Вопросы защиты персональных данных

Материалы по теме:
Интегрированные (комплексные) решения по защите персональных данных
Полный перечень средств защиты персональных данных
Услуги в области защиты персональных данных


 

В 2007 году вступил в силу закон N152-ФЗ «О персональных данных». В сферу действия этого нормативного акта попадают все юридические и физические лица, на попечении которых находятся сведения о других граждан. Закон требует, чтобы каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечила конфиденциальность всей этой информации. Хотя для организаций, обрабатывающих персональные данные граждан, предусмотрена отсрочка в выполнении требований ФЗ до 1 января 2010 года, бизнесу и госструктурам необходимо во всю готовиться к реализации положений закона.

Вопросы защиты ПД на сегодняшний день регламентируются не только ФЗ о ПД, но и рядом других документов:

1. Указ Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера".
2. Постановление Правительства РФ от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
3. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
4. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (ФСБ РФ от 21 февраля 2008 года).
5. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСБ РФ от 21 февраля 2008 года).
6. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных»
   (утверждены 15 февраля 2008 г. ФСТЭК).
7. «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008 г. ФСТЭК );
8. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008 г. ФСТЭК );
9. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008 г. ФСТЭК ).

Стоит отметить, что ряд документов, изданных ФСБ РФ и ФСТЭК РФ в 2008 году, имеют пометку "Для служебного пользования" и не подлежат опубликованию в открытых источниках. Для их получения оператор персональных данных должен обратиться в соответствующие органы по своему федеральному округу.
Также вопрос защиты персональных данных нашел отражение и в УК РФ, КоАП РФ, ТК РФ и ряде других ФЗ РФ.

С чего же руководителю предприятия следует начинать свою работу по организации защиты ПД?

Первое: руководитель должен понять, какие персональные данные обрабатываются на его предприятии. В зависимости от состава ПД определяется, нужна ли государственная регистрация системы обработки персональных данных. Разрешается вести обработку персональных данных, не уведомляя уполномоченный орган, в следующих случаях:

• при наличии трудовых отношений;
• при заключении договора, стороной которого является субъект персональных данных;
• если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими
• общественным объединением или религиозной организацией;
• если персональные данные являются общедоступными;
• если персональные данные включают в себя только фамилии, имена и отчества субъектов;
• при оформлении пропусков;
• если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и ­общественного порядка;
• если персональные данные обрабатываются без использования средств автоматизации.

Во всех остальных случаях предприятию придется пройти уведомительную гос регистрацию.

Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны заранее уведомлять об этом уполномоченный орган (статья 22 ФЗ о ПД), который будет вести учет операторов в специальном реестре. Уполномоченным органом, согласно статье 23, является Россвязькомнадзор, который в настоящее время осуществляет «функции по контролю и надзору в сфере информационных технологий и связи». Для того, чтобы быть включенной в Реестр, организация должна подать в территориальный орган Россвязькомнадзора соответствующее уведомление по образцу, утвержденному Приложением к Приказу Россвязькомнадзора от 17 июля 2008 г. № 08. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными, как будет производиться их защита. В дальнейшем любые изменения в отношении обработки персональных данных в обязательном порядке также должны сообщаться в уполномоченный орган.

По закону оператор персональных данных, подавший правильно оформленное Уведомление, должен быть включен в Реестр операторов, осуществляющих обработку персональных данных в 30-дневный срок. Если же в Уведомлении содержится неполная или недостоверная информация, то Россвязькомнадзор письмом потребует привести ее в соответствие с требованиями законодательства. Информацию о своем включении в Реестр оператор персональных данных, подавший Уведомление, может получить в базе данных на сайте Россвязькомнадзора.

Не зависимо от необходимости получения уведомления на предприятии где происходит обработка ПД должно быть разработано и утверждено «Положение о защите ПД на предприятии». В нем оговаривается весь процесс получения, хранения, обработки, передачи и защиты ПД, назначаются ответственные за это должностные лица. Положение доводится под роспись до всех работников предприятия. Необходимо напомнить, что согласно закона работники должны дать письменное разрешение на работу со своими персональными данными, по этому целесообразно после введения «Положения…» в действие собрать с работников подписи об их согласии, а в дальнейшем включить разрешающую запись в бланк трудового договора.

Итак, мы определили состав ПД и порядок работы с ними, назначили ответственных.

Теперь, для написания «Положения…», нам необходимо разобраться с составом средств защиты ПД.

Для определении мер и средств защиты ПД необходимо руководствоваться Приказами ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".

В нем определены классы защиты ПД по следующим уровням:

В основном, большинство предприятий, попадают в класс защиты К3, т.е. на предприятии численностью до 1000 человек хранится и обрабатывается информация о ФИО, адресах, образовании и финансах работников. По данному классу защиты необходимо принять меры административного и технического характера:

- административного характера:

• определение круга лиц допущенного к обработке ПД, распределение их должностных обязанностей;
• организацию учета носителей, содержащих персональные данные, с регистрацией их выдачи/приема;
• организацию физической охраны информационной системы и носителей информации, ограничение доступа в помещения где производится работа с ПД;

В основном, все эти мероприятия, мы должны определить в «Положении…».

- меры технического характера:

• определение структуры построения средств автоматизированной системы и необходимости подключения к сети общего доступа (Интернет);
• определение аппаратно- программных средств защиты ПД, сертифицированных ФСТЭК или ФСБ.

Руководящие документы по защите информации налагают следующие требования по аппаратно- программным средствам защиты:

• идентификацию и аутентификацию пользователей;
• управление доступом к защищаемой информации;
• регистрацию в журналах аудита входа (выхода) в систему/из системы;
• проверку целостности программных средств защиты информации от несанкционированного доступа;
• периодическое тестирование системы защиты персональных данных;
• механизмы восстановления системы защиты персональных данных; 
• антивирусную защиту информационной системы.

Это в первую очередь интегрированный пакет Crypton Personal 1.1. Он подходит для предприятий с численностью работников до 1000 человек, где не обрабатываются данные 1 категории (о состоянии здоровья, любви, расовой принадлежности) и ПД обрабатываются строго ограниченным кругом лиц, имеющим одинаковые права на доступ к информации. В состав интегрированного пакета Crypton Personal 1.1 входят следующие средства: USB-брелок  «РУТОКЕН» и программа  Crypton Lock. Эти средства позволяют решить следующие задачи:

-         произвести авторизацию пользователя при входе в операционную систему, его программно- аппаратную аутентификацию и учет работы в системе;

-         организовать защиту информации и защищенные соединения при доступе к информации;

-         позволяет хранить персональную информацию пользователей (пароли, ключи, цифровые сертификаты,  ЭЦП и т.д);

-         автоматически провести проверку целостности средства защиты информации.

Данные средства защиты имеют сертификаты ФСБ и ФСТЭК и позволяют в полном объемы защитить информацию на АС. Стоимость такого комплекта 1430 рублей за одно рабочее место.

Для предприятий с численностью свыше 1000 человек, а также для желающих усилить защиту ПД мы можем рекомендовать интегрированный пакет Crypton Personal 1.2.

В состав пакета, помимо вышеперечисленных средств, входит система  Crypton ArcMail, которая  обеспечивает конфиденциальность, проверку авторства и целостности файлов, каталогов и областей памяти. Crypton ArcMail в едином сервисе предоставляет функции архивирования, электронной цифровой подписи (ЭЦП) и шифрования информации, создает подписанный и/или зашифрованный архив, который можно отправлять адресату (адресатам) по открытым каналам связи, в т.ч. по сети Интернет.

Стоимость такого интегрированного пакета 2530 рублей за одно рабочее место.

Если же в вашей системе пользователи имеют разные права на работу с информацией, то придется использовать более мощный по возможностям (и более дорогой по стоимости) интегрированный пакет Crypton Personal 2.1.

В состав такого пакета входит аппаратное средство «КРИПТОН-ЗАМОК/К» (электронный ключ)  и программный комплекс разграничения доступа пользователей «КРИПТОН-Щит». Данный комплекс позволяет распределить работу с ПД не только среди пользователей, но и среди самих средств на  которых происходит обработка (ПК, принтеры, диски, флешки и т.п.).  Интегрированный пакет Crypton Personal 2.1 имеет более мощную защиту.  Стоимость такого пакета 9490 рублей за одно рабочее место.

Обращаем внимание, что все выше перечисленные средства можно использовать только в том случае, если ПЭВМ, на которых производится обработка информации, не имеют подключения к сетям общего доступа (Интернет).

В случае, если возникает необходимость использования сетей общего доступа, необходимо принять более серьезные меры защиты. Здесь, мы готовы предложить Вам, проведение консультаций, для разработки схем и методов защиты Ваших персональных данных на основе других разработок ООО Фирмы «АНКАД». Средства и методы защиты в этом случае будут подбираться индивидуально, непосредственно под Вашу информационную систему.

Согласно ст. 24 Федерального Закона «О персональных данных» на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность.

На настоящий момент административная ответственность для операторов предусмотрена:

• за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ, на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.);
• за разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей).
• за отказ в представлении, несвоевременное представление, предоставление неполной,  или заведомо недостоверной информации гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина (ст. 5.39 КоАП РФ в размере от пятисот до одной тысячи рублей);

Преступлениями, влекущими за собой уголовную ответственность, являются:

• незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ, наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев);
• неправомерный отказ должностного лица в представлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ, аказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет);
• неправомерный доступ к охраняемой законом компьютерной информации, содержащейся на машинном носителе, в электронно-вычислительной машине, системе ЭВМ или сети, если это деяние повлекло за собой уничтожение, блокировку, модификацию, либо копирование информации, нарушение работы ЭВМ, системы или  сети (ст. 272 УК РФ наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет).

По уведомлению Россвязькомнадзора (для тех кого касается).

В соответствии со статьей 19.7 КоАП  невыполнение данного требования влечет наложение административного штрафа  на должностных лиц  - от  трехсот до пятисот рублей; на юридических лиц -  от трех до пяти тысяч рублей.

Для системных интеграторов наши специалисты готовы предложить проведение семинаров с их заказчиками. Главная цель семинара заключается в том, чтобы помочь руководителям организаций и предприятий, непосредственно отвечающих за защиту информации организовать обработку персональных данных в соответствии с требованиями российского законодательства.