Защита персональных данных
3 сентября 2009 Финансовая газетаФинансовая газета
#36, сентябрь 2009 г.
Алексей Липатов, Технический руководитель направления отдела информационной безопасности, Открытые Технологии.
Ведение любого бизнеса сопряжено с различными рисками: операционными, финансовыми, кредитными. Риски, связанные с регулирующими органами, принято выделять в отдельный класс. К ним относится и риск несоблюдения установленных правил защиты персональных данных. Какую же стратегию его обработки следует выбрать? Для крупного и среднего бизнеса оптимальным является снижение данного риска путем построения (начала работ по построению) системы обеспечения безопасности персональных данных либо доработки корпоративной системы информационной безопасности для сегмента информационной системы, в котором осуществляется обработка персональных данных с учетом законодательных требований. Такая стратегия может быть предпочтительной исходя из следующих фактов. Во-первых, негативные последствия для бизнеса в случае допущения грубых нарушений в этом вопросе могут быть крайне тяжелыми. Одним из наихудших, но вполне реальных сценариев возможного развития событий является административное приостановление деятельности компании от нескольких дней до 90 суток. Во-вторых, следует отметить, что в планах регулирующих органов на 2009 г. вопросам проведения государственного контроля за соблюдением требований в области защиты персональных данных будет уделено достаточно большое внимание.
Какие данные относятся к персональным
Прежде чем начинать разговор о том, каким же образом необходимо обеспечивать защиту персональных данных, нужно определиться с тем, какой смысл следует вкладывать в данное понятие. Под термином «персональные данные» понимаются сведения о фактах, событиях и обстоятельствах частной жизни физического лица, позволяющие его идентифицировать, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, а также другая аналогичная информация.
Ответ на вопрос: как защитить персональные данные компании — является "классическим": защиту персональных данных, обрабатываемых в информационных системах, требуется осуществлять на основе системы защиты персональных данных (СЗПДн).
СЗПДн должна представлять собой совокупность организационных мер, а также технических и программных средств защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, несанкционированного распространения. Методологическая основа построения системы защиты персональных данных излагается в нормативно-методических документах ФСТЭК России и ФСБ России.
Создание систем защиты персональных данных осуществляется в несколько этапов. На первом этапе выполняется проектирование создаваемой системы: разрабатываются необходимые проектные, эксплуатационные и организационно-распорядительные документы по обеспечению информационной безопасности.
На втором этапе осуществляется внедрение системы защиты персональных данных. Проводятся поставка необходимых средств обеспечения информационной безопасности и их пусконаладка, обучение персонала компании по вопросам защиты информации, внедрение разработанных процессов информационной безопасности (организационных мер). Помимо реализации данных мероприятий на этом этапе следует также решить вопрос об интеграции системы защиты персональных данных с системами обеспечения информационной безопасности корпоративной информационной системы, а также в максимально возможной степени учесть положения единой политики компании в сфере защиты информации.
Что касается конкретного перечня защитных мер, подлежащих выполнению в рамках системы защиты персональных данных, то важно сказать, что он является дифференцированным, зависящим от установленного класса защищенности информационной системы, обрабатывающей персональные данные. Класс информационной системы выбирается в соответствии с таблицей.
Категория персональных данных (ПДн), обрабатываемых в информационной системе (ИС) | Объем персональных данных (ПДн), обрабатываемых в информационной системе (ИС) | ||
В ИС одновременно обрабатываются ПДн менее чем 1000 субъектов либо одновременно обрабатываются ПДн субъектов в пределах конкретной компании. | В ИС одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн. Либо одновременно обрабатываются ПДн субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе гос. власти, проживающих в пределах муниципального образования. | В ИС одновременно обрабатываются ПДн более чем 100 000 субъектов либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом. | |
Обезличенные и (или) общедоступные ПДн. | K4 | K4 | K4 |
ПДн, позволяющие идентифицировать субъекта. | K3 | K3 | K2 |
ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию. | K3 | K2 | K1 |
ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. | K1 | K1 | K1 |
Самыми распространенными классами ИС, обрабатывающих персональные данные, являются классы К2 и КЗ.
Рассмотрим в качестве примера требования, предъявляемые к основным мероприятиям по технической защите персональных данных, которые должны быть реализованы в рамках системы защиты персональных данных в многопользовательских информационных систем 3-го класса (КЗ) с разными правами доступа пользователей к защищаемым информационным активам. Итак, согласно действующим требованиям в информационной системе данного класса должны быть реализованы:
- идентификация и аутентификация пользователей по паролю длиной не менее 6 символов;
- управление доступом к защищаемой информации;
- регистрация в журналах аудита «входа» («выхода») в систему/из системы;
- учет носителей, содержащих конфиденциальную информацию (персональные данные) с регистрацией их выдачи/ приема;
- целостность программных средств защиты информации от несанкционированного доступа;
- неизменность программной среды информационной системы;
- физическая охрана физических активов информационной системы, включая носителей конфиденциальной информации;
- периодическое тестирование системы защиты персональных данных;
- механизмы восстановления системы защиты персональных данных;
- межсетевое экранирование — вне зависимости от наличия подключения к сети Интернет;
- антивирусная защита информационной системы.
Сертификация, аттестация и лицензирование
Рассматривая вопрос об организации защиты персональных данных, невозможно не упомянуть о таких видах государственного регулирования, как сертификация, аттестация и лицензирование.
В зависимости от установленного класса защищенности информационной системы, обрабатывающей персональные данные, при создании системы защиты персональных данных от оператора требуется использование средств защиты информации, которые сертифицированы в системах сертификации ФСТЭК России/ФСБ России: межсетевых экранов, систем обнаружения и предотвращения вторжений, шифровальных средств, средств защиты от несанкционированного доступа. Для информационных систем 1-го и 2-го классов защищенности использование сертифицированных средств защиты от утечки информации по каналам побочных электромагнитных излучений и наводок является обязательным.
Требования по аттестации информационной системы актуальны для тех компаний, в которых автоматизированная обработка персональных данных осуществляется в информационных системах 1-го и 2-го классов защищенности. Аттестация проводится с привлечением внешнего аудитора — компании, имеющей аттестат аккредитации органа по аттестации, выдаваемый ФСТЭК России. По результатам аттестации в случае соответствия системы защиты персональных данных установленным требованиям по безопасности персональных данных компании выдается аттестат соответствия на информационную системы. Срок действия аттестата соответствия — 3 года.
Лицензия ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации должна быть получена компаниями, имеющими информационную систему 1-го или 2-го класса либо распределенную информационную систему 3-го класса, в тех случаях, когда мероприятия по защите персональных данных реализуются ими без привлечения подрядных организаций, имеющих данную лицензию. Кроме того, при использовании шифровальных средств компаниям также может потребоваться получение лицензии и от ФСБ России.
Вопрос об организации защиты персональных данных при их автоматизированной обработке в информационной системе является достаточно актуальным и злободневным. Путем снижения рисков, связанных с регуляторами, является создание системы защиты персональных данных, которое должно осуществляться с учетом действующих требований ФСТЭК России и ФСБ России.
Предыдущая новость:
Как сэкономить за счет IТ-аутсорсинга?
Следующая новость:
Практика внедрения систем защиты персональных данных