чтобы защитить электронную почту, необходимо использовать специальную сертифицированную программу, которая позволяет шифровать отдельные файлы или сообщения таким образом, что только конкретный получатель, обладающий ключом, сможет получить доступ к зашифрованной информации. Также необходимо четко вести базу контактов, чтобы информация случайным образом не попала неверному адресату.

Установите правила соблюдения информационной безопасности для руководителей

Безусловно, все вышеперечисленные рекомендации будут работать при условии дополнительных вложений со стороны руководства компании. В этой ситуации необходимы посредники, которые смогут провести необходимый тренинг для руководителя и расскажут все основные правила обеспечения информационной безопасности. Данная практика поможет изменить поведение руководителя и мотивирует сотрудников брать пример с руководства.

Деятельность киберпреступников активизируется, и любая организация должна задуматься о защите корпоративных данных. Во многих компаниях обеспечение информационной безопасности – это обязательная мера, которую необходимо соблюдать по требованию регуляторов, но вопрос безопасности данных руководителей компаний по-прежнему остается отрытым и требует специального подхода, который обеспечит защиту информации и, в то же время, не затронет мобильный образ жизни руководителя.

»

Классификация специальных ИСПДн

Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.

К специальным ИСПДн автоматически относятся:

• информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн;
• информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

Составление моделей угроз для специальных ИСПДн

Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 февраля 2008 года:

• типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
• типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
• типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
• типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
• типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
• типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена.

На основе базовой модели угроз и в соответствии с нормативным документом ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным 14 февраля 2008 г., разрабатываются частные модели угроз в отношении конкретных ИСПДн. В ходе такой разработки составляется перечень актуальных угроз в отношении конкретных информационных систем.

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности ПДн при их обработке в ИСПДн» и «Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденных ФСТЭК, формулируются конкретные организационно- технические требования по защите информационных систем от утечки данных по техническим каналам, от несанкционированного доступа. Также осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

Что подлежит защите в ИСПДн?

Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.

Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) ПДн. Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Носители ПДн могут содержать информацию, представленную в следующих видах:

• акустическая (речевая) информация, содержащаяся непосредственно в произносимой речи пользователя ИСПДн при осуществлении голосового ввода данных в информационную систему, либо воспроизведении акустическими средствами ИСПДн, а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;
• видовая информация, представленная в виде текста или изображений, и воспроизводимая при помощи различных устройств отображения информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн;
• информация в виде электрических, электромагнитных, оптических сигналов, возникающих при обработке ПДн в ИСПДн;
• информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.

Мероприятия по защите ПДн при обработке в ИСПДн

В соответствии с Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также документом ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденным 15 февраля 2008 г., мероприятия по обеспечению безопасности ПДн при обработке в ИСПДн формулируются в зависимости от класса информационных систем с учетом возможного возникновения угроз безопасности в отношении персональных данных. Такие мероприятия включают в себя:

• определение угроз безопасности в отношении ПДн при их обработке в ИСПДн, формирование на их основе моделей угроз;
• разработку на основе таких моделей угроз системы защиты ПДн (СЗПДн), которая обеспечивает нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
• проверку готовности средств защиты информации (далее СЗИ) к применению и составление заключений о возможности их эксплуатации;
• установку и ввод в эксплуатацию СЗИ в соответствии с эксплуатационной и технической документацией;
• обучение лиц, которые будут эксплуатировать СЗИ, правилам работы с ними;
• контроль за применением СЗИ, учет эксплуатационной и технической документации к ним, носителей персональных данных;
• учет лиц, допущенных к работе с персональными данными в информационной системе;
• контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
• проведение расследований и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн; а также принятие мер по предотвращению возможных опасных последствий подобных нарушений;
• описание системы защиты персональных данных.

Мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн включают:

• мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с ПДн;
• мероприятия по закрытию утечки ПДн по техническим каналам при их обработке в информационных системах;
• мероприятия по защите ПДн от несанкционированного доступа (далее НСД) и определению порядка выбора средств защиты персональных данных при их обработке в ИСПДн.

Система защиты ПДн при их обработке в ИСПДн

Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных.

Что включает СЗПДн?

Структура, состав и основные функции систем защиты персональных данных определяются исходя из класса ИСПДн. СЗПДн включает в себя организационные меры, средства защиты информации, а также используемые в информационной системе информационные технологии.

Организационные меры

Обеспечение безопасности персональных данных при их обработке в ИСПДн должно предусматривать:

• оценку обстановки;
• обоснование требований по обеспечению безопасности ПДн и формулирование задач их защиты;
• разработку замысла обеспечения безопасности ПДн;
• выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты;
• решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты;
• обеспечение реализации принятого замысла защиты;
• планирование мероприятий по защите ПДн;
• организацию и проведение работ по созданию системы защиты персональных данных в рамках разработки (модернизации) ИСПДн, разработка и развертывание СЗПДн или ее элементов в ИСПДн, решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации информационных систем;
• разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн;
• развертывание и ввод в опытную эксплуатацию СЗПДн в информационных системах персональных данных;
• доработку СЗПДн по результатам опытной эксплуатации.

