Защита персональных данных в Российской Федерации: Проблемы и перспективы. Защита персональных данных в россии Техническая защита персональных данных в организации

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке , установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Предъявляет особые требования к информсистемам, содержащим персональные данные, и предполагает создание особых средств и систем защиты информации.

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера , направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие существуют уровни защищенности?

Важно! Контролировать выполнение требований по защищенности информации, оператор может самостоятельно либо привлечь лицензированную организацию, которая специализируется на создании и реализации СЗПД.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информаци и, которую субъект предоставляет оператору организации.

Организационные меры включают:

1. Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

Разработка пакета документации для внутреннего пользования , которой регламентируются операции с ПД, их обработка и хранение, в частности это , Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете , а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем .

Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.

Подписание соглашений с третьими лицами , которые участвуют в обработке информации.

Составление перечня ограниченного круга лиц , которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

Рациональное расположение рабочих мест в организации , исключающее несанкционированный доступ к личным сведениям.

2. Внутренний контроль за соблюдением требований к в соответствии с законодательством.

Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

• предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
• предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

Пошаговая инструкция по разработке СЗПД

Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных» . Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

1. Издание внутреннего приказа , в соответствии с которым начинаются процессы подготовки и реализации мер по защите ПД и построение защитной системы. В приказе обязательно должен быть указан сотрудник, который несет ответственность за выполнением соответствующих мероприятий, перечисляются локальные документы, в том числе Положение по защите и обработке данных и состав специальной комиссии.
2. Обследование внутренних систем , содержащих конфиденциальную информацию. На этом этапе нужно определить, является ли организация оператором ПД. Если да, то к какой категории относятся обрабатываемые данные. Составляется отчет о диагностических мероприятиях, создается акт о классификации системы информации, уровне ее защищенности и модели угроз, которым могут подвергаться личные сведения на объекте.
3. Если в ходе обследования выяснилось, что организация является оператором ПД, направляется Уведомление в Роскомнадзор о намерении производить обработку ПД (ст. 22 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
4. Разработка и утверждение документов согласия субъекта на обработку ПД и отзыва согласия (ст. 9 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
5. Внедрение защитной системы. На этом этапе создается ряд документов, которые регламентируют внутренний порядок работы, хранения, передачи и уничтожения ПД. Составляется перечень лиц, которые допущены к обработке данных и перечень сведений, с которыми осуществляются операции.

   Необходимо разработать специальное Положение об обработке и защите ПД в организации, разработать инструкции пользователям и администраторам для работы с информацией, для резервного копирования и восстановления.

6. Определение содержания технических защитных мер. В частности, они должны оберегать информацию от несанкционированного доступа, включать антивирусные и криптографические средства и пр. (Приказ ФСТЭК России от 18.02.2013 № 21).
7. Подписание «Заключения о соответствии системы защиты данным , обрабатываемым в информационных системах организации».

Подробную инструкцию по реализации защиты ПД в различных организациях найдете .

Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России .

Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

Персональные данные работника - тема сейчас особо актуальная. Чтобы не оштрафовали ГИТ и Роскомнадзор, читайте о том, как правильно обрабатывать персданные, как их хранить и как защитить. Скачайте готовые образцы всех необходимых документов

Из этой статьи вы узнаете:

Персональные данные работника: что к ним относится

Для начала нужно четко определить, что относится к персональным данным (ПДн). Они имеются в ведении каждой компании, и их можно условно разделить на два вида:

1. Документы, которые служащий предоставил сам при трудоустройстве (ст.65 ТК РФ).
2. Документы, образовавшиеся в процессе работы (приказы, личная карточка, бухгалтерские бумаги по оплате труда).

Все эти данные конфиденциальны и нуждаются в защите.

Законодательно установлены такие категории персональных данных:

Письмо Роскомнадзора от 14.12.2012 г. определяет еще ряд случаев, например, при обработке:

• ПДн родных служащего, зафиксированных в его досье (при праве на алименты, на соцвыплаты и допуске к государственной тайне);
• медицинской информации, связанной с возможностью выполнения трудовой функции;
• ПДн, требующихся для пропуска;
• размещении ПДн персонала в интернете.

Защита персональных данных в организации: пошаговая инструкция

Шаг 1. Разработать и утвердить Положение о защите персональных данных.

Шаг 2. Оформить лист ознакомления с Положением, в котором каждый служащий расписывается после знакомства с документом с проставлением даты.

Шаг 3. Разработать и утвердить Инструкцию для ответственного (можно оформить приложением к Положению).

Уведомлять Роскомнадзор о начале сбора ПДн сотрудников не нужно, поскольку он ведется в рамках трудовых отношений.

Шаг 4. Издать приказ об организации обработки ПДн на предприятии.

Шаг 5. Составить и утвердить Перечень персональных данных, обрабатываемых в организации.

Шаг 6. Приказом назначить ответственного за обработку ПДн .

Шаг 7. Издать приказ об установлении списка лиц, обладающих доступом к личным сведениям о персонале.

Шаг 8. Взять от каждого сотрудника его письменное согласие на обработку личной информации.

Шаг 9. Обеспечить надежное хранение бумажных документов в спецшкафах либо сейфах.

Шаг 10. При хранении сведений в базе данных предварительно следует составить акт ее классификации и определения уровня ее защищенности.

Комплект документов по защите персональных данных

Разработка пакета документов по защите персональных данных в 2018 потребуется для любого их оператора. Причем ФЗ №152 не оговаривает перечень документов и не предлагает их форм, а посему каждая компания вправе самостоятельно определить состав пакета. Все материалы по защите ПДн на предприятии можно разбить на три подвида:

1. Организационные:

• положение о защите ПДн;
• должностные инструкции;
• приказы (о назначении ответственных и имеющих доступ и т.д.)

