Защита персональных данных

Рисунок 1. Схема строения структуры системы защиты персональных данных

 

Решение по защите персональных данных в ИСПДн представляет собой комплексный проект по созданию системы защиты персональных данных (СЗПДн) и может включать в себя внедрение как организационных, так и технических мер защиты информации. В общем случае проект по созданию СЗПДн включает следующие стадии:

Обследование информационных систем персональных данных;

Оптимизация процессов обработки персональных данных;

Построение Модели угроз безопасности персональных данных;

Разработка частного технического задания на создание СЗПДн;

Разработка проектной документации на создание Системы защиты персональных данных;

Разработка организационно-распорядительной документации по защите персональных данных;

Ввод в действие Системы защиты персональных данных;

Сопровождение Системы защиты персональных данных. 

 

Рисунок 2. Последовательность шагов по выполнению требований ФЗ "О персональных данных"

 

Компания УЦСБ обладает штатом высококвалифицированных специалистов, опытом проведения комплексных проектов по информационной безопасности и требуемым комплектом лицензий в области защиты информации, выполняет полный спектр услуг по защите персональных данных – от работы над отдельной стадией проекта по защите персональных данных до выполнения комплекса работ по созданию Системы защиты персональных данных.

 Организация защиты персональных данных

 Необходимость защиты персональных данных, обрабатываемых предприятиями и организациями, обусловлена не только тем, что с 1 июля 2011 г. все информационные системы персональных данных должны быть приведены в соответствие с Федеральным Законом, но и тем, что последствия неправомерных действий с персональными данными приводят к ущербам на уровне личности, общества и государства.

К особенности персональных данных следует отнести то, что данный вид информации охватывает многие виды тайн, представленных в различных федеральных законах, при этом осуществить адекватную оценку ущерба от неправомерного доступа к персональным данным представляется достаточно сложным.

Так, для предприятий и организаций нарушение конфиденциальности обрабатываемых персональных данных не только негативно сказывается на репутации, но и способно привести к гражданской, административной, и уголовной ответственностям, кроме того, потенциально возможно приостановление действия или аннулирование лицензии на право заниматься основным видом деятельности.

Первоочередная задача, стоящая перед предприятиями и организациями в части защиты персональных данных, заключается в рациональном и эффективном выполнении комплексных требований по защите персональных данных, предъявляемых регуляторами.

 Требования по защите персональных данных законодательства РФ

 Законом «О персональных данных» персональные данные определяются как «любая информация, относящаяся прямо или косвенно к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Оператором персональных данных согласно закону является «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».

Федеральный закон №152-ФЗ «О персональных данных» налагает ответственность за невыполнение требований по защите персональных данных непосредственно на операторов персональных данных.

 

Таблица 1. Меры наказания за нарушение законодательства в области защиты ПДн

Статья

Нормативно-правовой акт  

Нарушение  

Максимальная мера наказания

137

УК

Нарушение неприкосновенности частной жизни

Штраф до 300.000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо обязательные работы на срок до 180 часов, либо исправительные работы на срок до 1 года, либо арест на срок до 4 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет

140

УК

Отказ в предоставлении гражданину информации о его ПДн, обрабатываемых организацией

200.000 руб., либо в размере заработной платы или иного дохода осужденного за период до 18-ти месяцев, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет

19.5

КоАП

Невыполнение в срок требований надзорного органа или ФСТЭК РФ (при повторной проверке)

500.000 руб. + дисквалификация должностного лица до 3-х лет

13.11

КоАП

Нарушение порядка сбора, хранения, использования и распространения ПДн

10.000 руб.

19.7

КоАП

Непредставление или представление в не полном или искаженном виде в Роскомнадзор сведений об операторе ПДн

5.000 руб.

13.12

КоАП

Нарушение правил защиты информации

20.000 руб. + конфискация + приостановление деятельности на срок до 90 суток

13.13

КоАП

Деятельность в области защиты ПДн без лицензии ФСТЭК РФ / ФСБ РФ

20.000 руб. + конфискация

13.14

КоАП

Разглашение информации с ограниченным доступом (например, ПДн)

5.000 руб.

 

Проблемы защиты персональных данных

 Сжатые сроки выполнения требований по обеспечению защиты персональных данных и отсутствие опыта проведения таких работ оператором персональных данных приводит к тому, что последний сталкивается с рядом проблем:

  • Невозможность рассматривать вопрос защиты ИСПДн отдельно от остальных ИТ-систем предприятия вследствие глубокой интеграции ИСПДн в информационную систему управления предприятием
  • Необходимость соответствия большому количеству нормативных правовых документов, на детальное изучение которых практически не осталось времени
  • Несогласованность этих документов и их продолжающаяся доработка
  • Невозможность быстро найти или подготовить специалиста необходимой квалификации
  • Необходимость создания системы защиты персональных данных для УЖЕ эксплуатируемой ИСПДн, что затрудняет внесение изменений в работу ИСПДн

 Согласно Постановлению Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», в зависимости от характеристик обрабатываемых персональных данных и типов угроз безопасности, для информационных систем определяется требуемый уровень защищенности персональных данных. Требования по защите персональных данных, обрабатываемых в ИСПДн, устанавливаются нормативными правовыми документами ФСТЭК России и ФСБ России: 

  • «Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная Заместителем директора ФСТЭК России15 февраля 2008 г.;
  • «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн», утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г.;
  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные ФСБ России 21 февраля 2008 г.;
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные ФСБ России 21 февраля 2008 г.

 Кроме того, ИСПДн, в которой персональные данные обрабатываются с использованием средств автоматизации, является автоматизированной системой. Для таких систем разработан ряд нормативных документов, соответствие требованиям которых, несмотря на их рекомендательных характер, важно для эффективной работы будущей защищенной ИСПДн:  

  • ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
  • ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
  • ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.
  • ГОСТ Р 51.583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.
  • ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.