Защита персональных данных
Рисунок 1. Схема строения структуры системы защиты персональных данных
Решение по защите персональных данных в ИСПДн представляет собой комплексный проект по созданию системы защиты персональных данных (СЗПДн) и может включать в себя внедрение как организационных, так и технических мер. В общем случае проект по созданию СЗПДн включает следующие стадии:
- Обследование Информационной системы персональных данных;
- Оптимизация процессов обработки персональных данных;
- Построение Модели угроз безопасности персональных данных;
- Разработка частного технического задания на создание Системы защиты персональных данных (СЗПДн);
- Разработка проектной документации на создание Системы защиты персональных данных;
- Разработка организационно-распорядительной документации по защите персональных данных;
- Ввод в действие Системы защиты персональных данных;
- Сопровождение Системы защиты персональных данных.
Рисунок 2. Последовательность шагов по выполнению требований ФЗ "О персональных данных"
Компания УЦСБ, обладая штатом высококвалифицированных специалистов, опытом проведения комплексных проектов по информационной безопасности и требуемым комплектом лицензий в области защиты информации, выполняет полный спектр услуг по защите персональных данных – от работы над отдельной стадией проекта по защите персональных данных до выполнения комплекса работ по созданию Системы защиты персональных данных.
Организация защиты персональных данных
Необходимость защиты персональных данных, обрабатываемых предприятиями и организациями, обусловлена не только тем, что с 1 июля 2011 г. все информационные системы персональных данных должны быть приведены в соответствие с Федеральным Законом, но и тем, что последствия неправомерных действий с персональными данными приводят к ущербам на уровне личности, общества и государства.
К особенности персональных данных следует отнести то, что данный вид информации охватывает многие виды тайн, представленных в различных федеральных законах, при этом осуществить адекватную оценку ущерба от неправомерного доступа к персональным данным представляется достаточно сложным.
Так для предприятий и организаций нарушение конфиденциальности обрабатываемых персональных данных не только негативно сказывается на репутации, но и способно привести к гражданской, административной, и уголовной ответственностям, кроме того, потенциально возможно приостановление действия или аннулирование лицензии на право заниматься основным видом деятельности.
Первоочередная задача, стоящая перед предприятиями и организациями в части защиты персональных данных, заключается в рациональном и эффективном выполнении комплексных требований по защите персональных данных, предъявляемых регуляторами.
Требования по защите персональных данных законодательства РФ
Законом «О персональных данных» персональные данные определяются как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Оператором персональных данных согласно закону является «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».
Федеральный закон №152-ФЗ «О персональных данных» налагает ответственность за невыполнение требований по защите персональных данных непосредственно на операторов персональных данных.
| Статья | Нормативно-правовой акт
| Нарушение
| Максимальная мера наказания |
|---|
| 137 | УК | Нарушение неприкосновенности частной жизни | Штраф до 300.000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо обязательные работы на срок до 180 часов, либо исправительные работы на срок до 1 года, либо арест на срок до 4 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет |
| 140 | УК | Отказ в предоставлении гражданину информации о его ПДн, обрабатываемых организацией | 200.000 руб., либо в размере заработной платы или иного дохода осужденного за период до 18-ти месяцев, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет |
| 19.5 | КоАП | Невыполнение в срок требований надзорного органа или ФСТЭК РФ (при повторной проверке) | 500.000 руб. + дисквалификация должностного лица до 3-х лет |
| 13.11 | КоАП | Нарушение порядка сбора, хранения, использования и распространения ПДн | 10.000 руб. |
| 19.7 | КоАП | Непредставление или представление в не полном или искаженном виде в Роскомнадзор сведений об операторе ПДн | 5.000 руб. |
| 13.12 | КоАП | Нарушение правил защиты информации | 20.000 руб. + конфискация + приостановление деятельности на срок до 90 суток |
| 13.13 | КоАП | Деятельность в области защиты ПДн без лицензии ФСТЭК РФ / ФСБ РФ | 20.000 руб. + конфискация |
| 13.14 | КоАП | Разглашение информации с ограниченным доступом (например, ПДн) | 5.000 руб. |
Таблица 1. Меры наказания за нарушение законодательства в области защиты ПДн
Проблемы защиты персональных данных
Сжатые сроки выполнения требований по обеспечению защиты персональных данных и отсутствие опыта проведения таких работ оператором персональных данных приводит к тому, что последний сталкивается с рядом проблем:
- Невозможность рассматривать вопрос защиты ИСПДн отдельно от остальных ИТ-систем предприятия вследствие глубокой интеграции ИСПДн в информационную систему управления предприятием
- Необходимость соответствия большому количеству нормативных правовых документов, на детальное изучение которых практически не осталось времени
- Несогласованность этих документов и их продолжающаяся доработка
- Невозможность быстро найти или подготовить специалиста необходимой квалификации
- Необходимость создания системы защиты персональных данных для УЖЕ эксплуатируемой ИСПДн, что затрудняет внесение изменений в работу ИСПДн
Согласно Приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» в зависимости от объема и категории обрабатываемых персональных данных типовые информационные системы персональных данных разделяются на классы (для нетиповых процесс классификации учитывает большое число дополнительных данных). Требования по защите персональных данных к конкретным классам ИСПДн устанавливаются нормативными правовыми документами ФСТЭК России и ФСБ России:
- «Положение о методах защиты информации в информационных системах персональных данных», утвержденные ФСТЭК России 5 февраля 2010 г.»;
- «Решение, утвержденное первым заместителем директора ФСТЭК России от 05 марта 2010 г.»;
- «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные Заместителем директора ФСТЭК России 15 февраля 2008 г.;
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная Заместителем директора ФСТЭК России15 февраля 2008 г.;
- «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн», утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г.;
- «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные ФСБ России 21 февраля 2008 г.;
- «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные ФСБ России 21 февраля 2008 г.;
- «Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные УФСТЭК по УрФО.
Кроме того, ИСПДн, в которой персональные данные обрабатываются с использованием средств автоматизации, является автоматизированной системой. Для таких систем разработан ряд нормативных документов, соответствие требованиям которых, несмотря их рекомендательных характер, важно для эффективной работы будущей защищенной ИСПДн:
- ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
- ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
- ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.
- ГОСТ Р 51.583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.
- ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.