2. Технологические (инструкции).

3. Методические (правила работы с ПДн).

Срок хранения персональных данных

ПДн собраны в досье служащего, а срок его хранения определен в 75 лет. Исключение составляют данные руководителей, работников, имеющих звания (премии, награды, ученые степени) – их следует хранить постоянно.

Требования к защите персональных данных регулируются законами:

• 149 ("Об информации "),
• 249 ("О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля ").
• Ст. 26 закона «О банках и банковской деятельности » - Согласно ст. 26 закона «О банках и банковской деятельности» к банковской тайне относится информация об операциях, счетах и вкладах клиентов и корреспондентов. По российскому законодательству кредитная организация гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242 , которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему. Перечень разъяснений доступен по ссылке .

Исследования

2018: 24% утечек конфиденциальной информации из государственных и коммерческих компаний сопряжены с мошенническими действиями

2017: Клиентские базы страховых компаний доступны на теневом рынке

Согласно результатам исследования аналитического центра «МФИ Софт » за сентябрь 2017 года, уже 5,6 млн записей данных клиентов страховых компаний обнаружены на черном рынке, их можно приобрести на открытых пиратских форумах. Актуальность данных самая свежая - 2016-2017 годы. При этом две трети всех предложений касаются автострахования - вероятно, клиенты КАСКО/ОСАГО ценятся в первую очередь конкурирующими страховыми компаниями. Вместе с этим, предложения баз автостраховок обновляются быстрее всех - некоторые продавцы предлагают обновление на ежемесячной основе.

Стоимость баз данных

Базы страховых компаний - одни из самых дорогих и востребованных на рынке информации. На «черном рынке» представлены базы данных разных объемов - от нескольких сотен клиентов до десятков и сотен тысяч. Стоимость одного контакта в небольшой, но актуальной базе может достигать 10 рублей, в то время как в крупных базах она падает до 0,001 рублей. Купить такую базу может каждый по цене от 250 до 40 тыс. рублей. На стоимость влияют такие параметры как количество контактов, актуальность и полнота данных. Наиболее часто встречающийся ценник - 3500 руб, с размером базы до 60 тыс. записей, указали в «МФИ Софт».

Географический охват

Чуть менее половины предложений о продаже составляют базы страховых компаний Московской области (41% от исследованных предложений). Базы Ленинградской области - на втором месте (21%). Порядка 26% баз охватывают всю Россию . Предложения баз данных, охватывающих только один нестоличный город или регион, встречаются в единичных случаях (12%). В 59% случаев базы содержат полные данные о клиентах, включающие не только персональную информацию, но и данные об автомобиле, историю страховых сделок, копии документов.

Риски для клиентов и компаний

По оценкам «МФИ Софт», риск для пользователя услуг страховой компании в случае утечки варьируется от получения спама до крупного мошенничества с собственностью, так как данные могут представлять интерес для криминальных структур. Для самих страховых компаний кроме прямой потери клиентов крупные утечки чреваты потерей репутации и санкциями со стороны регуляторов по факту нарушения закона 152-ФЗ «О персональных данных». Такие прецеденты в отрасли уже были зафиксированы в 2012 году.

Источники утечек

Как выяснили исследователи, информация о клиентах страховых компаний утекает не на этапе сбора, а из информационных систем. Состав базы данных часто указывает на источник утечки, в некоторых случаях может указывать даже на отдел внутри компании (при понимании, на каком бизнес-процессе запись обогащается теми или иными данным), однако установить владельца самой информационной системы достаточно затруднительно. Так как данные могут поступать как непосредственно от страховых компаний, так и из других информационных систем - ГИБДД , единая база РСА и т.д.

Основным поставщиками данных внутри компаний являются страховые агенты, также встречаются утечки, спровоцированные системными администраторами. Нередко встречается на торговых площадках предложение об аренде удалённого доступа в ИС страховых компаний (например, партнёрские порталы), через которые можно делать выгрузки по клиентам.

Высокий спрос на страховые базы данных на черном рынке формирует все новые и все более актуальные предложения со стороны инсайдеров, которые нередко работают на заказ.

Для сохранности данных и предотвращения утечек аналитики «МФИ Софт» рекомендуют страховым компаниям более тщательно контролировать легитимность доступа к своим базам данных внутри организации, обращать внимание на массовые выгрузки из систем хранения информации и на аномальные действия привилегированных пользователей, а также контролировать уязвимости используемых СУБД .

2016: Персональные данные миллионов россиян уже на "черном" рынке

По результатам исследования «Черный рынок баз данных » аналитического центра «МФИ Софт » за ноябрь 2016 года, объем рынка нелегальных баз данных в России - больше 30 млн рублей, если перевести на количество записей частных лиц – получается больше 1,2 млрд. Всего за несколько часов поиска в интернете можно найти базы данных клиентов крупных банков, страховых компаний и онлайн-казино.

Как оказалось, на пиратских форумах и порталах особенно распространены данные клиентов финансовых организаций – 34%, а также заказчиков крупных интернет-магазинов – 19%, брокеров -18% и операторов связи – 6%.

В рамках исследования были обнаружены базы клиентов 18 крупных российских банков - среди них есть представители ТОП-10 крупнейших российских банков, а также базы популярных микрофинансовых организаций. К таким базам высокий уровень интереса у различного рода мошенников, в том случае, если база обогащена информацией по счетам. Почти каждая десятая запись (8% обнаруженных данных) в украденной базе может с высокой вероятностью повлечь за собой тяжелые негативные последствия - например, использоваться для подделки кредитных договоров, махинаций с недвижимостью, банковским мошенничеством или более тяжелым последствиям. Еще один вариант развития событий - оформление кредитов на паспортные данные пользователей банковских услуг и перепродажа базы коллекторам. В продаваемой базе можно найти полные контактные данные лица, с его паспортными данными, текущим местом проживания, выпиской по банковским счетам и перечислением имущества, информацией о налогах и штрафах.

