Система законодательства о защите персональных данных.
Сегодня в России трудно найти компанию, где работа с персональными данными осуществлялась бы по старинке, то есть без использования информационных технологий. Данные о сотрудниках компании, клиентах, партнерах обрабатываются в различных информационных системах: бухгалтерского и кадрового учета, документооборота, ERP и CRM...
В соответствии с отечественным и международным законодательством, вошедшим в правовую систему России, персональные данные подлежат обязательной защите.
Эта статья посвящена обзору актуальных требований в сфере защиты подобных данных, а также возможных подходов к обеспечению их безопасности.
Актуальность решения задачи защиты персональных данных
Ведение любого бизнеса сопряжено с различными рисками: операционными, финансовыми, кредитными. В отдельную категорию принято выделять риски, связанные с регулирующими органами. Сюда относится и риск несоблюдения установленных правил защиты персональных данных. Какую же стратегию снижения такого риска стоит выбрать? Можно считать, что для крупного и среднего бизнеса оптимальным является снижение риска путем построения (начала работ по построению) системы обеспечения безопасности персональных данных либо совершенствование корпоративной системы информационной безопасности для сегмента информационной системы (ИС), в которой осуществляется обработка персональных данных с учетом законодательных требований. Такая стратегия может оказаться предпочтительной, если исходить из следующих фактов. Во-первых, негативные последствия для бизнеса в случае допущения грубых нарушений в вопросе защиты персональных данных могут быть крайне тяжелыми — одним из наихудших, но вполне реальных сценариев возможного развития событий является административное приостановление деятельности организации от нескольких дней до 90 суток. А во-вторых, следует отметить, что в планах регулирующих органов на 2009 год вопросам проведения государственного контроля за соблюдением требований в области защиты персональных данных уделено достаточно большое внимание.
Законодательство РФ в сфере защиты персональных данных
Сегодня день иерархию документов, регламентирующих вопросы защиты персональных данных при их автоматизированной обработке в информационных системах, можно представить следующим образом.
- Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных".
- Федеральный закон от 19 декабря 2005 года № 160-ФЗ "О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
- Указ Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера".
- Постановление Правительства РФ от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
- Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
- Нормативно-методический документ (НМД) ФСТЭК России "Основные мероприятия по организации..." от 15 февраля 2008 года.
- НМД ФСТЭК России "Рекомендации по обеспечению безопасности..." от 15 февраля 2008 года.
- НМД ФСТЭК России "Базовая модель угроз безопасности..." от 15 февраля 2008 года.
- НМД ФСТЭК России "Методика определения актуальных угроз безопасности..." от 15 февраля 2008 года.
Стоит отметить, что четыре документа, изданных ФСТЭК России в феврале этого года, имеют пометку "Для служебного пользования" и не подлежат опубликованию в открытых источниках. Для их получения оператор персональных данных должен обратиться в Управление ФСТЭК России по своему федеральному округу.
Как защищать персональные данные?
Ответ на этот вопрос является классическим — защиту персональных данных, обрабатываемых в информационных системах, требуется осуществлять на основе системы защиты персональных данных (СЗПДн).
СЗПДн должна представлять собой совокупность организационных мер, а также технических и программных средств защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, несанкционированного распространения. Методологическая основа построения системы защиты персональных данных излагается в нормативно-методических документах ФСТЭК России и ФСБ России. Говоря о конкретном перечне защитных мер, подлежащих реализации в рамках системы защиты персональных данных, надо сказать, что он является дифференцированным, зависящим от установленного класса защищенности информационной системы, обрабатывающей персональные данные. Класс информационной системы выбирается в соответствии с данной таблицей.
Самыми распространенными классами ИС, обрабатывающих персональные данные, оказываются К2 и К3.
В качестве примера рассмотрим требования, предъявляемые к основным мероприятиям по технической защите персональных данных, которые должны быть реализованы в рамках системы защиты персональных данных в многопользовательских информационных систем 3-го класса (К3) с разными правами доступа пользователей к защищаемым информационным активам. Итак, согласно действующим требованиям в информационной системе данного класса, должны быть реализованы:
- идентификация и аутентификация пользователей по паролю длиной не менее 6 символов;
- управление доступом к защищаемой информации;
- регистрация в журналах аудита входа (выхода) в систему/из системы;
- учет носителей, содержащих конфиденциальную информацию (персональные данные) с регистрацией их выдачи/приема;
- целостность программных средств защиты информации от несанкционированного доступа;
- неизменность программной среды информационной системы;
- физическая охрана физических активов информационной системы, включая носители конфиденциальной информации;
- периодическое тестирование системы защиты персональных данных;
- механизмы восстановления системы защиты персональных данных;
- межсетевое экранирование — вне зависимости от наличия подключения к Интернету;
- антивирусная защита информационной системы.