Законодательство РФ в сфере защиты персональных данных

Система законодательства о защите персональных данных.

Сегодня в России трудно найти компанию, где работа с персональными данными осуществлялась бы по старинке, то есть без использования информационных технологий. Данные о сотрудниках компании, клиентах, партнерах обрабатываются в различных информационных системах: бухгалтерского и кадрового учета, документооборота, ERP и CRM...

В соответствии с отечественным и международным законодательством, вошедшим в правовую систему России, персональные данные подлежат обязательной защите.

Эта статья посвящена обзору актуальных требований в сфере защиты подобных данных, а также возможных подходов к обеспечению их безопасности.

Актуальность решения задачи защиты персональных данных

Ведение любого бизнеса сопряжено с различными рисками: операционными, финансовыми, кредитными. В отдельную категорию принято выделять риски, связанные с регулирующими органами. Сюда относится и риск несоблюдения установленных правил защиты персональных данных. Какую же стратегию снижения такого риска стоит выбрать? Можно считать, что для крупного и среднего бизнеса оптимальным является снижение риска путем построения (начала работ по построению) системы обеспечения безопасности персональных данных либо совершенствование корпоративной системы информационной безопасности для сегмента информационной системы (ИС), в которой осуществляется обработка персональных данных с учетом законодательных требований. Такая стратегия может оказаться предпочтительной, если исходить из следующих фактов. Во-первых, негативные последствия для бизнеса в случае допущения грубых нарушений в вопросе защиты персональных данных могут быть крайне тяжелыми — одним из наихудших, но вполне реальных сценариев возможного развития событий является административное приостановление деятельности организации от нескольких дней до 90 суток. А во-вторых, следует отметить, что в планах регулирующих органов на 2009 год вопросам проведения государственного контроля за соблюдением требований в области защиты персональных данных уделено достаточно большое внимание.

Законодательство РФ в сфере защиты персональных данных

Сегодня день иерархию документов, регламентирующих вопросы защиты персональных данных при их автоматизированной обработке в информационных системах, можно представить следующим образом.

1. Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных".
2. Федеральный закон от 19 декабря 2005 года № 160-ФЗ "О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
3. Указ Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера".
4. Постановление Правительства РФ от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
5. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
6. Нормативно-методический документ (НМД) ФСТЭК России "Основные мероприятия по организации..." от 15 февраля 2008 года.
7. НМД ФСТЭК России "Рекомендации по обеспечению безопасности..." от 15 февраля 2008 года.
8. НМД ФСТЭК России "Базовая модель угроз безопасности..." от 15 февраля 2008 года.
9. НМД ФСТЭК России "Методика определения актуальных угроз безопасности..." от 15 февраля 2008 года.

Стоит отметить, что четыре документа, изданных ФСТЭК России в феврале этого года, имеют пометку "Для служебного пользования" и не подлежат опубликованию в открытых источниках. Для их получения оператор персональных данных должен обратиться в Управление ФСТЭК России по своему федеральному округу.

Как защищать персональные данные?

Ответ на этот вопрос является классическим — защиту персональных данных, обрабатываемых в информационных системах, требуется осуществлять на основе системы защиты персональных данных (СЗПДн).

СЗПДн должна представлять собой совокупность организационных мер, а также технических и программных средств защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, несанкционированного распространения. Методологическая основа построения системы защиты персональных данных излагается в нормативно-методических документах ФСТЭК России и ФСБ России. Говоря о конкретном перечне защитных мер, подлежащих реализации в рамках системы защиты персональных данных, надо сказать, что он является дифференцированным, зависящим от установленного класса защищенности информационной системы, обрабатывающей персональные данные. Класс информационной системы выбирается в соответствии с данной таблицей.

Самыми распространенными классами ИС, обрабатывающих персональные данные, оказываются К2 и К3.

В качестве примера рассмотрим требования, предъявляемые к основным мероприятиям по технической защите персональных данных, которые должны быть реализованы в рамках системы защиты персональных данных в многопользовательских информационных систем 3-го класса (К3) с разными правами доступа пользователей к защищаемым информационным активам. Итак, согласно действующим требованиям в информационной системе данного класса, должны быть реализованы:

• идентификация и аутентификация пользователей по паролю длиной не менее 6 символов;
• управление доступом к защищаемой информации;
• регистрация в журналах аудита входа (выхода) в систему/из системы;
• учет носителей, содержащих конфиденциальную информацию (персональные данные) с регистрацией их выдачи/приема;
• целостность программных средств защиты информации от несанкционированного доступа;
• неизменность программной среды информационной системы;
• физическая охрана физических активов информационной системы, включая носители конфиденциальной информации;
• периодическое тестирование системы защиты персональных данных;
• механизмы восстановления системы защиты персональных данных;
• межсетевое экранирование — вне зависимости от наличия подключения к Интернету;
• антивирусная защита информационной системы.