Сколько стоят персональные данные на черном рынке?

В последние годы стоимость персональных данных сильно обесценилась. Как показало исследование 134 баз данных, находящихся в свободной продаже на черном рынке, средняя стоимость одного контакта для баз рассылок составляет 2 копейки. Наибольшей ценностью обладают базы страховых компаний – цена записи достигает 10 рублей при средней цене в 2,73 рубля, данные клиентов банков оцениваются в среднем по 0,28 рубля за запись. По сути, каждый пользователь интернета может купить такую базу, одни из праздного любопытства, другие - для наживы.

Что содержится в серых базах данных и чем это грозит?

Базы данных могут содержать не только имена и контакты пользователей услуг, но и все документы, от паспортных данных и водительского удостоверения до номеров банковских карт и счетов с указанием сумм депозитов. Есть даже базы по направлениям деятельности, например, базы руководителей служб безопасности, базы директоров по регионам и другие не менее интересные варианты.

В лучшем случае такие базы покупают для спам -рассылок и обзвона с предложениями услуг. Чуть менее часто базы данных на черном рынке скупают мошенники в целях совершения финансовых махинаций. По паспортным данным с помощью социальной инженерии можно получить доступ к карточным счетам пользователя и выводить с них средства, а также шантажировать владельцев этих данных или оформить на них кредит в микрофинансовой организации.

Источники утечки баз данных

В ответе за утечку данных пользователей – владельцы баз, так как это прямое нарушение ФЗ-152 «О персональных данных ». Но часто они сами даже не подозревают, что их базы были украдены, и узнают об этом только после громких инцидентов. Согласно выборке «МФИ Софт», базы данных попадают на черный рынок четырьмя путями: злонамеренный инсайд – 78%, взлом – 2%, недобросовестность (целенаправленное распространение данных клиентов на коммерческой основе) – 13%, парсинг (сбор и структурирование данных из открытых источников) – 7%. Из чего следует – что главная проблема российских компаний – это утечка баз данных через сотрудников.

phonenumber.to: 137,090,136 скомпрометированных учетных записей в базе

Как обеспечить безопасность?

Организациям, осуществляющим обработку персональных данных для того, чтобы избежать нарушений, необходимо провести ряд мероприятий, которые включают в себя следующие работы:

• направление уведомления об обработке персональных данных в контролирующий орган, Роскомнадзор ;
• разработка формы и получение согласия каждого субъекта на обработку его персональных данных (согласие должно содержать собственноручную подпись субъекта (либо его цифровую подпись));
• документально описание информационных систем обработки персональных данных (назначение, состав данных, правовые основания для их обработки), а также обозначение круга лиц, работающих с персональными данными и имеющими к ним доступ;
• разработка ряда нормативных документов, описывающих модели угроз и средства защиты от них персональных данных;
• обеспечение защиты персональных данных техническими (программными, аппаратными) и организационными методами;
• прохождение необходимых проверок для подтверждения соответствия систем защиты персональных данных требованиям законодательства.

Для успешного проведения данных работ необходимо, во-первых, назначить сотрудника, ответственного за вопросы защиты персональных данных, во-вторых, для всех ресурсов и подсистем, содержащих персональные данные, определить их статус, и, наконец, определить способы и сроки обработки данных, а также сроки хранения».

В первую очередь, самый действенный и не затратный подход к хранению персональных данных - это хранение их в обезличенной форме. Необходимо максимально обобщать, обезличивать информацию, отказываться от избыточной - таким образом можно просто не бояться умышленной или случайной утечки информации - она не будет представлять практически никакой ценности для злоумышленников. Кстати, законодательство Соединенных Штатов, рекомендует для обеспечения безопасности персональных данных именно такой подход. Конечно, это палка о двух концах. Такой подход, несомненно, снижает потребность в защите данных, однако значительно затрудняет возможность их обработки.

Операторы персональных данных сейчас в большинстве своем отказались от работ по обеспечению информационной безопасности. Закон будет меняться, в этом есть необходимость и об этом есть свидетельства, так что вкладывать средства в реализацию формальных требований безотносительно их важности довольно расточительно.

В неоднозначной ситуации находятся и компании, занимающиеся производством продуктов для защиты персональных данных. В поисках решений, которые позволят, с одной стороны, удовлетворить регуляторов, с другой - заказчиков, и, наконец, не остаться в проигрыше, они приходят к тому, что перестройка устоявшейся модели системы защиты персональных данных неизбежна.

При этом четко прослеживается разница между компаниями-лидерами в своей области и фирмами-подголосками. Последние, в большинстве своем, быстро переориентировались на соответствие требованиям закона. Спектр предлагаемых ими услуг расширился такими предложениями, как помощь в получении лицензии, проведение обследования и классификации информационной системы, консультационная поддержка. Нашлись умельцы и по способам обхождения закона - широко разошлась статья под названием "Пять сравнительно легальных способов сопротивления ФЗ-152".

Куда интереснее, что думают о нововведении представители серьезных компаний, занимающихся защитой информации. Многие вендоры начали активную доработку своих решений, задавшись вопросом о том, соответствуют ли они требованиям регуляторов. Другие же пока не спешат со столь кардинальными мерами, ожидая дальнейших изменений в законодательстве. Однако ключевым моментом по мнению многих компаний является формирование культуры защиты персональных данных. Так, например, Алексей Сабанов, заместитель генерального директора компании Aladdin считает, что №152-ФЗ прививает культуру информационной безопасности в обществе и на всех уровнях российского бизнеса. Александр Шарамок, представитель компании "Ортикон" придерживается мнения, что ситуация с защитой персональных данных улучшится, если будет создана прозрачная правовая и нормативно-техническая база и в обществе сформируется культура защиты персональных данных, первые шаги к чему он также видит в законе №152-ФЗ "О персональных данных".

Все же, кроме совершенствования технических мер безопасности, компаниям непременно нужно уделить внимание методологической составляющей. Уже сейчас многие компании предлагают своим клиентам построение модели угроз безопасности персональных данных. Кроме того, помощь в определении типа информационной системы, информационная поддержка по вопросам лицензирования и прохождения проверок, нахождение способов снижения класса обрабатываемых данных - все это уже потихоньку начинает занимать свою нишу на рынке услуг по защите информации и, в дальнейшем, будет только развиваться .

Обезличивание персональных данных

Требование законодательства по обезличиванию данных

Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных .

Свойства обезличенных данных

• полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
• структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
• релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
• семантическая целостность (сохранение семантики персональных данных при их обезличивании);
• применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
• анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

Типичные подходы к обезличиванию данных

• Данные не обезличиваются (использование NDA с подрядчиками)

• После обезличивания теряются особенности данных (чрезмерное маскирование данных)
• После обезличивания теряется связанность данных
• Нет единого инструмента для обезличивания данных
• Обезличиваются только данные согласно документации приложения
• Одинаковые политики по деперсонализации данных для различных задач
• На деперсонализацию данных требуется значительное время
• После изменения источников (например, после установки патчей) требуется значительное время на изменение процессов деперсонализации

Применяйте надежную многофакторную аутентификацию

Кража персональных данных – одна из наиболее опасных и часто встречающихся угроз в области защиты информации. Она является причиной взлома в четырех из пяти случаев Verizon . Отчет об утечке данных 2013. Таким образом, для доступа в персональную систему не достаточно ввести имя пользователя и пароль. Для защиты персональных данных необходимо применять надежную аутентификацию . Например, одним из оптимальных решений будет двухфакторная аутентификация , в рамках которой необходимо дважды подтвердить свою личность: при помощи удостоверения – токена, смарт-карты, мобильного приложения, а также при помощи ввода секретного пароля. В будущем, возможно, будет введен дополнительный биометрический фактор, при котором для подтверждения личности сотрудника могут потребоваться отпечатки его пальцев.

Зашифруйте конфиденциальные электронные адреса и файлы

Электронная почта является наиболее важным инструментом коммуникации внутри любой организации, ей пользуются как руководители, так и другие сотрудники компаний. Чтобы защитить электронную почту, необходимо использовать специальную сертифицированную программу, которая позволяет шифровать отдельные файлы или сообщения таким образом, что только конкретный получатель, обладающий ключом, сможет получить доступ к зашифрованной информации. Также необходимо четко вести базу контактов, чтобы информация случайным образом не попала неверному адресату.

Установите правила соблюдения информационной безопасности для руководителей

Безусловно, все вышеперечисленные рекомендации будут работать при условии дополнительных вложений со стороны руководства компании. В этой ситуации необходимы посредники, которые смогут провести необходимый тренинг для руководителя и расскажут все основные правила обеспечения информационной безопасности. Данная практика поможет изменить поведение руководителя и мотивирует сотрудников брать пример с руководства.

Деятельность киберпреступников активизируется, и любая организация должна задуматься о защите корпоративных данных. Во многих компаниях обеспечение информационной безопасности – это обязательная мера, которую необходимо соблюдать по требованию регуляторов, но вопрос безопасности данных руководителей компаний по-прежнему остается отрытым и требует специального подхода, который обеспечит защиту информации и, в то же время, не затронет мобильный образ жизни руководителя.

В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.

Шкилев Николай Александрович

ВВЕДЕНИЕ

Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.

Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей « персональные данные ».

Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.

Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.

Следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации», а также Федеральный закон «Об участии в международном информационном обмене», - ст. 11 «Информация о гражданах (персональные данные)» Закона «Об информации, информатизации и защите информации». Защите персональных данных работников посвящена глава 14 Трудового кодекса Российской Федерации.международных стандартов:- ISO 17799 - по информационной безопасности;- ISO 15489 - по управлению документацией.

Принятие ФЗ «О персональных данных» явилось ответом законодательной ветви власти на один из наиболее острых вызовов современной России - бесконтрольный оборот приватных сведений граждан, неуважение к частным данным вообще, а также повсеместное распространение личных записей россиян в виде баз данных. Таким образом, ФЗ имеет огромное социальное значение.

Согласно исследованию холдинга ROMIR Monitoring, проведенного в январе 2006 года по заказу «РИО-Центра», российские граждане целиком и полностью поддерживают законодательную инициативу властей. Например, лишь 3,4% респондентов уверено в защищенности своих персональных данных, а противоположной точки зрения - то есть уверенности в полной беззащитности своих приватных сведений - придерживаются 24,4% граждан. При этом 74,1% респондентов поддержали бескомпромиссную борьбу с распространением пиратских копий баз данных ГИБДД, операторов связи, БТИ и других организаций, а 63,3% граждан считают, что государство просто обязано контролировать сбор персональных данных коммерческими структурами. Отметим, что в основе исследования лежит репрезентативная выборка, состоящая из 1,6 тыс. постоянно проживающих в стране граждан из 43 субъектов РФ. Другими словами, очевидно, что с социальной точки зрения в стране уже давно назрела необходимость законодательного регулирования сбора и обработки персональной информации граждан.

Все это наводит на мысль, что исполнительная и судебная ветви власти могут и должны с энтузиазмом перенять эстафету законодателей. и уже с 30 января 2007 года органы правопорядка и суды могут начать привлекать и осуждать лиц, виновных в нелегальном распространении персональных данных. Однако с наиболее серьезными последствиями нового ФЗ придется столкнуться коммерческим компаниям, которые могут потерять лицензию на обработку приватных сведений граждан в случае нарушения требований закона.

