Защита персональных данных в комплексных IT проектах коммерческих организаций

Аннотация

В настоящее время при реализации корпоративной политики информационной безопасности каждая компания сталкивается с вопросами о необходимости выбора способа решения задач по защите персональных данных при реализации IT проектов. Чаще всего эти задачи откладываются «до лучших времен». Причинами этого служат и противоречивость существующих нормативных документов и недостаточный практический опыт IT сообщества в реализации подобных программ. В настоящей аттестационной работе будет рассмотрен алгоритм реализации защиты персональных данных, возможные риски и способы их минимизации.

"Перечень сведений конфиденциального характера", утвержден указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

ФЗ-152, персональные данные это -

любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Прежде всего необходимо ответить на ряд вопросов определяющих выбор дальнейшего плана действий по защите персональных данных. Для этого требуется провести предварительный анализ информационных ресурсов предприятия.

1. Классификация

1.1. Установка перечня обрабатываемых персональных данных

Перечень персональных данных. В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Если кадровый учет и бухгалтерия есть на любом предприятии, то другие направления деятельности, где используются персональные данные, требуется установить: это могут быть данные клиентов, заказчиков, посетителей, партнеров, контрагентов и т.п.

Цели обработки персональных данных. Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; оформление пропусков для входа на территорию предприятия; договор оказания услуг и т.п.

Сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.

1.2. Способы обработки персональных данных

Обработка персональных данных может осуществляться с использованием средств автоматизации или без использования таких средств.

Обработка ПДн без использования средств автоматизации (неавтоматизированная обработка). Понятие неавтоматизированной обработки персональных данных определено в Постановлении Правительства РФ № 687 от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации.

Обработка ПДн с использованием средств автоматизации. В этом случае на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн), например, система бухгалтерского учета, система взаимоотношений с клиентами, биллинговая система и т.п.

1.3. Определить состав и объем обрабатываемых ПДн

Идентифицировать субъекта персональных данных. Персональные данные позволяют получить о субъекте персональных данных дополнительную информацию: доходы, дата и место рождения, место проживания, проф. деятельность, образование, пр. дополнительные данные. Так же персональные данные касаются следующих тематик: расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь и пр.

1.4. Провести предварительную квалификацию информационных систем

Классификация ИСПДн. Постановление Правительства РФ от 17.11.2007 №781 возлагает обязанность классификации информационных систем персональных данных и задачу обеспечения их безопасности - на оператора персональных данных, а разработку методов и способов защиты персональных данных в информационных системах - на ФСТЭК России и ФСБ России.

Классификация информационных систем персональных данных определяется в зависимости от категории обрабатываемых данных и их количества.

Установлены следующие категории персональных данных:

Категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
Категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1
Категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД
Категория 4 - обезличенные и (или) общедоступные персональные данные

Классы типовых информационных систем персональных данных.

Информационные системы персональных данных подразделяются на типовые и специальные. К типовым системам относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных.

Все остальные системы относятся к специальным.

В зависимости от последствий нарушений заданной характеристики безопасности персональных данных, типовой информационной системе присваивается один из классов:
класс 1 (К1) – информационные системы, для которых нарушения могу привести к значительным негативным последствиям для субъектов персональных данных
класс 2 (К2) - информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.

Класс типовой информационной системы персональных данных выбирается по таблице:

Оценка соответствия информационных систем требованиям безопасности

Устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности:

• для информационных систем 1 и 2 класса соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации)
• для информационных систем 3 класса соответствие требованиям безопасности подтверждается декларированием соответствия, проводимым оператором персональных данных
• для информационных системы 4 класса оценка проводится по решению оператора персональных данных

1.5. Оценить результаты предварительного обследования

Если в результате предварительной классификации на предприятии оказались информационные системы ПДн 1-го и 2-го классов это значит, что к таким системам предъявляются повышенные требования по обеспечению их безопасности и существенно увеличиваются расходы на проведение работ по созданию системы защиты ПДн.

Способы минимизации затрат. В случае классификации информационной системы ПДн как «специальная» возможно существенное снижение затрат на создание системы защиты ПДн. Классификация «специальной» системы осуществляется на основании разрабатываемой модели угроз безопасности ПДн, что дает возможность в каждом конкретном случае обоснованно выбрать минимальное количество актуальных угроз, от которых требуется защитить персональные данные. Такой подход позволяет минимизировать затраты и выполнить требования Закона «О персональных данных».

Для проведения таких мероприятий целесообразно рассмотреть вопрос о приглашении специализированной организации с опытом работ по данному направлению.

2. Подача уведомления в уполномоченный орган

Обработка персональных данных без уведомления. Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Россвязькомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:

• если предприятие обрабатывает персональные данные граждан, которых связывают с предприятием трудовые отношения;
• при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются предприятием исключительно для исполнения указанного договора;
• если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
• если персональные данные являются общедоступными;
• если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
• если персональные данные необходимы для однократного пропуска на территорию предприятия;
• персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
• персональные данные обрабатываются без использования средств автоматизации.

Если один или несколько из перечисленных пунктов относится к вашему предприятию, подавать уведомление в Россвязькомнадзор не нужно.

Подача уведомления в Россвязьнадзор. Во всех остальных случаях предприятие обязано подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Россвязькомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления предприятие регистрируется в реестре операторов, осуществляющих обработку персональных данных.

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

3. Организационные меры защиты ПДн

3.1. Разработка организационно-распрядительных документов

Документы регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных:

• Положение об обработке персональных данных;
• Положение по защите персональных данных;
• Регламент взаимодействия с субъектами персональных данных;
• Регламент взаимодействия при передаче персональных данных третьим лицам;
• Инструкции администраторов безопасности персональных данных;
• Инструкции пользователей по работе с персональными данными.

3.2. Перечень мероприятий по защите ПДн

• определение круга лиц, допущенного к обработке персональных данных;
• организация доступа в помещения, где осуществляется обработка ПДн;
• разработка должностных инструкций по работе с персональными данными;
• установление персональной ответственности за нарушения правил обработки ПДн;
• определение продолжительности хранения ПДн и т.д.

Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Россвязькомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования их защиты.

4. Техническая защита ПДн

Технические меры защиты информации предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.

Технические средства защиты информации делятся на два основных класса:

• средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
• средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).

В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

• для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности;
• требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите;
• определение состава и структуры каждой информационной системы ПДн (ИСПДн);
• анализ уязвимых звеньев и возможных угроз безопасности ПДн;
• оценка ущерба от реализации угроз безопасности ПДн;
• анализ имеющихся в распоряжении мер и средств защиты ПДн);
• на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн;
• определение класса информационных систем ПДн;
• при необходимости обосновывается использование средств шифрования);
• далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами;
• разработка технического задания на создание системы защиты ПДн;
• развертывание и ввод в эксплуатацию системы защиты ПДн);
• аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности;
• сертификация средств защиты информации. Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.

Copyright © 2010 Золотарев О.Г.