Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Защита информации и информационная безопасность ФСТЭК». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Составить список мероприятий, направленных на поддержание защищенности ИСПДн, не так просто, как может показаться на первый взгляд, так как необходимо брать в расчет категории ПДн и способы их хранения. Если сведения находятся в бумажном виде (заявления, договоры, свидетельства и т.д.), то основной акцент делается на ограничение и контроль физического доступа. Фактически достаточно выделить средства на покупку надежного сейфа и определить круг лиц, у которых будет ключ. В отношении данных, которые находятся в электронном формате, требований больше. Для начала придется разобраться с имеющимся типом угрозы, затем выбрать соответствующий уровень защищенности (всего их 4) и только потом прорабатывать конкретный перечень мер безопасности.
Основные этапы защиты ПДн
Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:
-
обследование;
-
моделирование угроз;
-
разработка технического задания;
-
проектирование системы защиты;
-
реализация технической части системы защиты;
-
реализация организационных мер;
-
оценка эффективности принятых мер;
-
аттестация;
-
поддержание необходимого уровня защиты в процессе эксплуатации.
Перечень мер по защите персональных данных
В зависимости от особенностей реализации различают две группы защитных мероприятий: внешние и внутренние. К первым относится разработка процедуры приема и учета посетителей организации, введение пропускной системы и технических средств, а также специализированного софта, позволяющего уберечь цифровые данные от несанкционированной обработки. Вторые связаны с регулированием деятельности в сфере ПДн внутри организации и включают:
- установление ограничений по доступу персонала к личным сведениям;
- выбор ответственного за безопасность ПДн лица;
- составление и утверждение локальных документов;
- информирование персонала о требованиях по работе с цифровыми или бумажными персональными данными;
- планирование правильного расположения рабочих мест;
- создание списков работников, которые могут находиться в помещениях с носителями ПДн;
- установление порядка уничтожения конфиденциальных сведений;
- интеграция механизмов контроля, профилактики и противодействия компьютерным атакам.
Особенности технической защиты ПДн
Если раньше основные усилия приходилось прилагать, чтобы ограничить физический доступ к носителям конфиденциальной информации, то сейчас на первый план выступают технические меры защиты персональных данных. При работе с большими массивами ПДн заниматься их разработкой и интеграцией должны профессионалы, чтобы гарантировать достижение следующих целей:
- предупреждение незаконного применения, распространения и изменения сведений о гражданах;
- исключение риска утечки на всех этапах обработки, начиная от получения, заканчивая хранением и уничтожением;
- не дать секретным данным попасть в распоряжение третьих лиц без согласия владельца.
Различают следующие группы методов защиты ПДн:
- Пассивные — наиболее затратные как с точки зрения финансовых вложений, так и в плане времени. К ним относит обработку звуконепроницаемыми материалами, монтаж ограждений и других защитных конструкций, установку высокопрочных дверных и оконных систем, а также использование ЖБИ конструкций, позволяющих свести к минимуму вероятность взлома. Радикальные способы, несмотря на эффективность, используются преимущественно частично, поскольку не всегда есть средства и техническая возможность создать нужные условия для работы с ПДн. С другой стороны, есть более дешевые и достаточно результативные варианты обеспечения защиты, например, инсталляция модернизированной запорной арматуры, распределительных электрощитов и фильтров электросетей.
- Активные — совокупность средств, позволяющих защищать ПДн в ИСПДн, зона которой распространяется за пределы площади объекта. Их также применяют, если пассивные СЗИ реализовать экономически крайне невыгодно либо невозможно с технической точки зрения. Речь идет, прежде всего, о линейном и пространственном зашумлении, генераторах шума и импульсов (позволяют нейтрализовать всевозможные жучки), системы ультразвукового либо электромагнитного подавления диктофонов.
- Комбинированные (считаются в равной степени активными и пассивными). К ним относятся звукоусилители и звукоизоляционные устройства, пульты ДУ в защищенной модификации, микрофоны, антижучки и шумогенераторы, индикаторы магнитного поля, сетевые фильтры с опцией подавления помех, а также узкоспециализированная аппаратура, которая делает безопасной передачу информации по цепям заземления, виброакустическим и акустическим каналам.
- Организационные — проверочные мероприятия для обнаружения линий и каналов связи, определение степени текущей защищенности ИСПДн, выявление утечек, интеграция средств уничтожения сведений.