1.Краткий правовой анализ Федерального закона “О персональных данных”

1.1. Основные понятия и термины закона

Прежде чем перейти к экспертизе требований ФЗ «О персональных данных», рассмотрим основные понятия этого нормативного акта. Список наиболее важных терминов вместе с пояснениями представлен в таблице ниже (см. таб. 1). Полный листинг понятий ФЗ можно найти во 2 ст. полного текста закона.

Прежде всего, следует обратить внимание на определение термина «персональные данные» (см. таб. 1). Далее по тексту в качестве синонима к этому понятию будут использоваться такие словосочетания, как приватные сведения, личная информация, частные записи граждан и т.д. Во всех этих случаях речь пойдет именно о персональных данных, защищаемых ФЗ. Также важно заметить, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов компании InfoWatch, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.

Таблица 1.

Основные понятия закона «О персональных данных»

Анализ главных определений ФЗ позволяет сделать ряд важных выводов. Во-первых, под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков. Во-вторых, конфиденциальность информации является обязательным требованием, причем под ней ФЗ понимает защиту от распространения (синоним слову «утечка»). Таким образом, закон «О персональных данных» затрагивает деятельность абсолютно всех коммерческих компаний и госструктур, которые теперь должны позаботиться о защите персональных данных от неавторизованного распространения, то есть, от утечки.

1.2. Основные положения закона

Рассмотрим основные положения ФЗ «О персональных данных», с которыми теперь должны считаться представители бизнеса и госсектора. Прежде всего, следует отметить 5 ст. закона - «Принципы обработки персональных данных», согласно которой цели обработки приватной информации должны соответствовать целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора. На практике это означает, что организация обязана прямо во время сбора личных сведений уведомить граждан о том, для чего ей эти сведения понадобились и что она будет с ними делать. Более того, единожды заявив о своих целях, организация не может просто так их изменить, не поставив в известность граждан.

В ч.2 ст.5 указано очень важное с точки зрения IT-безопасности требование к операторам персональных данных. «Хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Базовая концепция нового закона нашла свое отражение в ст.6 («Условия обработки персональных данных») и ст.7 («Конфиденциальность персональных данных»). Рассмотрим эти статьи подробнее.

Согласно ст.6, основным условием обработки приватных сведений является согласие на это владельца персональных данных, то есть самого гражданина. Из этого условия существует ряд исключений. Например, общедоступными являются некоторые приватные сведения высших чиновников и кандидатов на выборные должности. Также обработка персональных данных разрешена журналистам, если это не нарушает права и свободы субъекта чувствительной информации. Для бизнеса двумя важными исключениями, при которых необязательно спрашивать согласие гражданина на обработку его персональных сведений, являются п.2.2 и 2.5 ст.6. Согласно первому из них, разрешена «обработка [приватных данных] в целях исполнения договора, одной из сторон которого является субъект персональных данных». Согласно второму, «обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи». Однако во всех остальных случаях, бизнес просто обязан спросить у гражданина разрешение на обработку его личных сведений.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае, если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности … и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование к конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона.

В рамках 7 ст., «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Можно резюмировать, что бизнес должен получить согласие владельца приватных данных на обработку этой информации и обеспечить конфиденциальность персональных сведений. При этом согласно 9 ст., компания должна получить письменное согласие гражданина на обработку его личных записей, которое в случае возникновения конфликтных ситуаций должно быть предъявлено в суде. Отметим, что в согласии обязательно указываются цель обработки персональных данных, перечень самих данных и действий с ними и срок, в течение которого действует согласие (а также порядок его отзыва).

1.3. Требования к безопасности персональных данных

Особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Другими словами, бизнесу необходимо обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Согласно ст.19 ч.2, Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».

1.4. Ответственность за нарушения закона

При нарушении требований закона «О персональных данных» виновные лица (согласно ст.24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.

Кроме того, следует рассмотреть новые положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.

Прежде всего, новый закон приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.

1.5. Критические даты

Из представленной выше экспертизы ФЗ «О персональных данных» следует, что организациям предстоит принять целый ряд технических и организационных мер, чтобы удовлетворить новым нормативным требованиям. Далее в таблице (см. таб. 2.) приведен ряд критических дат, к наступлению которых бизнес и госсектор обязан привести в соответствие ФЗ свои бизнес-процессы и IT-системы.

Критические даты закона «О персональных данных»

Выводы

Собирая воедино все указанные выше требования ФЗ «О персональных данных», можно сделать ряд выводов. Прежде всего, о безопасности приватных сведений персонала и клиентов теперь должна заботиться абсолютно каждая организация. Другими словами, российским компаниям теперь придется иметь дело с новым классом информации. Если раньше при классификации данных в коммерческой организации достаточно было учитывать три основных категории информации (публичная, конфиденциальная, секретная), то новый ФЗ практически требует создать еще один класс информации - персональные данные (клиентов, служащих и т.д.). Однако очевидно, что изменение принципов классификации влечет за собой модификацию политики IT-безопасности. Следовательно, бизнесу необходимо дополнить свой набор политик, как минимум, одной новой - политикой использования персональных данных. Эта политика должна описывать все случаи, когда приватные сведения могут быть предоставлены третьим лицам (строго согласно положениям ФЗ), и запрещать распространение этой информации во всех других ситуациях. Вдобавок, политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости.

2.Краткий анализ Федерального закона “О персональных данных” в вопросах информационных технологий.

