Законодательство в сфере защиты персональных данных

9 сентября 2008 IT-manager
IT-manager
Сентябрь, 2008 г.
Алексей Липатов, технический руководитель направления отдела информационной безопасности компании Открытые Технологии.

Сегодня в России трудно найти компанию, где работа с персональными данными осуществлялась бы по старинке, то есть без использования информационных технологий. Данные о сотрудниках компании, клиентах, партнерах обрабатываются в различных информационных системах: бухгалтерского и кадрового учета, документооборота, ERP и CRM...

В соответствии с отечественным и международным законодательством, вошедшим в правовую систему России, персональные данные подлежат обязательной защите.

Эта статья посвящена обзору актуальных требований в сфере защиты подобных данных, а также возможных подходов к обеспечению их безопасности.



Актуальность решения задачи защиты персональных данных

Ведение любого бизнеса сопряжено с различными рисками: операционными, финансовыми, кредитными. В отдельную категорию принято выделять риски, связанные с регулирующими органами. Сюда относится и риск несоблюдения установленных правил защиты персональных данных. Какую же стратегию снижения такого риска стоит выбрать? Можно считать, что для крупного и среднего бизнеса оптимальным является снижение риска путем построения (начала работ по построению) системы обеспечения безопасности персональных данных либо совершенствование корпоративной системы информационной безопасности для сегмента информационной системы (ИС), в которой осуществляется обработка персональных данных с учетом законодательных требований. Такая стратегия может оказаться предпочтительной, если исходить из следующих фактов. Во-первых, негативные последствия для бизнеса в случае допущения грубых нарушений в вопросе защиты персональных данных могут быть крайне тяжелыми — одним из наихудших, но вполне реальных сценариев возможного развития событий является административное приостановление деятельности организации от нескольких дней до 90 суток. А во-вторых, следует отметить, что в планах регулирующих органов на 2009 год вопросам проведения государственного контроля за соблюдением требований в области защиты персональных данных уделено достаточно большое внимание.


Законодательство РФ в сфере защиты персональных данных

Сегодня день иерархию документов, регламентирующих вопросы защиты персональных данных при их автоматизированной обработке в информационных системах, можно представить следующим образом.

  1. Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных".

  2. Федеральный закон от 19 декабря 2005 года № 160-ФЗ "О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных".

  3. Указ Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера".

  4. Постановление Правительства РФ от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

  5. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".

  6. Нормативно-методический документ (НМД) ФСТЭК России "Основные мероприятия по организации..." от 15 февраля 2008 года.

  7. НМД ФСТЭК России "Рекомендации по обеспечению безопасности..." от 15 февраля 2008 года.

  8. НМД ФСТЭК России "Базовая модель угроз безопасности..." от 15 февраля 2008 года.

  9. НМД ФСТЭК России "Методика определения актуальных угроз безопасности..." от 15 февраля 2008 года.

Стоит отметить, что четыре документа, изданных ФСТЭК России в феврале этого года, имеют пометку "Для служебного пользования" и не подлежат опубликованию в открытых источниках. Для их получения оператор персональных данных должен обратиться в Управление ФСТЭК России по своему федеральному округу.


Как защищать персональные данные?

Ответ на этот вопрос является классическим — защиту персональных данных, обрабатываемых в информационных системах, требуется осуществлять на основе системы защиты персональных данных (СЗПДн).

СЗПДн должна представлять собой совокупность организационных мер, а также технических и программных средств защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, несанкционированного распространения. Методологическая основа построения системы защиты персональных данных излагается в нормативно-методических документах ФСТЭК России и ФСБ России. Говоря о конкретном перечне защитных мер, подлежащих реализации в рамках системы защиты персональных данных, надо сказать, что он является дифференцированным, зависящим от установленного класса защищенности информационной системы, обрабатывающей персональные данные. Класс информационной системы выбирается в соответствии с данной таблицей.

Самыми распространенными классами ИС, обрабатывающих персональные данные, оказываются К2 и К3.

В качестве примера рассмотрим требования, предъявляемые к основным мероприятиям по технической защите персональных данных, которые должны быть реализованы в рамках системы защиты персональных данных в многопользовательских информационных систем 3-го класса (К3) с разными правами доступа пользователей к защищаемым информационным активам. Итак, согласно действующим требованиям в информационной системе данного класса, должны быть реализованы:

  • идентификация и аутентификация пользователей по паролю длиной не менее 6 символов;

  • управление доступом к защищаемой информации;

  • регистрация в журналах аудита входа (выхода) в систему/из системы;

  • учет носителей, содержащих конфиденциальную информацию (персональные данные) с регистрацией их выдачи/приема;

  • целостность программных средств защиты информации от несанкционированного доступа;

  • неизменность программной среды информационной системы;

  • физическая охрана физических активов информационной системы, включая носители конфиденциальной информации;

  • периодическое тестирование системы защиты персональных данных;

  • механизмы восстановления системы защиты персональных данных;

  • межсетевое экранирование — вне зависимости от наличия подключения к Интернету;

  • антивирусная защита информационной системы.


О сертификации, аттестации, лицензировании

Рассматривая вопрос организации защиты персональных данных, нельзя не упомянуть о таких видах государственного регулирования, как сертификация, аттестация и лицензирование.

Требования по аттестации информационной системы актуальны для тех компаний, в которых автоматизированная обработка персональных данных осуществляется в информационных системах 1-го и 2-го классов защищенности. Аттестация проводится с привлечением внешнего аудитора — организации, имеющей соответствующий аттестат аккредитации, выдаваемый ФСТЭК России. По результатам проверки в случае соответствия системы защиты персональных данных установленным требованиям по безопасности персональных данных компании выдается Аттестат соответствия на информационную систему. Срок его действия — 3 года.

Лицензия ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации должна быть получена компаниями, имеющими ИС 1 -го или 2-го класса либо использующими распределенную информационную систему 3-го класса, в тех случаях, когда мероприятия по защите персональных данных реализуются непосредственно компанией без привлечения подрядных организаций, обладающих данной лицензией. Кроме того, при использовании шифровальных средств компании может потребоваться получение лицензии и от ФСБ.


Заключение

Вопрос организации защиты персональных данных при их автоматизированной обработке в информационной системе является достаточно актуальным и злободневным. Способом снижения рисков, связанных с регуляторами, может стать создание системы защиты персональных данных. Причем реализовать ее необходимо с учетом действующих требований ФСТЭК России и ФСБ России.

Категория ПДн обрабатываемых в ИС Объем ПДн, обрабатываемых в ИС
В ИС одновременно обрабатываются ПДн менее чем 1000 субъектов ПДн. Либо одновременно обрабатываются ПДн субъектов ПДн в пределах конкретной организации. В ИС одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн. Либо одновременно обрабатываются ПДн субъектов ПДн, работающих в отрасли экономики РФ, в органе госвласти, проживающих в пределах муниципального образования. В ИС одновременно обрабатываются ПДн более чем 100 000 субъектов ПДн. Либо одновременно обрабатываются ПДн субъектов ПДн в пределах субъекта РФ или РФ в целом.
Обезличенные и (или) общедоступные ПДн К4 К4 К4
ПДн, позволяющие идентифицировать субъекта ПДн К3 К3 К2
ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию К3 К2 К1
ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни К1 К1 К1




Предыдущая новость:
Бизнес-приложения как объект защиты системой ИБ
Следующая новость:
IronportS-series: защита веб-трафика