Средства защиты ПДн

В соответствии с классификацией ИСПДн, а также с учетом актуальных угроз, приведенных в адаптивных моделях для «специальных» ИСПДн, и в соответствии с требованиями нормативно-методических документов регуляторов ФСТЭК РФ и ФСБ РФ, СЗПДн должна включать ряд подсистем, описание которых представлено в следующих разделах.

Средства защиты ПДн от утечки по техническим каналам

С целью предотвращения утечек акустической (речевой), видовой информации, а также утечек информации за счет побочных электромагнитных излучений и наводок применяются специальные технические средства. При этом выделяются пассивные и активные средства защиты.

Пассивные средства защиты , как правило, реализуются на этапе разработки проектных решений при строительстве или реконструкции зданий. Преимущества применения пассивных средств заключаются в том, что они позволяют заранее учесть типы строительных конструкций, способы прокладки коммуникаций, оптимальные места размещения защищаемых помещений.

Защита ПДн при осуществлении пользователями информационных систем голосового ввода данных в ИСПДн или их воспроизведении акустическими средствами ИСПДн обеспечивается путем звукоизоляции помещений, в которых устанавливаются аппаратные средства ИСПДн, систем инженерного обеспечения (вентиляции, отопления и кондиционирования), а также ограждающих конструкций помещений (стены, пол, потолок, окна, двери).

Что использовать: встроенные или наложенные средства защиты?

Опираясь на накопленный опыт в области защиты информации, специалисты компании «Инфосистемы Джет» в проектировании решений по защите ПДн при их обработке в ИСПДн стараются комбинировать как наложенные средства защиты информации, так и встроенные механизмы защиты в общесистемное и прикладное программное обеспечение (ПО), используемое в ИСПДн. Каждый вариант имеет свои достоинства и недостатки. Наложенные средства далеко не всегда могут в полной мере реализовать требования регуляторов, а также могут оказаться несовместимыми с уже используемыми в ИСПДн программными решениями. Применение встроенных механизмов приводит к возникновению проблем, связанных с обязательным наличием у такого ПО сертификатов соответствия российских регуляторов.

Специалисты компании «Инфосистемы Джет» отдают предпочтение встроенным механизмам реализации управления доступом к ПДн.

Данный подход обусловлен тем, что позволяет минимизировать изменения в структуре как самих ИСПДн, так и механизмов безопасности.

Большое внимание при проектировании СЗПДн специалисты нашей компании также уделяют обеспечению целостности настроек самих средств защиты информации. При выборе данных средств компанией «Инфосистемы Джет» тщательно анализируются собственные механизмы контроля целостности. Только неизменность настроек средств защиты информации может гарантировать оператору ПДн надежную защиту обрабатываемой в ИСПДн информации.

Звукоизоляция обеспечивается с помощью архитектурных и инженерных решений, применением специальных звукопоглощающих строительных и отделочных материалов, виброизолирующих опор, которыми разделяют друг от друга различные ограждающие конструкции. Для обеспечения требований по защите ПДн достаточным является повышение звукоизоляции на 10-15 дБ. Для снижения вероятности перехвата информации такого рода необходимо исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций помещений и выходящих из них инженерных коммуникаций.
В случае технической невозможности использования пассивных средств защиты помещений, применяют активные меры защиты , заключающиеся в создании маскирующих акустических и вибрационных помех.

Средства акустической маскировки используется для защиты речевой информации от утечки по прямому акустическому каналу путем создания акустических шумов в местах возможного размещения средств подслушивания или нахождения посторонних лиц.

Средства виброакустической маскировки применяются для защиты информации от перехвата с помощью электронных стетоскопов, радиостетоскопов, а также лазерных акустических систем подслушивания.

Для получения оптимального уровня антивирусной защиты ИСПДн компания «Инфосистемы Джет» реализует двух-эшелонную систему защиты информации. Первый эшелон организуется на периметре информационной системы оператора ПДн, второй эшелон защищает внутренние ресурсы системы от возможного попадания вирусов путем использования непроверенных носителей информации сотрудниками оператора. Не секрет, что не все антивирусы «одинаково полезны». Опыт нашей компании показывает, что не существует универсального средства безопасности от вирусов, поэтому для наиболее эффективной защиты в проектируемых решениях наши специалисты применяют одновременно антивирусные средства разных производителей.

С целью предотвращения утечки информации по телефонным каналам связи необходимо оконечные устройства телефонной связи, которые имеют прямой выход на городскую автоматическую телефонную станцию, оборудовать специальными средствами защиты информации, которые используют электроакустическое преобразование.

Средства защиты ПДн от несанкционированного доступа

Для осуществления мероприятий по защите ПДн при их обработке в информационных системах от несанкционированного доступа (НСД) и неправомерных действий пользователей и нарушителей СЗПДн могут включать в себя следующие подсистемы:

• управления доступом;
• регистрации и учета;
• обеспечения целостности;
• антивирусной защиты;
• обеспечения безопасности межсетевого взаимодействия ИСПДн;
• анализа защищенности;
• обнаружения вторжений.

Подсистема управления доступом, регистрации и учета , как правило, реализуется с помощью программных средств блокирования НСД, сигнализации и регистрации. Это специальные, не входящие в ядро операционной системы программные и программно-аппаратные средства защиты самих операционных систем, СУБД и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения несанкционированных действий пользователей или нарушителей. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики (тестирование файловой системы), регистрации (журналирование действий и операций), сигнализации (предупреждение об обнаружении фактов несанкционированных действий или нарушения штатного режима функционирования ИСПДн).

Подсистема обеспечения целостности также реализуется преимущественно средствами самих операционных систем и СУБД. Работа данных средств основана на расчете контрольных сумм, уведомлении о сбое в передаче пакетов сообщений, повторе передачи непринятых пакетов.
Частота применения в российских компаниях в качестве операционной системы продуктов компании Microsoft вызвала необходимость использовать в качестве базовой платформы для построения решения подсистемы разграничения и контроля доступа к ресурсам информационной системы функционал Microsoft Windows Server 2003.

Эта сетевая операционная система наряду с необходимым для обеспечения безопасности ПДн набором технологических параметров обладает всеми необходимыми сертификатами на соответствие требованиям регулирующих органов. ФСТЭК России в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертифицировал:

• русскую версию Windows Server 2003 (Standard Edition и Enterprise Edition);
• русскую версию Windows Server 2003 R2 (Standard Edition и Enterprise Edition).

Компанией Microsoft также производится сертификация ежемесячно выходящих новых патчей к данным продуктам.

ФСБ России сертифицировала русскую версию серверной операционной системы Windows Server 2003 Enterprise Edition. Сертификат ФСБ удостоверяет, что продукт соответствует требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2. Таким образом, данная система может быть использована в качестве средства для защиты ПДн в ИСПДн.

Последней версией Windows Server является версия Windows Server 2008. Ожидается, что к дате выхода данной статьи сертификация данной ОС будет получена и в технических решениях для подсистемы управления доступом, регистрации и учета будет возможно применение Microsoft Windows Server 2008.
Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты (подсистема антивирусной защиты). Такие средства способны обеспечивать:

• обнаружение и блокирование деструктивных вирусных воздействий на общесистемное и прикладное ПО, реализующее обработку ПДн, а также на сами ПДн;
• обнаружение и удаление «неизвестных» вирусов (т.е. вирусов, сигнатуры которых еще не внесены в антивирусные базы данных);
• обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.

Подсистема антивирусной защиты должна строиться с учетом следующих факторов:

• наличия средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора безопасности информации в ИСПДн;
• возможности оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления программно-математических воздействий (ПВМ).

Для реализации подсистемы антивирусной защиты ПДн при их обработке в ИСПДн возможно использование антивирусных средств компании «Лаборатория Касперского».

Продукты компании «Лаборатория Касперского» сертифицированы Федеральной службой безопасности России. Данные сертификаты удостоверяют, что Антивирус Касперского 6.0 для Windows Servers соответствует требованиям к антивирусным средствам класса А1с, Антивирус Касперского 5.5 для Linux и FreeBSD Workstations и File Server соответствует требованиям к антивирусным средствам класса А2с и Kaspersky Administration Kit 6.0 соответствует требованиям к антивирусным средствам класса А3с. Указанные продукты могут использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.

Кроме того, продукты Антивирус Касперского 6.0 для Windows Servers, Антивирус Касперского 6.0 для Windows Workstation и Kaspersky Administration Kit 6.0 соответствуют требованиям руководящего документа ФСТЭК - по 3 уровню контроля и требованиям технических условий.
Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии (подсистема обеспечения безопасности межсетевого взаимодействия ИСПДн) применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами (МЭ). Межсетевой экран устанавливается между защищаемой внутренней и внешней сетями. МЭ входит в состав защищаемой сети. За счет соответствующих настроек задаются правила, которые позволяют ограничивать доступ пользователей из внутренней сети во внешнюю и наоборот.

Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 3 и 4 классов рекомендуется использовать МЭ не ниже пятого уровня защищенности, в ИСПДн 2 класса - МЭ не ниже четвертого уровня защищенности, в ИСПДн 1 класса - МЭ не ниже третьего уровня защищенности.

Подсистема анализа защищенности предназначена для осуществления контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяет оценить возможность проведения нарушителями атак на сетевое оборудование, контролирует безопасность программного обеспечения. С помощью таких средств (средства обнаружения уязвимостей) производится сканирование сети с целью исследования ее топологии, осуществления поиска незащищенных или несанкционированных сетевых подключений, проверки настроек межсетевых экранов и т.п. Данный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средств анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях.
Средства обнаружения уязвимостей могут функционировать на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Применяя сканирующее ПО, можно составить карту доступных узлов ИСПДн, выявить используемые на каждом из них сервисы и протоколы, определить их основные настройки и сделать предположения относительно вероятности реализации НСД. По результатам сканирования системы вырабатываются рекомендации и меры, позволяющие устранить выявленные недостатки.

В качестве средства, применяемого в подсистеме анализа защищенности, специалисты компании «Инфосистемы Джет» часто используют Xspider компании Positive Technologies. Сетевой сканер Xspider сертифицирован ФСТЭК России (сертификат соответствия № 1323от 23 января 2007 г., действителен до 23 января 2010 г.) и Министерством Обороны (сертификат соответствия № 354). Xspider - сетевой сканер безопасности, построенный на базе интеллектуального сканирующего ядра, которое обеспечивает максимально полное и надежное определение уязвимостей на системном и прикладном уровне. XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов, работает с уязвимостями на разном уровне - от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений. Xspider поддерживает различные способы сканирования, в том числе и удаленное, при гарантии доступности сетевого сегмента.

В настоящее время компания Positive Technologies проводит работы по сертификации на отсутствие НДВ и соответствие ТУ системы оценки защищенности и контроля соответствия техническим политикам MaxPatrol.
В отличие от сканера безопасности, который оценивает только внешние уязвимости, MaxPatrol проводит внутренний аудит информационных ресурсов.

Применение системы MaxPatrol позволяет:

• Оценивать защищенность информационных систем. MaxPatrol выявляет бреши в защите автоматизированных систем (АС), формирует задание на их устранение, отслеживает эффективность и своевременность устранения найденных уязвимостей.
• Отслеживать текущее состояние информационных ресурсов. MaxPatrol проводит инвентаризацию защищаемых ресурсов и позволяет своевременно обнаруживать изменения в АС, в частности, в настройках сетевого оборудования, правах пользователей на рабочих станциях, таблицах БД, мандантах ERP-систем.
• Контролировать соответствие АС техническим политикам. MaxPatrol формирует технические стандарты с использованием имеющейся в системе Базы Знаний, включающей комплексные стандарты для сетевого оборудование Cisco/Nortel/Huawei, платформ Windows/Linux/Solaris/, СУБД Microsoft SQL/Oracle, сетевых приложений, Web-служб, почтовых систем, ERP-приложений. MaxPatrol автоматически проводит инспекции на предмет соответствия АС сформированным техническим политикам безопасности.
• Измерять эффективность процессов ИБ в организации. На основе постоянно собираемой информации система формирует метрики безопасности (KPI), по которым оценивается эффективность процессов обеспечения ИБ. Существуют десятки различных метрик: от технических (например, процент рабочих станций, не удовлетворяющих антивирусной политике) до высокоуровневых (процент выполнения филиалом требований по безопасности в сравнении с другими филиалами на протяжении определенного времени). Метрики рассчитываются на основе реальных количественных данных, собранных модулями оценки защищенности, инвентаризации, контроля соответствия.

В данный момент ведется сертификация системы MaxPatrol.

Выявление угроз НСД при межсетевом взаимодействии производится с помощью систем обнаружения вторжений (подсистема обнаружения вторжений) . Такие системы строятся с учетом особенностей реализации атак и этапов их развития. Они основаны на следующих методах обнаружения атак: сигнатурные методы, методы выявления аномалий, комбинированные методы с использованием обоих названных методов.

Для обнаружения вторжений в ИСПДн 3 и 4 классов рекомендуется использовать системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2 класса - системы, применяющие сигнатурный метод и метод выявления аномалий.
В качестве средства для реализации подсистемы обнаружения и предотвращения вторжений специалисты компании «Инфосистемы Джет» часто используют продукты компании Cisco. Данные средства сертифицированы ФСТЭК и соответствуют требованиям технических условий и стандарту ГОСТ Р ИСО/МЭК 15408-2002.
К таким продуктам, в частности, относится Cisco Intrusion Detection System/Intrusion Preventing System (IPS/IDS), который является основным компонентом решений Cisco Systems по обнаружению и отражению атак. Наряду с традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки. Встроенные технологии корреляции событий безопасности Cisco Threat Response, Threat Risk Rating и Meta Event Generator не только помогают существенно уменьшить число ложных срабатываний, но и позволяют администраторам реагировать лишь на действительно критичные атаки, которые могут нанести серьезный ущерб ресурсам корпоративной сети.

Средства защиты каналов при передаче ПДн

Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий).

Cisco ASA 5500 предназначен для решения сразу нескольких задач - разграничения доступа к сетевым ресурсам, защиты от атак, защиты взаимодействия с удаленными территориями, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа «фишинг». Это достигается за счет объединения в одном устройстве лучших защитных средств - межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator.

Помимо описанных выше программно-технических средств защиты компания «Инфосистемы Джет» широко использует продукты других ведущих производителей на рынке информационной безопасности. К ним, в частности, относятся Oracle, Aladdin, Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят активную позицию по соответствию требований регуляторов и сертификации своих продуктов с целью их применения в решениях по защите персональных данных.

Требования к средствам защиты ПДн

Для реализации перечисленных подсистем, общая структура СЗПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации.

В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации10.

Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ.

К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Изменение условий применения средств защиты информации (происходящие, например, в ходе модернизации ИСПДн), предусмотренных указанными правилами, согласовывается с ФСТЭК и ФСБ.

Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.

Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
Все сертифицированные ФСТЭК средства защиты представлены на сайте ФСТЭК (http://www.fstec.ru/) в разделе «Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации» (http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр сертифицированных средств защиты информации».

Этапы создания СЗПДн

• предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн;
• стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации.

Предпроекное обследование

• устанавливается необходимость обработки данных в ИСПДн;
• определяется перечень ПДн, подлежащих защите от несанкционированного доступа;
• определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ);
• определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
• определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах;
• определяется класс ИСПДн;
• уточняется степень участия персонала в обработке данных, характер их взаимодействия между собой;
• определяются (уточняются) угрозы безопасности ПДн в конкретных условиях функционирования (разработка частной модели угроз).

Разработка технического задания

По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности данных, включаемые в техническое (частное техническое) задание на разработку системы защиты.
Техническое (частное техническое) задание на разработку СЗПДн должно содержать:

• обоснование разработки СЗПДн;
• исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию информационная система; конкретизацию мероприятий и требований к СЗПДн;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

Проектирование СЗПДн

На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:

• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
• разработка раздела технического проекта на ИСПДн в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией;
• использование серийно выпускаемых технических средств обработки, передачи и хранения информации;
• разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка;
• сертификация программных средств защиты информации по требованиям безопасности данных в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;
• разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;
• определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПДн;
• разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
• выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности персональных данных.

Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании «Инфосистемы Джет» проводят работы с учетом следующих факторов:

• совместимости средств защиты со штатным программным обеспечением ИСПДн;
• степени снижения производительности функционирования ИСПДн по основному назначению;
• наличия подробной документации по эксплуатации средств защиты;
• возможность осуществления периодического тестирования или самотестирования средств защиты ПДн;
• возможность наращивания состава средств защиты новыми дополнительными средствами без осуществления ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты;
• гармонизации средств защиты информации с уже существующими в информационной системе;
• масштабирование (распространение) применяемых решений по защите ПДн на остальные информационные системы.

Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации

Оценка соответствия ИСПДн требованиям безопасности персональных данных

Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:

• для ИСПДн 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации;
• для ИСПДн 3 класса - декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);
• для ИСПДн 4 класса оценка соответствия проводится по решению оператора.

Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.

Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом - «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.

Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:

1. Разработка пакета аттестационных документов. Формируется пакет организационно-распорядительной и технической документации на аттестуемую ИСПДн, содержащий:
   • программу и методику аттестационных испытаний;
   • проект документа «Перечень персональных данных, обрабатываемых в ИСПДн»;
   • проект документа «Перечень лиц, допущенных к обработке ПДн»;
   • проект документа «Перечень лиц, допущенных в помещения, в которых располагаются технические средства ИСПДн»;
   • проект документа «Акт классификации ИСПДн»;
   • проект документа «Акт внедрения СЗИ»;
   • технический паспорт на ИСПДн;
   • проекты приказов о назначении ответственных за обеспечение режима безопасности персональных данных;
   • инструкция по обеспечению безопасности персональных данных;
   • описание технологии обработки информации в ИСПДн.
2. Проведение аттестационных испытаний. Уровень безопасности информации, оцениваемый в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации в соответствии нормативно-методическими документами ФСТЭК России). При этом выполнятся следующие работы:
   • проведение аттестационных испытаний ИСПДн;
   • разработка отчетных документов.

Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.

Аттестационные испытания ИСПДн предполагают проведение следующих проверок:

• проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПДн;
• проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации;
• испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа.

Результатом работ на данном подэтапе является:

• Протокол аттестационных испытаний;
• Заключение по результатам аттестационных испытаний;
• Аттестат соответствия на ИСПДн (выдается в случае положительного Заключения);
• Акт о переводе СЗПДн в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПДн).

Лицензирование деятельности по защите персональных данных

В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных системах 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий в целях ее уничтожения, искажения или блокирования доступа к ней.
Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю. Срок действия лицензии составляет 5 лет и по его окончании может быть продлен по заявлению лицензиата.
Условия получения лицензии

Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:

• наличие в штате специалистов, имеющих квалификацию по вопросам технической защиты информации (прошедших специализированные курсы ФСТЭК);
• наличие помещений для осуществления обработки ПДн, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации;
• наличие испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
• использование ИСПДн, а также средств защиты ПДн, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
• использование предназначенных для обработки ПДн программ для электронно-вычислительных машин и баз данных;
• наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным ФСТЭК.

