Вопросы защиты персональных данных

Материалы по теме:

Интегрированные (комплексные) решения по защите персональных данных

Полный перечень средств защиты персональных данных

Услуги в области защиты персональных данных

Для оценки Вашей информационной системы и объема необходимых (обязательных) мер для обеспечения защиты персональных данных на Вашем предприятии, можно узнать, обратившись к нашим специалистам или заполнить предварительную заявку: http://legion-info.ru/form

В 2007 году вступил в силу закон N152-ФЗ «О персональных данных». В сферу действия этого нормативного акта попадают все юридические и физические лица, на попечении которых находятся сведения о других граждан. Закон требует, чтобы каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечила конфиденциальность всей этой информации. С 1 июля 2011 году закон вступил в полную силу, а поправки к закону от 27 июля 2011 года предусматривают ужесточение ответственности организаций за несоблюдение закона.

Вопросы защиты ПД на сегодняшний день регламентируются не только ФЗ о ПД, но и рядом других документов (более детально с перечнем документов и их содержанием можно ознакомиться на сайте Роскомнадзора
http://www.rsoc.ru/chamber-of-commerce/personal-data/ ):

1. Указ Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера".
2. Постановление Правительства РФ от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
3. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
4. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (ФСБ РФ от 21 февраля 2008 года).
5. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСБ РФ от 21 февраля 2008 года).
6. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» 
   (утверждены 15 февраля 2008 г. ФСТЭК).
7. «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008 г. ФСТЭК );
8. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008 г. ФСТЭК );
9. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008 г. ФСТЭК ).

Стоит отметить, что ряд документов, изданных ФСБ РФ и ФСТЭК РФ в 2008 году, имеют пометку "Для служебного пользования" и не подлежат опубликованию в открытых источниках. Для их получения оператор персональных данных должен обратиться в соответствующие органы по своему федеральному округу.
Также вопрос защиты персональных данных нашел отражение и в УК РФ, КоАП РФ, ТК РФ и ряде других ФЗ РФ.

С чего же руководителю предприятия следует начинать свою работу по организации защиты ПД?

Первое: руководитель должен понять, какие персональные данные обрабатываются на его предприятии. В зависимости от состава ПД определяется, нужна ли государственная регистрация системы обработки персональных данных. Разрешается вести обработку персональных данных, не уведомляя уполномоченный орган (Россвязькомнадзор), в следующих случаях:

• при наличии трудовых отношений;
• при заключении договора, стороной которого является субъект персональных данных;
• если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией;
• если персональные данные являются общедоступными;
• если персональные данные включают в себя только фамилии, имена и отчества субъектов;
• при оформлении пропусков;
• если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и ­общественного порядка;
• если персональные данные обрабатываются без использования средств автоматизации.

Во всех остальных случаях предприятию придется пройти уведомительную гос регистрацию.

Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны заранее уведомлять об этом уполномоченный орган (статья 22 ФЗ о ПД), который будет вести учет операторов в специальном реестре. Уполномоченным органом, согласно статье 23, является Россвязькомнадзор, который в настоящее время осуществляет «функции по контролю и надзору в сфере информационных технологий и связи». Для того, чтобы быть включенной в Реестр, организация должна подать в территориальный орган Россвязькомнадзора соответствующее уведомление по образцу, утвержденному Приложением к Приказу Россвязькомнадзора от 17 июля 2008 г. № 08. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными, как будет производиться их защита. В дальнейшем любые изменения в отношении обработки персональных данных в обязательном порядке также должны ­сообщаться в уполномоченный орган.
По закону оператор персональных данных, подавший правильно оформленное       Уведомление, должен быть включен в Реестр операторов, осуществляющих обработку персональных данных в 30-дневный срок. Если же в Уведомлении содержится неполная или недостоверная информация, то  Россвязькомнадзор письмом потребует привести ее в соответствие с требованиями законодательства. Информацию о своем включении в Реестр оператор персональных данных, подавший Уведомление, может получить в базе данных на сайте Россвязькомнадзора. (стоит отметить, что за не предоставления уведомления предусмотрены штрафные санкции)

Не зависимо от необходимости получения уведомления на предприятии где происходит обработка ПДн должно быть разработано и утверждено «Положение о защите ПДн на предприятии». В нем оговаривается весь процесс получения, хранения, обработки, передачи и защиты ПДн, назначаются ответственные за это должностные лица. Положение доводится под роспись до всех работников предприятия. Необходимо напомнить, что согласно закона работники должны дать письменное разрешение на работу со своими персональными данными, по этому целесообразно после введения «Положения…» в действие собрать с работников подписи об их согласии, а в дальнейшем включить разрешающую запись в бланк трудового договора.

