Статьи

В далёком 2006 году наши законотворцы написали и приняли замечательный закон за номером 152-ФЗ, который регулирует вопросы защиты персональных данных и определяет ответственность “операторов ПДн”. Так как обеспечивать “безопасность” обычно приходится администраторам сетей, то и большая часть работы по этому вопросу ложиться на их плечи. Сегодня я постараюсь разобраться в тонкостях данного закона и рассмотреть меры, которые может принять предприятие для соблюдения данного ФЗ.

Закон предполагал, что ВСЕ новые системы по обработке ПДн должны соответствовать требованиям законодательства, а уже созданные должны быть приведены в соответствие к 2011 году. Естественно, что проверки раньше 2011 года не начнутся и все забили на исполнение данного ФЗ, в 2010 году опомнились и начали срочно “защищать” свои системы обработки ПДн. Но в большинстве своём операторы и не представляют, что именно от них требуется.

Суть ФЗ № 152-ФЗ  от 27.07.06 “О персональных данных”

Теперь в двух словах определим основные понятия ФЗ и рассмотрим его суть.
К персональным данным относится любая информация о физическом лице:

  • фамилия, имя, отчество,
  • год, месяц, дата и место рождения;
  • адрес;
  • семейное, социальное, имущественное положение;
  • образование, профессия, доходы и другая информация.

Под обработкой персональных данных понимаются действия или операции, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение данных.
Также нужно понимать ряд других понятий:

  • Субъекты персональных данных – лица, чьи персональные данные обрабатываются;
  • Оператор персональных данных – лица или организации, которые обрабатывают персональные данные;
  • Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу;
  • ИСПДн – Информационная система обработки персональных данных.

Теперь немного о принципах обработки ПДн. Оператор обрабатывает персональные данные субъекта, при этом он обязан запросить у субъекта разрешение на обработку этих данных, за исключением тех случаев, когда такая обработка предусмотрена иными законами или обрабатываемые данные являются общедоступными (например, телефонный справочник). Субъект также имеет право знать для чего обрабатываются его персональные данные и может запретить их обрабатывать в любое время (за исключением тех случаев, когда их обработка не указана в иных законах). Оператор обязан обеспечить безопасность обрабатываемых данных.
Это не все моменты, но для системного администратора этого достаточно, чтобы обеспечить эту самую “защиту”.

Защита ПДн в информационных системах

Для начала нам нужно понять к какому классу относится наша информационная система. Для этого нужно использовать две характеристики: категория обрабатываемых персональных данных и объём персональных данных.
Категории персональных данных бывают:

4. Обезличенные и (или) общедоступные персональные данные;

3. Персональные данные, позволяющие однозначно идентифицировать субъекта персональных данных;

2. Персональные данные, позволяющие идентифицировать субъект персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

1. Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Объём персональных данных можно разделить на 3 категории:
3. Одновременно обрабатывается данные менее тысячи субъектов;
2. Одновременно обрабатываются данные до ста тысяч субъектов персональных данных или работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;
1. Одновременно обрабатываются персональные данные более чем ста тысяч субъектов персональных данных в пределах субъекта РФ или РФ.

Определяете каким из вышеперечисленных критериям соответствует ваша информационная система и выясняете её класс по следующей таблице:

Категория / Объем

Объем 3

(<1 000,

организация)

Объем 2

(1 000-100 000,

отрасль, город)

Объем1

(>100 000,

субъект Федерации)

Категория 4(обезличенные, общедоступные) Класс 4 Класс 4 Класс 4
Категория 3(идентификационные) Класс 3 Класс 3 Класс 2
Категория 2(идентификационные и еще) Класс 3 Класс 2 Класс 1
Категория 1 (медицинские, социальные) Класс 1 Класс 1 Класс 1

Подробнее можно узнать из приказа ФСТЭК России, ФСБ России, Мининформсвязи России N 55/86/20