Порядок получения лицензии

Для получения лицензии на деятельность по технической защите ПДн необходимо выполнить следующие работы:

1. Подготовить комплект документов для предоставления в ФСТЭК РФ. К ним относятся:
   • Заявление;
   • Копии учредительных документов (заверенные нотариусом);
   • Копии свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица (нотариально заверенные);
   • Копия свидетельства о поставке соискателя лицензии на учет в налоговом органе (нотариально заверенная);
   • Пояснительная записка;
   • Копии документов, подтверждающих право собственности, право хозяйственного ведения на помещения;
   • Копия аттестата соответствия на защищаемое помещение;
   • Копии документов на ИСПДн (Технический паспорт, Акт классификации ИСПДн, план размещения ОТСС и ВТСС, аттестат соответствия на ИСПДн, перечень защищаемых ресурсов ИСПДн), описание технологического процесса обработки информации в ИСПДн;
   • Копии документов, подтверждающих право на используемые программы для ЭВМ и базы данных (лицензии);
   • Сведения о наличии производственного и контрольно-измерительного оборудования, средствах защиты информации, средствах контроля защищенности с приложением копий документов о проверке контрольно-измерительного оборудования;
   • Сведения об имеющихся нормативно-правовых актах, нормативно-методических документах по вопросам технической защиты информации.
2. Подготовить не менее двух специалистов, которые будут осуществлять деятельность по защите ПДн (оказывать услуги по защите ПДн) на специализированных курсах ФСТЭК.
3. Подготовить и провести аттестацию испытаний защищаемого помещения, которая включает: обследование, разработку пакета организационно-распорядительных документов, подготовку и проведение аттестационных мероприятий.
4. Получить нормативно-методические документы: «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» и «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам».
5. Предоставить документы во ФСТЭК РФ.

Защита ПДн при неавтоматизированной обработке

Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных, как сотрудники организации-оператора, так и уполномоченного лица (осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки.

При разработке и использовании типовых форм документов, в которые предполагается включение ПДн, должны соблюдаться определенные условия по их содержанию. Например, они должны содержать сведения о цели обработки, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения ПДн, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн, поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку персональных данных и т.п.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться условия:

• наличие акта о необходимости ведения такого журнала, содержащего цели, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к ним и ответственных за их ведение и сохранность, сроки обработки персональных данных, а также сведения о порядке пропуска субъекта ПДн на территорию, на которой находится оператор;
• недопустимость копирования содержащейся в таких журналах (реестрах, книгах) информации;
• персональные данные каждого субъекта могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта на территорию.

Должна обеспечиваться раздельная фиксация на материальный носитель ПДн, имеющих различную цель обработки. Если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению их раздельной обработки.

В отношении каждой категории ПДн должны быть определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Защита биометрических ПДн

С точки зрения формирования требований к защите персональных данных существует два типа биометрических данных. Первый тип - биометрические данные, которые обрабатываются в ИСПДн. Требования к их защите определены в постановлении Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и ничем не отличаются от требований к защите обычных ПДн, которые обрабатываются в информационных системах.

Второй тип - это биометрические данные, обрабатываемые вне информационных систем персональных данных. Требования по защите таких ПДн сформулированы в Постановлении от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

При этом под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека, и на основе которых можно установить его личность.

Материальный носитель таких ПДн должен обеспечивать:

• защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;
• возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими ПДн;
• возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических ПДн, а также оператора, осуществившего такую запись;
• невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

Оператор биометрических данных, используемых вне ИСПДн, обязан:

• осуществлять учет количества экземпляров материальных носителей;
• осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

Технологии хранения биометрических персональных данных вне ИСПДн должны обеспечивать доступ к информации, содержащейся на материальном носителе, применение средств электронной цифровой подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических ПДн, записанных на материальный носитель, а также проверку наличия письменного согласия субъекта ПДн на обработку его биометрических персональных данных.

При хранении биометрических персональных данных вне ИСПДн должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

Защита ПДн при трансграничной передаче

В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации. Такая передача называется трансграничной.

До начала осуществления трансграничной передачи персональных данных оператор ПДн обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн. Министерство связи и массовых коммуникаций РФ (Минкомсвязи) в своем письме № ДС-П11-2502 от 13.05.2009 определило «адекватную защиту» как защиту, при которой «обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации».

Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г., ETS № 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.

Специфика защиты ПДн для различных вертикальных рынков

Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. К сожалению, многие поставщики решений по защите персональных данных применяют типовой подход как с точки зрения этапности и состава работ, так и подбора средств защиты. Наши специалисты стараются избежать такой «уравниловки». К примеру, при разработке решений по защите персональных данных в телекоммуникационных организациях специалисты компании «Инфосистемы Джет» учитывают специфику работы с абонентскими базами и биллинговыми системами операторов связи. В случае с кредитно-финансовыми организациями многие компании большое внимание уделяют стандарту СТО БР, поэтому важно при проведении работ по защите персональных данных подбирать такие решения, которые могли бы одновременно закрывать требования и законодательства, и стандарта.

В каких случаях не надо обеспечивать «адекватную защиту» ПДн при трансграничной передаче?..

Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

• наличия согласия в письменной форме субъекта персональных данных. То есть субъект ПДн как минимум должен письменно заверить оператора, что «он разрешает организации, которая обрабатывает его персональные данные, не защищать их при передаче за границу». Автор данной статьи скептически относится к такой возможности;
• предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
• предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
• исполнения договора, стороной которого является субъект персональных данных;
• защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

В своей деятельности компания «Инфосистемы Джет» также ориентируется на российское законодательство. В представлены нормативные акты, которые устанавливают требования в данной области для организации различных отраслей.

