Рейтинг@Mail.ru

ТЕОРЕТИЧЕСКИЕ И ПРАКТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Чефранова А.О.

Липецкий государственный педагогический университет

задать вопрос автору

В данном докладе рассмотрены особенности применения федерального закона "О персональных данных", который определяет необходимость защиты информационных систем персональных данных, в частности, рекомендован определенный порядок проведения работ по защите информационных систем персональных данных, выбор средств защиты, порядок построения системы защиты персональных данных.

Защита персональных данных является одной из важнейших задач системы обеспечения информационной безопасности в организации любого масштаба и любой организационно-правовой формы. Нарушение режима конфиденциальности имеющихся в организации данных клиентов, сотрудников, обслуживаемых граждан является само по себе серьёзнейшим инцидентом информационной безопасности, создающим многочисленные риски.

Уже сейчас ясно, что мероприятия по обеспечению безопасности обработки персональных данных являются технически сложными, требуют высокой квалификации исполнителей, специальных знаний, глубокого понимания функциональности как приложений, обрабатывающих персональные данные, так и средств защиты информации. Именно поэтому нормативные документы регуляторов предусматривают лицензирование деятельности операторов персональных данных по технической защите конфиденциальной информации.

Независимо от того, кто будет выполнять работы по обеспечению безопасности обработки персональных данных (ПДн), первые шаги достаточно очевидны.

Необходимо:

1) выявить все информационные системы, обрабатывающие персональные данные (ИСПДн);

2) классифицировать все выявленные ИСПДн;

3) сформировать и актуализировать для каждой из них или групп однотипных систем модель угроз [1].

При этом важно понимать, что определение границ ИСПДн и их классификация - задачи неформальные, требующие понимания бизнес-процессов. Ключевыми моментами на этапе сбора и анализа исходных данных по ИСПДн являются определение целей обработки персданных и формирование перечня ПДн (определение состава сведений, отнесенных к такой категории).

Необходимо помнить, что должная защита информационной системы будет обеспечиваться только в случае соблюдения всех установленных законодательством требований. Так же этому способствует внедрение только сертифицированных продуктов, как программных, так и аппаратных. На российском рынке представлено множество таких продуктов, всвязи с чем оператору предоставляется широкий выбор.

Вне зависимости от того, привлекает ли организация для проведения работ, связанных с выполнением требований федерального закона № 152-ФЗ «О персональных данных», специализированную стороннюю организацию или строит систему защиты самостоятельно, она должна решить следующие основные задачи.

Определение области внедрения. Должны быть определены объекты, структурные подразделения, автоматизированные системы и процессы, в границах которых будут осуществляться мероприятия по реализации требований закона к порядку обработки персональных данных.

Назначение ответственных. Должно быть определено структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн.

Разработка и утверждение перечня персональных данных. Необходимо определить состав обрабатываемых ПДн, цели и условия обработки, сроки хранения ПДн различных категорий. Перечень обрабатываемых в ИСПДн персональных данных должен быть утверждён приказом руководителя.

Установление необходимого уровня правоотношений между оператором и субъектом персональных данных. Согласие субъекта на обработку его ПДн должно быть при необходимости получено, в том числе и в письменной форме. В целях обеспечения максимальной юридической чистоты в вопросах соблюдения прав субъектов персональных данных и во избежание инцидентов, связанных с нарушением этих прав, порядок реагирования на запросы со стороны субъектов персональных данных, внесения изменений в ПДн, а также условия прекращения обработки ПДн должны быть также определены документально в соответствующих приказах, инструкциях и процедурах, определяющих в том числе степень участия должностных лиц в обработке ПДн и характер их взаимодействия между собой.

Выделение и классификация ИСПДн. ИСПДн, подлежащие защите, должны быть однозначно идентифицированы как совокупности конкретных технических средств, размещенных внутри конкретных контролируемых зон и предназначенных для обработки конкретных категорий ПДн с конкретными целями. Должна быть проведена их классификация. На каждую ИСПДн должен быть оформлен отдельный Акт классификации.

Разработка модели угроз и требований к системе защиты. Разработка модели угроз входит в состав мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах, предусмотрена методическими документами ФСТЭК России и ФСБ России в качестве обязательной меры для специальных ИСПДн. Модель угроз разрабатывается в соответствии с методическими документами ФСТЭК России и ФСБ России.

Проектирование и создание ИСПДн (СЗПДн). В каждой информационной системе, предназначенной для обработки ПДн, должна быть спроектирована и создана система защиты персональных данных, соответствующая требованиям руководящих и нормативно-методических документов ФСТЭК России и ФСБ России по защите информации. Порядок проектирования определяется рядом государственных стандартов и руководящих документов ФСТЭК России.

Подтверждение соответствия ИСПДн (СЗПДн) требованиям к безопасности ПДн.

Предусматриваются различные способы оценки соответствия в зависимости от характеристик объекта оценки (техническое средство, программное обеспечение, средство защиты информации, система в целом) и целей проведения оценки. В соответствующих разделах настоящего документа рассматриваются такие виды оценки, как аттестация и декларирование соответствия.

Обеспечение контроля над обеспечением уровня защищённости ПДн. После проведения оценки соответствия и ввода в действие ИСПДн с внедрённой в её состав системой защиты персональных данных должно быть обеспечено выполнение всех требований по защите при её эксплуатации. С этой целью в организации организовывается и проводится периодический контроль эффективности применяемых мер защиты, в том числе с применением специальных сертифицированных средств контроля.

Направление уведомления о начале обработки персональных данных. Выполнив все установленные требования к СЗПДн в своей информационной системе, оператор получает право начать обработку персональных данных. До начала обработки он обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор). Порядок уведомления, содержание представляемых материалов, а также случаи, когда разрешается осуществлять обработку ПДн без уведомления уполномоченного органа, определены в законе (статья 22, [2]).

При построении системы защиты ПДн необходимо учитывать огромное количество аспектов, выделим для примера, аспекты использования криптографических средств защиты, применение которых обосновано в следующих ситуациях:

Отметим, что защита персональных данных это не одиночный процесс с применением одного-двух средств защиты, а целый комплекс мер организационных, правовых, инженерных, технических и в том числе криптографических средств.

Литература

  1. Чефранова А.О. Защита персональных данных и другой конфиденциальной информации с помощью криптографических средств.- Москва: Издательство “11-формат”, 2009. – 154 с.
  2. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных".