Новые подходы при построении информационной системы персональных данных

Югов В.В.
Выпускник группы ITM-09
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Вопрос защиты персональных данных является одним их актуальных вопросов для организаций занимающихся обработкой персональных данных, а именно их приемом, поиском, сбором, систематизацией, хранением, обновлением, изменением, передачей, блокированием, уничтожением.

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (вступил в силу 26 января 2007 года, далее - Закон) принят в целях приведения положений отечественного законодательства в соответствии с нормами Конвенции от 28 января 1981 года и восполнения имеющегося в законодательстве РФ пробела в регулировании отношений, связанных с обработкой персональных данных.

Данным законом устанавливаются общие унифицированные требования к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц (субъектов персональных данных) во всех сферах, где используются персональные данные.

С вступлением в силу обязательности выполнения требований данного ФЗ стало необходимым:

• проведение мероприятий по обеспечению защиты персональных данных, в соответствии с требованиями,
• разработать комплект организационно-распорядительных документов, регламентирующих деятельность по защите и порядок обработки персональных данных
• провести аттестацию автоматизированной информационной системы, в которой обрабатываются персональные данные, на соответствие требованиям нормативно-правовых документов по защите и обработке персональных данных.

Складывающаяся практика применения Федерального закона «О персональных данных» выявила несколько групп проблем:

• Проблемы правового характера возникли в связи с неоднозначностью положений Закона, которые по-разному трактуются государственными регуляторами и операторами, требуют конкретизации, уточнений и разъяснений.
• Организационные проблемы связаны с ограниченным ресурсом уполномоченного органа по защите прав субъектов персональных данных, что не позволяет ему выполнять функции надзора в полном объеме. Кроме того, нормативные правовые акты уполномоченных ведомств, содержащие требования к операторам, были выпущены с опозданием, поэтому не все операторы имели возможность заложить затраты на реализацию этих требований и уложиться в срок до  – 1 января 2011 года.
• Финансовые проблемы связаны, прежде всего, с тем, что при внесении Правительством РФ в Государственную Думу проекта 152 ФЗ затраты на его реализацию не предусматривались. Тем не менее, выполнение операторами требований основных регуляторов (ФСТЭК и ФСБ) по обеспечению безопасности обработки персональных данных требует резкого увеличения расходов.

В качестве технологического примера построения системы обработки персональных данных предлагается использовать технологию тонкий клиент. Данная технология не является революционной, однако на отечественном рынке не было систем, получивших сертификат соответствия.

Появление на рынке отечественных, сертифицированных программных средств построения терминальной сети(ОС «Циркон 10» (на базе ОС Solaris 10 Update 4 с установленным Solaris Trusted Extensions) позволяет построить ИСПД, удовлетворяющим требованиям нормативно-правовой базы по защите персональных данных.

Построение системы предполагает разделение на  отдельные контуры. Формирование каждого отдельного контура характеризуется степенью закрытости или открытости информации, которая в нём обрабатывается (открытая информация, конфиденциальная информация, Интернет). Такой подход позволяет более эффективно обеспечить безопасность конфиденциальной информации (в том числе персональных данных), за счет снижения размера защищаемого контура.

Простота переключения между контурами обеспечивается использованием смарт-карт- пользователь, вставляя в терминал смарт-карту попадает в соответствующий контур. Доступ к учетной записи организуется одним из элементов подсистемы приложений и хранения данных, после предварительной проверки возможности доступа пользователя к данным.  При необходимости поменять контур, в котором он работал, на другой, ему необходимо извлечь смарт-карту из терминала, вставить в терминал смарт-карту соответствующего контура, ввести пароль.
Использование терминальной схемы работы позволяет оптимизировать финансовые затраты и построить безопасную, мощную, гибкую и надежную информационную систему, которая при минимальных расходах на сопровождение и поддержку позволит обрабатывать конфиденциальную информацию, в том числе персональные данные.