Итак, мы определили состав ПД и порядок работы с ними, назначили ответственных.
Теперь, для написания «Положения…», нам необходимо разобраться с составом средств защиты ПД.
Для определении мер и средств защиты ПД необходимо руководствоваться Приказами ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных". В нем определены классы защиты ПДн по уровням. Здесь стоит обратить внимание, что определенные виды работ могут быть выполнены только при наличии лицензии (http://legion-info.ru/news/51-news/200-to-a-question-of-reception-of-license-of-russia)

Более подробнее с порядком проведения классификации информационных систем персональных данных можно ознакомиться здесь >>>

В основном, большинство предприятий, попадают в класс защиты К3, т.е. на предприятии численностью до 1000 человек хранится и обрабатывается информация о ФИО, адресах, образовании и финансах работников. По данному классу защиты необходимо принять меры административного и технического характера:

- административного характера:

• определение круга лиц допущенного к обработке ПДн, распределение их должностных обязанностей;
• организацию учета носителей, содержащих персональные данные, с регистрацией их выдачи/приема;
• организацию физической охраны информационной системы и носителей информации, ограничение доступа в помещения где производится работа с ПДн;

В основном, все эти мероприятия, мы должны определить в «Положении…».

- меры технического характера:

• определение структуры построения средств автоматизированной системы и необходимости подключения к сети общего доступа (Интернет);
• определение аппаратно- программных средств защиты ПД, сертифицированных ФСТЭК или ФСБ.

Руководящие документы по защите информации налагают следующие требования по аппаратно- программным средствам защиты:

• идентификацию и аутентификацию пользователей;
• управление доступом к защищаемой информации;
• регистрацию в журналах аудита входа (выхода) в систему/из системы;
• проверку целостности программных средств защиты информации от несанкционированного доступа;
• периодическое тестирование системы защиты персональных данных;
• механизмы восстановления системы защиты персональных данных;
• антивирусную защиту информационной системы.

Что мы готовы предложить для обеспечения защиты ПД на рассмотренном выше предприятии?

Это в первую очередь интегрированный пакет Crypton Personal 1.1. Он подходит для предприятий с численностью работников до 1000 человек, где не обрабатываются данные 1 категории (о состоянии здоровья, любви, расовой принадлежности) и ПД обрабатываются строго ограниченным кругом лиц, имеющим одинаковые права на доступ к информации. В состав интегрированного пакета Crypton Personal 1.1 входят следующие средства: USB-брелок «РУТОКЕН» и программа Crypton Lock. Эти средства позволяют решить следующие задачи:

- произвести авторизацию пользователя при входе в операционную систему, его программно- аппаратную аутентификацию и учет работы в системе;

- организовать защиту информации и защищенные соединения при доступе к информации;

- позволяет хранить персональную информацию пользователей (пароли, ключи, цифровые сертификаты, ЭЦП и т.д);

- автоматически провести проверку целостности средства защиты информации.

Данные средства защиты имеют сертификаты ФСБ и ФСТЭК и позволяют в полном объемы защитить информацию на АС. Стоимость такого комплекта 1430 рублей за одно рабочее место.
Для предприятий с численностью свыше 1000 человек, а также для желающих усилить защиту ПД мы можем рекомендовать интегрированный пакет Crypton Personal 1.2.
В состав пакета, помимо вышеперечисленных средств, входит система Crypton ArcMail, которая обеспечивает конфиденциальность, проверку авторства и целостности файлов, каталогов и областей памяти. Crypton ArcMail в едином сервисе предоставляет функции архивирования, электронной цифровой подписи (ЭЦП) и шифрования информации, создает подписанный и/или зашифрованный архив, который можно отправлять адресату (адресатам) по открытым каналам связи, в т.ч. по сети Интернет.
Стоимость такого интегрированного пакета 2530 рублей за одно рабочее место.
Если же в вашей системе пользователи имеют разные права на работу с информацией, то придется использовать более мощный по возможностям (и более дорогой по стоимости) интегрированный пакет Crypton Personal 2.1.
В состав такого пакета входит аппаратное средство «КРИПТОН-ЗАМОК/К» (электронный ключ) и программный комплекс разграничения доступа пользователей «КРИПТОН-Щит». Данный комплекс позволяет распределить работу с ПД не только среди пользователей, но и среди самих средств на которых происходит обработка (ПК, принтеры, диски, флешки и т.п.). Интегрированный пакет Crypton Personal 2.1 имеет более мощную защиту. Стоимость такого пакета 9490 рублей за одно рабочее место.
Обращаем внимание, что все выше перечисленные средства можно использовать только в том случае, если ПЭВМ, на которых производится обработка информации, не имеют подключения к сетям общего доступа (Интернет).

В случае, если возникает необходимость использования сетей общего доступа, необходимо принять более серьезные меры защиты. Здесь, мы готовы предложить Вам, проведение консультаций, для разработки схем и методов защиты Ваших персональных данных на основе других разработок наших партнеров ООО Фирмы «АНКАД». Средства и методы защиты в этом случае будут подбираться индивидуально, непосредственно под Вашу информационную систему.