2.1 Требования к ИТ-безопасности

По требованиям нормативно-правовых документов работы по обеспечению безопасности персональных данных являются неотъемлемой частью работ при создании информационных систем для их обработки. Т.е. информационные системы, в которых обрабатываются персональные данные, должные в обязательном порядке содержать подсистему защиты этих данных

Руководителям организаций, специалистам в области ИТ и защиты информации следует ознакомиться с основными положениями нового ФЗ в сфере защиты персональных данных. Согласно ч.2 ст.5, «хранение [приватных сведений] должно осуществляться... не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, это является нарушением закона. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности... и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона. Согласно этой статье, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных ». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Однако особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных » от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Как указывает Олег Смолий, главный специалист управления по обеспечению безопасности «Внешторгбанка», отсюда следует, что представителям бизнеса необходимо обеспечить мониторинг всех операций, которые внутренние нарушители осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Между тем, согласно ст.19 ч.2 ФЗ «О персональных данных », Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных ». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Другими словами, принятие закона (даже с прописанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно было стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Отметим, что сам уполномоченный орган уже выбран. Это Федеральная служба по техническому и экспортному контролю. Однако каких-либо формализованных требований от ФСТЭК России в плане защиты персональных данных еще не было обнародовано.

Также отметим, что согласно ст.24, виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ. Т.е. утечка приватных сведений граждан может легко спровоцировать целую череду исков и судебных разбирательств, что приведет к серьезным юридическим издержкам, огласке и ухудшению репутации.

2.2. Насколько сильно придется изменять свою ИТ-систему в соответствии с ФЗ

При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.

На заключительном этапе исследования респондентам было предложено рассказать о своих планах по внедрению технологических решений, для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты.

2.3.Планы по внедрению новых ИТ-продуктов для соответствия ФЗ

Подводя итоги, можно заметить, что подавляющее большинство специалистов (94%) убеждено, что России был просто необходим закон «О персональных данных ». В то же самое время 40% опрошенных профессионалов не верят, что закон будет работать на практике. В чем проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватки денег на внедрение адекватных систем защиты (20%). Таким образом, уполномоченному органу (ФСТЭК России) необходимо как можно быстрее разработать формальные требования к безопасности персональных данных и опубликовать официальный стандарт, который закрепит положения ФЗ «О персональных данных». Текущие требования это закона большинством голосом (79%) признаны вполне подъемными к реализации. Более того, 71% организаций уже запланировал внедрение новых ИТ-продуктов, позволяющих достичь соответствия с положениями закона.

Однако это лишь одна сторона медали - с ее помощью государство пытается вести профилактику утечек на уровне тех источников, откуда информация утекает. Между тем, есть еще один важный аспект: нелегальный оборот персональных данных. Ведь не надо даже далеко ходить, чтобы купить приватную базу данных на CD и за довольно скромную цену. Очевидно, что в этом плане ответственность ложится на органы исполнительной власти, у которых теперь появилась законная возможность завести против нелегальных продавцов дело. Правда, именно на этом этапе нам так необходима правоприменительная практика, нарабатывать которую России, судя по всему, придется годами.

Итак, необходимым условием обработки персональных данных является согласие на это субъекта персональных данных, за исключением особых случаев.

Федеральный закон обязывает операторов соблюдать требования по конфиденциальности персональных данных (за исключением общедоступных и обезличенных персональных данных), в том числе с помощью криптографических средств.

В целом, требования по обеспечению безопасности персональных данных устанавливаются Федеральным законодательством, Постановлениями Правительства РФ и иными подзаконными актами. Контроль выполнения требований по обеспечению безопасности персональных данных осуществляется Федеральной службой безопасности и Федеральной службой по техническому и экспертному контролю.

На этапе проектирования информационной системы или при её эксплуатации необходимо провести категорирование персональных данных. На основании категории персональных данных, а также характеристик информационной системы, связанных с угрозами безопасности персональных данных, информационной системе присваивается определённый класс, который определяет требования к защите обрабатываемых в ней данных.

Классификация информационных систем персональных данных проводится на основе нормативно-правовых документов ФСТЭК.

Мероприятия по защите персональных данных, в частности, должны включать в себя:

• Определение угроз безопасности персональных данных при их обработке, разработка модели угроз;
• Разработку на основе модели угроз системы защиты с применением методов, соответствующих классу информационной системы;
• Проверку готовности средств защиты к использованию с составлением заключений о возможности эксплуатации;
• Установку и ввод в эксплуатацию средств защиты, а также обучение сотрудников их использованию;

Важно отметить, что согласно требованиям нормативно-правовых документов средства защиты, используемые в информационных системах персональных данных (в том числе средства защиты от несанкционированного доступа, криптографические средства защиты, средства защиты от утечек по техническим каналам) должны в установленном порядке проходить оценку соответствия требованиям ФСБ и ФСТЭК.

И согласно требованиям обмен персональными данными при их обработке должен осуществляется по каналам связи, защита которых реализована с помощью организационных или технических мер.

В соответствии с законом №152-ФЗ существенно расширяется круг юридических лиц, автоматизированные системы которых должны содержать подсистемы защиты информации. В их число попадают медицинские учреждения, инвестиционные и трастовые компании, прочие структуры, привлекающие средства населения, а также все юридические лица, в составе автоматизированных систем которых в том или ином виде ведутся личные дела сотрудников.

Со дня вступления ФЗ «О персональных данных» в силу (30 января 2007 года) для операторов персональных данных описанные в законе требования по обработке и в том числе по защите персональных данных являются обязательными.

Следует отметить, что Федеральный закон касается не только вновь создаваемых систем обработки персональных данных. Информационные системы персональных данных, созданные до дня вступления закона в силу, должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 января 2010 года.

В Федеральном законе Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” сказано: “Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий”. Рассмотрим, каким образом в соответствии сдействующими законадательными и нормативными актами грамотно подойти к вопросу внедрения новых средств защиты данных.

Для этого необходимо в первую очередь определиться с требованиями к реализации системы защиты данных.