Компания «Инфосистемы Джет» имеет большой опыт проведения проектов в кредитно-финансовых организациях. В частности, в следующем разделе статьи приводится пример одного из решений, которое было реализовано в одном из крупных российских банков.

Таб. 2. Нормативно-правовые акты, устанавливающие требования по защите ПДн для различных вертикальных рынков

Обеспечение безопасности ПДн в кредитно-финансовых организациях

К персональным данным для сегмента автоматизированной банковской системы, связанного с ведением кредитной истории клиента, перечень обрабатываемых ПДн можно определить на основании Федерального закона от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях». В соответствии с данным Законом необходимо иметь следующие сведения о заемщике:

• фамилия, имя, отчество;
• дата и место рождения;
• данные паспорта или иного документа, удостоверяющего личность (номер, дата и место выдачи, наименование выдавшего его органа);
• страховой номер индивидуального лицевого счета;
• место регистрации и фактическое место жительства;
• сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя.

Если учесть, что количество клиентов, кредитование которых осуществляет среднестатистический Банк, составляет не менее 80 000 человек, то такая совокупность параметров позволяет сделать вывод о том, что АБС относится к ИСПДн 2-го класса. А так как эти данные требуют обеспечения не только конфиденциальности, но и доступности и целостности, то мы относим АБС к специальной ИСПДн 2-го класса. По режиму обработки персональных данных рассматриваемая ИСПДн относится к многопользовательской, а по разграничению прав доступа - к системе с разными правами доступа к ПДн. Это требует проведения определенных мероприятий по обеспечению безопасности.

В подсистеме управления доступом должны осуществляться следующие мероприятия:

• идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов;
• межсетевое экранирование - не ниже третьего уровня защищенности (при наличии подключения к сетям общего пользования в распределенной ИСПДн МЭ должен выполнять функции, как и с ИСПДн 1 класса с многопользовательским режимом и равными правами доступа пользователей);
• идентификация терминалов, компьютеров, узлов сети ИСПДн, каналов связи, внешних устройств компьютеров по логическим именам;
• идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
• контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

В подсистеме регистрации и учета должны осуществляться следующие мероприятия:

• регистрация входа (выхода) субъектов доступа в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее корректного выключения;
• учет защищаемых носителей в журнале (картотеке) с регистрацией их выдачи (приема);
• регистрация выдачи печатных (графических) документов на «твердую» копию;
• регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
• регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
• регистрация попыток доступа программных средств к следующим объектам доступа: терминалам, компьютерам, узлам сети ИСПДн, линиям (каналам) связи, внешним устройствам компьютеров, программам, томам, каталогам, файлам, записям, полям записей;
• учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);
• очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютеров и внешних накопителей.

В подсистеме обеспечения целостности должны проводиться следующие мероприятия:

• резервное копирование ПДн на отчуждаемые носители информации;
• обеспечение целостности средств защиты от программно-математических воздействий.

В подсистеме антивирусной защиты должны проводиться следующие мероприятия:

• на всех технических средствах ИСПДн должен проводиться непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена в ИСПДн с целью выявления проявлений программно-математических воздействий.

В подсистеме защиты от утечки данных в ИСПДн по техническим каналам для ИСПДн 2-го класса использовались СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

Контроль и надзор за выполнением требований законодательства

В соответствии со статьей 23 Федерального Закона «О персональных данных» для обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона назначается Уполномоченный орган по защите прав субъектов персональных данных (далее, регулятор). Такие функции возложены на три организации:

• на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в части, касающейся соблюдения норм и требований по обработке персональных данных;
• на Федеральную службу безопасности РФ в части, касающейся соблюдения требований по организации и обеспечению функционирования шифровальных (криптографических) средств в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн;
• на Федеральную службу по техническому и экспортному контролю в части, касающейся контроля и выполнения требований по организации и техническому обеспечению безопасности ПДн (не криптографическими методами) при их обработке в ИСПДн.

В рамках своих полномочий регуляторы имеют право проводить плановые и внеплановые проверки.

Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных в уведомлении уполномоченного органа по защите ПДн, а также внеплановые - на основании заявления физических лиц с целью проверки информации, указанной в данном заявлении.
ФСБ России имеет право проводить плановые проверки:

• представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы, в составе которых эксплуатируются системы криптографической защиты информации (СКЗИ);

ФСТЭК РФ уполномочен осуществлять плановые проверки:

• представление по запросу отчета по лицензируемым видам деятельности;
• представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы;
• представление копий аттестатов соответствия на защищаемые помещения по требованиям безопасности;
• явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности.

В рамках межведомственного сотрудничества между Роскомнадзором, ФСТЭК России и ФСБ РФ достигнута договоренность о проведении совместных мероприятий по контролю и надзору в области персональных данных.

Роскомнадзор

Роскомнадзор рассматривает обращения субъекта ПДн о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Он имеет право:

• запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
• осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
• требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
• принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
• обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
• направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
• направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
• вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
• привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

Итоги Роскомнадзора за 2008 год

В рамках выполнения функций по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий.

По результатам проверок выписано 19 предписаний об устранении выявленных нарушений Федерального закона «О персональных данных», 5 материалов направлено в органы прокуратуры, 11 - в судебные органы.

Выявленные нарушения классифицированы по следующим статьям Кодекса Российской Федерации об административных правонарушениях:

• ст. 13.11. - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
• ст. 19.7. - непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде.

С начала возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных поступило 146 обращений: из них даны ответы заявителям - 60, направлены в правоохранительные органы - 5, органы прокуратуры - 24, в судебные органы - 22, на момент выхода данной статьи находилось на рассмотрении - 35.

В результате взаимодействия с правоохранительными органами приостановлена деятельность интернет-ресурсов www.nomer.org.ru и www.vslomaj.com, предоставляющих услуги доступа к персональным данным граждан Российской Федерации.

В 2008 году прошли первые судебные процессы по искам в области защиты прав субъектов персональных данных. Судебными инстанциями из 22 административных дел семь рассмотрены в пользу субъектов персональных данных, в шести случаях вынесены решения об отказе в исковых требованиях, девять административных дел на конец года находились в судебном производстве.

Чаще всего субъекты персональных данных обращаются по фактам нарушений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:

• главы 2 статьи 5 «Принципы обработки персональных данных»;
• статьи 6 «Условия обработки персональных данных»;
• статьи 9 «Согласие субъекта персональных данных на обработку своих персональных данных».

Изложенные в обращениях факты нарушения федерального законодательства в ходе рассмотрения подтвердились в большинстве случаев.

Анализ категорий операторов, осуществляющих обработку персональных данных, на действия которых чаще всего поступают обращения от субъектов персональных данных, позволяет утверждать, что «лидерами» являются:

• кредитные учреждения - 34;
• жилищнокоммунальные организации - 21;
• операторы связи - 10;
• страховые компании - 9.

Для решения поставленных задач Уполномоченным органом по защите прав субъектов персональных данных 28 декабря 2007 года был создан координационный центр на федеральном уровне - Управление по защите прав субъектов персональных данных и территориальные органы в субъектах Российской Федерации - соответствующие структурные подразделения в 78 территориальных органах.

Выводы

Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах.

Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах.

Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, компании-интеграторы способны реализовать требования законодательства в конкретных решениях.

Защита персональных данных является сегодня приоритетным направлением деятельности Центра информационной безопасности компании «Инфосистемы Джет». Специалисты нашей компании рассматривают эту задачу не только как выполнение требований российского и международного законодательства, но и как возможность создать полноценную систему обеспечения безопасности.

Накопив значительный опыт в проведении проектов по обеспечению информационной безопасности, специалисты компании «Инфосистемы Джет» разработали свой подход к реализации задачи защиты персональных данных. Он базируется на государственных стандартах (ГОСТ 34.201-89, ГОСТ 34.601-90), нормативных актах и документах регулирующих органов, а также на экспертном опыте наших специалистов.

При этом главными принципами при проведении проектов по реализации требований российского законодательства в области защиты персональных данных наша компания считает:

• Минимизацию затрат на создание СЗПДн. Компания «Инфосистемы Джет» одной из основных задач в проектах по приведению ИСПДн в соответствие с нормативной базой видит минимизацию расходов заказчиков. Это становится возможным, в первую очередь, за счет оптимизации процессов обработки и хранения персональных данных, из которых исключаются избыточные звенья и ненужные процедуры, сокращения неоправданно большого объема ПДн, рассмотрения возможности их обезличивания, замены персональных данных на условные обозначения или коды, исключения избыточных ИСПДн и сужения круга лиц, вовлеченных в процесс обработки ПДн, а также внедрения альтернативных механизмов защиты.
• Защиту персональных данных как важнейшего элемента общей системы информационной безопасности организации. Компания «Инфосистемы Джет» делает акцент не только на удовлетворении нормативных требований, но и на повышении фактической защищенности персональных данных, защите не только средств обработки ПДн, но и самих персональных данных. Здесь речь идет об информации, которая выходит за рамки ИСПДн и попадает в руки сотрудников, имеющих легальный доступ к персональным данным. По статистике более 80% утечек происходит по вине этих сотрудников (как умышленно, так и по неосторожности). Специалисты компании «Инфосистемы Джет» видят решение этой задачи в построении правильного процесса обработки персональных данных всеми вовлеченными в него сотрудниками, использовании дополнительных механизмов защиты, что в свою очередь повышает общий уровень информационной безопасности компании.

Необходимость учета отраслевой специфики при проведении проектов. Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. При этом наши специалисты стараются избежать типового подхода как к этапности проведения работ, так и к подбору средств защиты. Это позволяет находить такие решения, которые могли бы одновременно закрывать требования и Закона, и отраслевых стандартов, учитывать при разработке решений по защите персональных данных специфику деятельности организации и ведения ее бизнес-процессов.