И снова о ФЗ 152

Старший системный аналитик
ОАО Альфа Банк
г. Москва

Аннотация

В статье освещен актуальный в настоящее время многим компаниям вопрос, связанный с защитой персональных данных, обрабатываемых в информационных системах компании. В статье приведены рекомендации по классификации информационных систем персональных данных, а также по искусственному понижению их класса. Перечислены основные мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах. В заключении предложены типы средств защиты информации, которые могут быть использованы в компании с информационной системой персональных данных класса К2.

Abstract

The article elucidates the urgent at the present time, many companies issue associated with the protection of personal data processed in the information systems company. The paper presents recommendations for classification of information systems personal data, as well as the artificial lowering of their class. Are the main activities to ensure the security of personal data during their processing in information systems. In conclusion, suggested types of information security tools that can be used in company with the information system of personal Class Data K2.

Введение

7 ноября 2001 года Российская Федерация подписала конвенцию Европы о защите физических лиц при автоматизированной обработке персональных данных. Согласно этой конвенции, государством был принят Федеральный закон №152 «О персональных данных». По этому закону организации и компании, если они обрабатывают персональные данные (ПДн) людей такие, как: имя, фамилия, год рождения, адрес, группа крови и другие данные, должны эти данные защищать, с целью обеспечения защиты свободы и прав человека и гражданина. В соответствии с последними поправками, все компании, обрабатывающие ПДн, должны привести информационные системы персональных данных (ИСПДн) в соответствии с предъявленными требованиями до 1 января 2011 года.

Контролем над выполнением требований закона занимается Роскомнадзор, ФСТЭК и ФСБ России. В случае не выполнения предъявляемых требований, возможны различные наказания вплоть до прекращения деятельности компании.

Вопрос защиты персональных данных встал практически во всех компаниях России и многие из них уже привели свои ИСПДн в соответствии с требованиями законодательства. Но из-за кризиса 2008 года и нехватки бюджета на новые проекты, большинство компании все-таки отложили данный вопрос на потом, а некоторые вообще решили не заниматься столь «незначительным» вопросом. Но не стоит забывать, что недочеты, выявленные в ходе проверок Роскомнадзора, должны быть устранены в течение 2-х недель, а провести аудит систем, разработать модель угроз, установить необходимые средства защиты и разработать и утвердить необходимый пакет нормативной документации за такой короткий срок невозможно. Длительность проекта такого рода составляет от 3-х месяцев и больше (с момента исследования ИТ инфраструктуры компании).

В компании Х бюджет на проект по созданию системы защиты информационной системы персональных данных был выделен в 2010 году.

Компания средняя по размеру (менее 200 человек), предоставляет различные консалтинговые услуги. В ходе обследования систем было выявлено 4 информационных системы, обрабатывающих персональные данные сотрудников или клиентов:

• CRM
• 1С Бухгалтерия
• 1С Зарплата и управление персоналом
• Интранет (внутренняя корпоративная сеть)

Бизнес-подразделения компании имеют доступ к системам CRM и Интранет только на чтение, поэтому было принято решение не включать их в список пользователей, обрабатывающих персональные данные.

Основные пользователи, имеющие доступ к обработке персональных данных входят в состав следующих подразделений:

• Финансового отдела
• Отдела контакт-центр
• Отдела информационных технологий
• Отдела по работе с персоналом

В соответствии с ФЗ «О персональных данных» от 27 июля 2006 №152-ФЗ, ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 №149-ФЗ, Постановлением Правительства Российской Федерации «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 г. № 781, Приказом Федеральной службы по техническому и экспертному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20, Приказом ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» было принято решение о создании одной ИСПДн, состоящей из следующих систем:

• CRM
• 1C Бухгалтерия
• 1С Зарплата и Управление персоналом
• Интранет
• Средства защиты информации.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных. [1]

Классификация ИСПДн

Рисунок 1. Таблица классификации ИС

Расшифровка таблицы классификации ИС:

категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 – обезличенные и (или) общедоступные персональные данные.

класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных.
класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Х_нпд может принимать следующие значения:

1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом.
2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования.
3 – в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации. [2]

В случае, если ИСПДн состоит из нескольких систем, то ей присваивается максимальный класс системы из входящих в ее состав систем. Поэтому такой вариант не всегда является оптимальным.

Иногда класс информационной системы можно искусственно понизить, например, регламентируя список обрабатываемой в ней информации. Например, в «1С Зарплата и управление персоналом» хранится информация о религиозных или политических взглядах сотрудника. Информация такого рода вряд ли необходимо работодателю. Исключая такую информацию из системы, ее класс автоматически понижается с К1 на более низкий.

При определении количества ИСПДн компании, не стоит забывать и о пакете организационно-распорядительной и технической документации, которую необходимо разрабатывать и утверждать для каждой ИСПДн. Для каждой системы – это до 39 отдельных документов, и порядком с десятью из них должны быть ознакомлены все пользователи данной системы, имеющие доступ даже только на чтение. Ну и, естественно, каждый документ должен быть подписан лицом, обладающим соответствующими полномочиями, которым, в большинстве случаев, является генеральный директор.

При выборе средств защиты информации необходимо помнить, что все они обязательно должны быть сертифицированы ФСТЭК России. А их не так и много в настоящее время.

Для ИСПДн класса К2, например, можно использовать следующие типы средств защиты:

• Система защиты информации от несанкционированного доступа.
• Антивирус.
• Межсетевой экран. Основное назначение данного продукта: обеспечить надежную защиту компьютеров локальной сети от несанкционированного доступа к данным при работе по IP-протоколу с другими локальными или глобальными сетями (например, Интернет), в том числе от различного рода сетевых атак, как со стороны локальной, так и со стороны глобальной сетей.
• Сетевой сканер. Предназначен для использования администраторами и службами информационной безопасности вычислительных сетей, а также органами по аттестации объектов информатизации в целях обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения.

После разработки и утверждения всей необходимой организационно-распорядительной и технической документации, установки и настройки средств защиты информации необходимо получить «Аттестат соответствия» требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.

Аттестацию имеют право проводить лицензиаты ФСТЭК, у которых есть лицензия на деятельность по технической защите конфиденциальной информации. Поэтому, в случае принятия решения об участии в проекте подрядчиков, следует поинтересоваться наличием у них данной лицензии.

Ссылки

1. Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"
2. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"

Copyright © 2010 Якутина А.Н.