Между собой технические методы разделяются по принципу действия на:
- аппаратные (пассивные, активные);
- программные (все, что связано с обеспечением шифрования информации);
- физические — не дают человеку проникнуть непосредственно в место расположения персональных сведений.
Организация защиты персональных данных
Для защиты персональных данных применяют различные возможности:
-
Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.
Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.
- Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
- Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
План мероприятий по защите персональных данных — образец составления
Представляем вниманию читателя актуальный образец плана:
ООО «Крымские травы»
Утверждаю
Генеральный директор ООО «Крымские травы»
Пенеров С. М.
План мероприятий по защите персональных данных
Мероприятие |
Периодичность, срок исполнения |
Исполнитель / ответственное лицо |
Отметка об исполнении |
Внутренняя проверка текущего состояния системы защиты ПДн |
Разовое, до 01.10.2017 |
Заместитель генерального директора по развитию Васечкин А. Е.; руководители структурных подразделений |
|
Определение круга лиц, имеющих доступ к работе с ПДн |
Разовое, до 01.10.2017 |
Генеральный директор Пенеров С. М., старший инспектор отдела кадров Петрова А. Б. |
|
Определение уровня доступа и степени ответственности лиц, работающих с ПДн |
Разовое, до 07.10.2017 |
Генеральный директор Пенеров С. М., старший инспектор отдела кадров Петрова А. Б. |
|
Разработка и утверждение внутренней рабочей документации по списку (приложение А) |
Разовое, до 20.10.2017 |
Заместитель генерального директора по развитию Васечкин А. Е., старший инспектор отдела кадров Петрова А. Б, специалист отдела защиты информации Падеров С. А. |
|
Ознакомление уполномоченных сотрудников с положениями разработанных документов, регламентирующих порядок работы с ПДн |
По мере необходимости |
Старший инспектор отдела кадров Петрова А. Б. |
|
Требования к информационным системам персональных данных
Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.
Помимо этого, детализированные требования по защите персональных данных установлены, в частности:
- приказом ФСТЭК № 21 от 18.02.2013 г;
- приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).
Обеспечение безопасности персональных данных при их обработке
Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:
– получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;
– привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;
– отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;
– устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.
Система защиты персональных данных призвана обеспечить охрану находящейся в распоряжении организации информации, относящейся к конкретным физическим лицам. Это не только анкетные данные, но и сведения о здоровье, финансовом состоянии. Эти данные представляют собой информационный актив, на который могут осуществляться покушения со стороны разнообразных субъектов. Среди основных угроз безопасности:
- конкуренты конкретной компании, желающие нанести ей ущерб;
- международные кибертеррористические организации, заинтересованные в утечках персональных данных в целях обеспечения собственного пиара;
- инсайдеры, сотрудники компании, руководствующиеся своими целями или действующие по чужим поручениям.
В большинстве случаев утечки носят внутренний характер, наиболее частым риском становится предоставление сотрудником персональных данных других лиц своему знакомому по его запросу вне профессиональных отношений. Как показывает судебная практика, иногда утечка персональных данных одного человека может причинить больший репутационный и финансовый вред, чем случайная, вызванная несовершенством программного обеспечения и каналов коммуникаций утрата большого массива данных. Все это приводит к необходимости разработки собственной информационной системы защиты персональных данных.
Согласно требованиям нормативно-правовых актов, для СЗПД компаний выделяется несколько уровней безопасности, обусловливающих применение тех или иных средств защиты. Всего их четыре:
- максимальный;
- высокий;
- средний;
- низкий.
В целях упрощения указания уровней в технической документации они маркируются литерами «У» с цифрой, означающей класс защиты: 1 – наиболее высокий, 4 – низкий. Для каждого оператора требованиями устанавливается свой уровень защиты. Его выбор определяется, исходя из следующих характеристик:
- количества субъектов, чьи данные подлежат обработке;
- класса и степени ценности обрабатываемой информации;
- используемых видов обработки, выбранных из перечня, установленного законом;
- актуальности и типа угроз.