Для формирования основных базовых требований к реализации системы защиты данных необходимо определиться с ответами на следующие вопросы:

• Что должно служить сущностью “объект доступа”, другими словами, что должен представлять собою объект (в общем случае, набор объектов), при сохранении в который, данные должны шифроваться и/ либо гарантированно удаляться (естественно, что речь идет об автоматическом “прозрачном” для пользователя шифровании данных “на лету” при их сохранении в объект (и соответствующим образом расшифрования), реализуемого системным драйвером (аналогично и гарантированного удаления). Подходы к построению СЗД, предполагающие реализацию шифрования и/либо гарантированного удаления вручную пользователем, а уж тем более, вопросы реализации этих функций на прикладном уровне - из конкретных приложений, рассматривать не будем, наверное, даже не следует пояснять почему, если мы говорим об эффективных средствах защиты для корпоративных приложений, ориентированных на защиту персональных данных;
• Что должно служить сущностью “субъект доступа”, другими словами, следует ли при принятии решения о шифровании (расшифровании) и/либо гарантированного удаления данных при запросе доступа к объекту в принципе учитывать, и если да, то каким образом учитывать то, какой пользователь и каким процессом обращается к объекту. Другими словами, следует управлять тем, какие пользователи сохраняют данные в зашифрованном виде (соответственно их информация гарантированно удаляется), либо тем, в какие объекты данных сохраняются в шифрованном виде (соответственно, в каких объектах данные гарантированно удаляются);
• Что должно служить сущностью “право шифрования”. Дело в том, что при построении СЗИ от НСД возможны два подхода к реализации разграничительной политики доступа к ресурсам: посредством назначения атрибутов, присваиваемых объектам (здесь можно говорить об атрибутах “шифрование” и “гарантированное удаление”), либо посредством назначения прав доступа к объектам для пользователей. Этот вопрос тесно связан с предыдущим;
• Как обеспечить коллективный доступ пользователей к зашифрованным данным (это одна из ключевых задач для корпоративных приложений при защите персональных данных, состоящая в том, что данные должны располагаться на общем ресурсе (как правило, разделенные в сети файловые объекты), причем в зашифрованном виде, при этом к этим данным должно предоставляться право доступа нескольким пользователям, например, удаленно к файловому серверу с рабочих станций корпоративной сети). Соответственно следует говорить и о гарантированном удалении данных в коллективно используемых ресурсах. Важным здесь является вопрос, учитывать ли какие-либо идентификационные данные пользователя (если да, то каким образом) при генерации ключа шифрования.

Рассмотрим эти вопросы по порядку, при этом будем учитывать, во-первых, что обе процедуры, и шифрование, и гарантированное удаление весьма ресурсоемки и оказывают влияние на загрузку вычислительного ресурса (даже при их реализации на уровне системного драйвера, в случае же реализации их на уровне приложения загрузка вычислительного ресурса возрастает в разы), во-вторых, на одном вычислительном средстве в корпоративных приложениях, как правило, обрабатывается как открытая, так и конфиденциальная информация (причем, подчас, конфиденциальная информация также может категорироваться), т.е. далеко не все данные следует дополнительно защищать средствами шифрования и гарантированного удаления.

Различные по категории конфиденциальности данные должны храниться в различных файловых объектах (только в этом случае могут быть реализованы различные режимы их обработки), причем, как на жестком диске, так и на внешних накопителях, причем как на локальных, так и на разделенных в сети (при этом не обеспечить коллективный доступ к данным - без возможности разделения файловых объектов в сети) . Основным объектом реализации разграничительной политики доступа к ресурсам является “папка”. Что касается внешних накопителей (например, Flash-устройств), то подчас на них разрешается записывать информацию только в зашифрованном виде, т.е. в этом случае объектом шифрования должен служить диск (однако, может разрешаться в зависимости от типа информации на одном внешнем накопителе сохранять данные, как в открытом, так и в шифрованном виде, тогда объектом шифрования вновь становится “папка”, например, каталог на накопителе). Папка является и обязательным объектом шифрования при использовании разделяемого ресурса (например, жесткого диска на сервере) при реализации коллективного доступа к данным в корпоративной сети. В некоторых конкретных случаях может потребоваться шифрование и отдельного файла, в частности, вся база данных может располагаться в отдельном файле. Не смотря на частность данных случаев, их возможность - объектом шифрования является файл, также должна быть реализована в средстве защиты.

Требование к реализации. Объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети. При этом средством защиты должна предоставляться возможность задания любого набора объектов (например, несколько каталогов на выбор, включая разделенные в сети) в качестве объектов криптографической защиты и гарантированного удаления остаточной информации

Несмотря на кажущуюся очевидность данных требований, на практике широко распространены средства с весьма ограниченными возможностями задания объектов защиты, например, только локальный диск (так называемый, “файловый сейф”), либо только локальные файловые объекты могут назначаться для шифрования данных, или, например, совсем уж странное решение реализуется в некоторых средствах защиты в части гарантированного удаления остаточной информации - если активизируется этот режим, то гарантированно удаляются данные во всех файловых объектах (а как же совершенно не оправданное в этом случае дополнительное влияние на загрузку вычислительного ресурса?). Естественно, что подобные средства более просты в практической реализации, однако, следствием реализации подобных решений является их невысокая потребительская стоимость в корпоративных приложениях.

Перейдем к рассмотрению следующих двух очень важных взаимосвязанных вопросов. Следует ли учитывать каким-либо образом сущность “пользователь” при построении схемы защиты, следовательно, дополнительная защита должна являться привилегией пользователя (рассматриваться как его право), либо объекта (рассматриваться, как дополнительный атрибут файлового объекта). Заметим, что права доступа к объектам в корпоративных приложениях следует рассматривать, как принадлежность пользователя, а не как атрибут файлового объекта В данном же случае, все наоборот. Особенностью корпоративных приложений является то, что один и тот же пользователь должен обрабатывать на одном компьютере, как открытую, так и конфиденциальную информацию (если только открытую, то отсутствует потребность в дополнительной защите данных, а только конфиденциальную - на практике, как правило, не бывает). Следовательно, если дополнительную защиту данных рассматривать, как привилегию пользователя (т.е. для учетной записи устанавливать соответствующий режим сохранения и удаления (модификации) данных), то в корпоративных приложениях это будет означать, что все данные (как открытые, так и конфиденциальные) пользователя следует шифровать и гарантированно удалять. Это бессмысленно! Следовательно, шифрование и гарантированное удаление необходимо рассмаривать не как привилегию пользователя (учетной записи), а как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, присваиваемыми объектам - при сохранении данных в этот объект они автоматически шифруются, при удалении (модификации) объекта данные гарантированно удаляются.

Требование к реализации. Возможность дополнительной защиты данных методами шифрования и гарантированного удаления необходимо рассмаривать как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, устанавливаемыми для дополнительно защищаемого объекта.

Теперь о коллективном доступе к ресурсам. Это очень важная функциональная возможность. Без ее практической реализации невозможно обеспечить не только общие для пользователей файловые хранилища, но и принципиально организовать обмен защищаемыми данными через файловую систему, причем не только в сети, но и локально, на одном компьютере. Коллективный доступ к ресурсам априори возможен лишь в том случае, когда такая сущность, как “ключ шифрования” едина (ключ одинаковый) для пользователей, имеющих право доступа к коллективно используемому ресурсу.

С учетом сказанного можем сделать два очень важных вывода, во-первых, средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, во-вторых, ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей, т.к. в противном случае, эти данные должны совпадать для учетных записей, под которыми разрешен доступ к коллективно используемым объектам (что недопустимо). Заметим, что несмотря на данное, казалось бы, очевидное требование, подобные решения, реализованные на практике, существуют.

Требование к реализации. Средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, при этом ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей.

В порядке замечания отметим, что с целью снижения ресурсоемкости средства защиты, с учетом того, что на одном компьютере может обрабатываться конфиденциальная информация различных категорий, как следствие, требующая различной дополнительной защищенности, целесообразно предусмотреть возможность шифровать данные различных категорий (различные объекты) с использованием различных алгоритмов шифрования (в частности, с использованием различных длин ключа шифрования), соответственно, гарантированно удалять данные различных категорий с использованием различных правил (в частности, с возможностью задания для различных объектов различного числа проходов очистки - записи маскирующей информации, и различных способов задания маскирующей информации - маскирующая информация - это те данные, которые записываются поверх исходных данных при уничтожении, либо при модификации объекта, другими словами, эти те данные, которые остаются на носителе в качестве остаточной информации).

Теперь остановимся еще на одном важном вопросе реализации коллективного доступа, в данном случае, удаленного доступа к разделенным в сети дополнительно защищаемым объектам. Упрощенно, имеем следующую структуру системы. На рабочих станциях пользователями осуществляется обработка данных, которые сохраняются в разделенный между пользователями объект, располагаемый на отдельном компьютере (файловом сервере). Возникает вопрос, где осуществлять процедуру шифрования данных - на рабочих станциях, перед их сохранением на сервере, либо собственно на сервере? Наверное, ответ на этот вопрос очевиден - на рабочих станциях. Это объясняется тем, что при таком решении данные передаются по каналу связи в зашифрованном виде (в противном случае, в открытом).

Требование к реализации. При реализации коллективного доступа к разделенным в сети дополнительно защищаемым объектам шифрование данных должно осуществляться на рабочих станциях, на которых пользователями осуществляется обработка данных.

В порядке замечания отметим, что такое решение возможно лишь в том случае, если средством защиты выполняется требование к реализации, состоящее в том, что объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети (см. выше).

Заключение

Обязанностью оператора, согласно статье 19, является также обеспечение безопасности персональных данных при их обработке. Чтобы не было неприятностей, организации-оператору желательно заранее разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, которые она готова предпринять для защиты персональных данных, содержащихся в ее информационных системах.

Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны заранее уведомлять об этом уполномоченный орган (статья 22), который будет вести учет операторов в специальном реестре. Уполномоченным органом, согласно статье 23, является Мининформсвязи России, который в настоящее время осуществляет «функции по контролю и надзору в сфере информационных технологий и связи». В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными. Любые изменения в отношении обработки персональных данных в обязательном порядке также должны ­сообщаться в уполномоченный орган.

Разрешается вести обработку персональных данных, не уведомляя уполномоченный орган, в следующих случаях:

• при наличии трудовых отношений;
• при заключении договора, стороной которого является субъект персональных данных;
• если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией;
• если персональные данные являются общедоступными;
• если персональные данные включают в себя только фамилии, имена и отчества субъектов;
• при оформлении пропусков;
• если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и ­общественного порядка;
• если персональные данные обрабатываются без использования средств автоматизации.

В заключение дадим ряд рекомендаций организациям-операторам. Исполнить требования закона о персональных данных будет не столь уж трудно, если данную работу начать сейчас, не дожидаясь поступления ­первых заявлений и жалоб. Начать можно со следующих очевидных мер:

Желательно назначить ответственного сотрудника для рассмотрения всех вопросов, связанных с исполнением данного закона в организации, а для крупных компаний может быть оправдано создание специальной комиссии.

Для всех информационных ресурсов организации, содержащих персональные данные, необходимо:

• определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по ­собст­венной инициативе и т.д.);
• уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
• установить сроки хранения и сроки обработки данных в ­каждом информационном ресурсе;
• определить способы обработки;
• определить лиц, имеющих доступ к данным;
• сформулировать юридические последствия;
• определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.