Требования к ИСПДн разных классов

Теперь давайте рассмотрим требования к ИСПДн разных классов.
ИСПДн класса 4: Оператор самостоятельно определяет мероприятия для защиты ПДн.
ИСПДн класса 3: Оператор декларирует соответствие или проходит обязательную аттестацию по требованиям безопасности информации. Для распределенных систем ИСПДн К3, получает лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. По решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11).
ИСПДн класса 2 и 1: Оператор проходит обязательную аттестацию по требованиям безопасности информации. Оператором должны быть реализованы мероприятия по защите персональных данных от ПЭМИН (Побочные Электромагнитные Излучения и Наводки, считается, что они могут быть причиной утечки информации).Оператор должен получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем.

Действие оператора по защите персональных данных

Порядок действий при организации ИСПДн с нуля должен быть следующий:

  1. Уведомление уполномоченного органа о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации. Хотя это может спровоцировать органы на проверку вашей организации, поэтому этот момент можно пропустить. Возможно я неправ и за это настучат по голове, но в нашей стране при проверке вам найдут за что настучать по голове и без этого.
  2. Предпроектное обследование вашей инфраструктуры, классификация ИСПДн.
  3. Классификация угроз для вашей ИСПДН.
  4. Разработка ТЗ по обеспечению защиты персональных данных, проектирование систем защиты, реализация и внедрение этих систем.
  5. Назначение ответственных лиц, разработка приказов и инструкций, которые будут регулировать вопросы связанные с защитой ПДн.
  6. Аттестация (сертификация) по требованиям безопасности информации.

В каждой конкретной организации требуется свой комплект документов, в общем случаи для оператора класса 3 можно порекомендовать следующее:
Назначаем ответственного сотрудника, который имеет выход напрямую на руководителя организации (так как именно руководитель несёт ответственность по ФЗ). Данный сотрудник должен иметь возможность изменить бизнес-процессы и внедрять дополнительные средства защиты и т.п.
Затем нужно утвердить перечень обрабатываемых в организации ПДн. Для этого необходимо провести обследование всей информационной системы на предмет выявления обрабатываемых ПДн и их состава.
Есть смысл проанализировать целесообразность обработки всех персональных данных субъекта и возможно перестать обрабатывать некоторые из них для снижения класса ИСПДн или просто для оптимизации. Создать перечень данных, которые обрабатываются в организации и обосновать нормативными актами целесообразность их обработки.
В случае, когда требуется согласие субъекта обеспечить хранение документов подтверждающее это согласие.
Утвердить акт классификации ИСПДн, в нём указать цель обработки персональных данных, их категорию и класс системы.
Для всех систем должна быть разработана модель угроз, можно сказать, что система типовая, но тогда невозможно будет убрать некоторые модели угроз защита от которых не требуется.
Разработать организационно-распорядительные документы – приказы, инструкции, журналы.
Разработать и утвердить декларацию соответствия (для системы класса К3), в которой обосновать соответствие системы требованиям нормативных документов.

В теории достаточными мерами по защите ИСПДн 3 класса (системы кадрового учета и расчета зарплаты) будут считаться следующие действия:

  • Размещение ИСПДн на сервере, физически находящемся в постоянно охраняемом помещении;
  • Обращение к ИСПДн с рабочих мест пользователей в режиме терминального доступа (RDP в Windows);
  • Разграничение доступа пользователей к данным, находящимся на сервере стандартными средствами Windows Server;
  • Локальная сеть сервера и рабочих станций сотрудников, обрабатывающих ПДн физически отделена от остальной сети предприятия и не имеет подключения к Интернет;
  • На рабочих станциях и сервере установлено сертифицированное ФСТЭК программное обеспечение и антивирусные программы;
  • На предприятии определены ответственные за обработку ПДн лица, разработаны и внедрены приказы, инструкции и журналы, регулирующие вопросы защиты персональных данных.

 

Об авторе блога


Дмитрий Кушавин

Персональный блог. IT, безопасность, политика и важные новости.