Учет этих параметров помогает разработать эффективную систему мер, способную справиться с угрозами сохранности данных всех предполагаемых уровней. В выборе класса средств можно сориентироваться, изучив п. 4-16 Постановления Правительства № 1119. Оператор разрабатывает систему безопасности персональных данных и выбирает меры и средства или самостоятельно, или привлекая специализированную организацию. Такая компания должна иметь лицензию, позволяющую ей заниматься разработкой и внедрением СЗПД. При выстраивании отношений с такой организацией особое внимание необходимо уделить документированию поставки всех элементов системы по защите персональных данных, наличию как эксплуатационной, так и финансовой документации. Оба эти момента могут стать объектом проверки, проводимой Роскомнадзором или ФСТЭК.
Инвентаризация/обследование информационных систем ПДн в организации
Основной задачей инвентаризации/обследования инфор-мационных систем является выявление ИС, в которых осущест- иляется обработка персональных данных (например, система бухгалтерского учета, кадровый учет, система взаимоотношений с клиентами, биллинговая система и т. п.).
ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Если в небольшой организации, скорее всего, создана одна информационная система ПДн, в крупных — таких систем будет несколько, причем обрабатываемые в них данные могут относится к различным категориям.
Как показывает практика внедрение мер по защите ПДн без предварительного анализа и оптимизации процессов обработки ПДн может привести к неоправданному удорожанию системы защиты ПДн. Оптимизация процессов обработки позволяет не только снизить стоимость работ по организации защиты персональных данных, но и повысить эффективность бизнес- процессов Заказчика.
Обследование ИСПДн включает:
■ обследование персональных данных обрабатываемых в ИСПДн;
■ обследование и анализ ИТ-инфраструктуры ИСПДн;
■ изучение и анализ процедур обработки ПДн;
■ обследование и анализ применяемых средств защиты информации;
■ использование антивирусных программ и т. п.
При проведении обследования может быть рекомендовано составление опросных листов, учитывающих специфику дея-тельности оператора, проведение анализа полученной информации с целью возможного понижения класса ИСПДн, выявление бизнес-процессов, анализ организационной структуры и т. п
Вид информационной системы
По типу информационные системы делятся на типовые и специальные. Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных, а специальные ин-формационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности: защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий.
Как правило, в информационных системах, которые ведутся с целью кадрового, бухгалтерского, управленческого учета, важно обеспечить не только конфиденциальность, но и защищенность от уничтожения и изменения. Следовательно, подавляющее большинство информационных систем следует рассматривать в качестве специальных.
К специальным информационным системам должны быть отнесены:
■ информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
■ информационные системы, в которых предусмотрено принятие на основании исключительно автоматизиро-ванной обработки персональных данных решений, по-рождающих юридические последствия в отношении субъекта персональных данных или иным образом за-трагивающих его права и законные интересы.
Для специальных ИСПДн требуется провести работу по моделированию возможных угроз.
Формирование Модели угроз безопасности персональных данных является необходимым этапом в создании системы защиты персональных данных согласно пп. 12а Постановления Правительства РФ от 17 ноября 2007 г.
№781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». При этом модель угроз позволит применять именно те контрмеры, которые актуальны для условий использования защищаемой системы.
ФСТЭК России и ФСБ России разработаны следующие методические документы, определяющие порядок формирования модели угроз:
■ Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 15.02.2008 г.
■ Методика определения актуальных угроз безопасности персональных данных при их обработке в инфор-мационных системах персональных данных. ФСТЭК России, 14.02.2008 г.
■ Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21.02.2008 г, № 149/54-144.
Исходные данные для определения актуальных угроз формируются на основе перечней источников угроз (опрос), уязвимых звеньев ИС (опрос и сканирование сети) и, наконец, перечня технических каналов утечки (обследование ИС). Порядок определения актуальных угроз безопасности ПД в ИСПДн предусматривает следующие этапы:
■ оценка (на основе опроса и анализа) уровня исходной защищенности ИСПДн (высокий, средний, низкий);
■ экспертная оценка частоты (вероятности) реализации угрозы (маловероятная, низкая, средняя, высокая);
■ определение актуальных угроз (путем исключения не-актуальных угроз по определенному алгоритму, опи-санному в методике).
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз на основе Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного Приказом ФСТЭК России от 05.02.2010 №58 формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
Ответственность и риски за неисполнение требований закона
При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.
Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению компании и(или) ее руководителя к административной или иным видам ответственности, а при определенных условиях – к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152):
- Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);
- Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
- Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).