Защита персональных данных службой информационной безопасности (И. Рухляда, "Кадровик. Кадровый менеджмент", N 12, декабрь 2012 г.)

Защита персональных данных службой информационной безопасности

Больше года прошло с момента принятия радикальных поправок в Закон о персональных данных летом 2011 года. За это время вышел ряд разъясняющих приказов и постановлений различных ведомств, государственные и частные организации имели возможность разобраться в тонкостях регламентирующих документов и накопить практический опыт по организации защиты персональных данных. В статье освещается опыт этой работы в сфере информационных технологий.

Часть 1 ст. 24 Конституции РФ запрещает "сбор, хранение, использование и распространение информации о частной жизни лица без его согласия". Очевидно, что ФИО, паспортные данные, номера полисов (ОМС, ОСАГО, Пенсионного фонда) и телефонов, адрес проживания и прочая подобная информация являются неотъемлемой частью частной жизни и подлежат защите от несанкционированного распространения. Однако в условиях современных реалий никого не удивляет возможность приобретения баз данных ГИБДД, МВД, других государственных учреждений и силовых ведомств, а также частных компаний, например сотовых операторов или интернет-магазинов. Тем не менее, принятие Федерального закона от 27.07.2006 152-ФЗ "О персональных данных" (ред. от 25.07.2011, далее - Закон N 152-ФЗ) было обусловлено в первую очередь стремлением законодателей и Правительства РФ устранить барьеры в сотрудничестве на различных уровнях со странами Европейского союза, директива 95/46/ЕС которого запрещает передачу персональных данных (ПД) в страны с недостаточным уровнем их защиты.

Персональные данные, являясь по своей сути информацией, подпадают под действие такого вида деятельности, как информационная безопасность (ИБ), или защита информации. Подразделения ИБ организаций призваны обеспечить сохранность и защиту от несанкционированного доступа конфиденциальной информации (в том числе в электронном виде), которая составляет коммерческую или иную тайну. С этой целю службой ИБ проводится ряд организационных и инженерно-технологических мероприятий, например: определение политики ИБ предприятия; уточнение должностных инструкций имеющих доступ к конфиденциальной информации сотрудников организации; регламентация процессов обработки информации; установка и поддержка специальных аппаратных и программных комплексов.

Закон N 152-ФЗ рассматривает обработку ПД лишь в электронном виде, поэтому далее в статье будем рассматривать вопросы защиты ПД в свете информационных технологий (ИТ). Вообще же тема информационной безопасности достаточно сложная и с технологической, и с организационной точки зрения. Процессы обеспечения защиты информации освещаются в серии международных стандартов ИСО/МЭК 27000 (ISO/IEC 2007), в частности в ИСО/МЭК 27001:2005 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" и в соответствующем ему российском стандарте ГОСТ Р ИСО/МЭК 27001-2006 [1].

Итак, целью ИБ является обеспечение конфиденциальности, целостности и доступности информации. Процессы ИБ при применении информационных технологий используют среди прочего следующие технологические инструменты:

- средства защиты от несанкционированного доступа к данным;

- межсетевые экраны;

- системы обнаружения и предотвращения вторжений;

- средства защиты от вредоносного программного обеспечения;

- шифровальные средства;

- средства защиты от утечки информации по техническим каналам.

Требования к специалистам по информационной безопасности

Вопросами ИБ призваны заниматься специалисты по информационной безопасности. Общероссийский классификатор специальностей по образованию (ОКСО) [2] содержит отдельную группу - 090000 Информационная безопасность. В эту группу входят следующие специальности, каждая из которых предполагает высшее специальное образование:

- 090101 Криптография.

- 090102 Компьютерная безопасность.

- 090103 Организация и технология защиты информации.

- 090104 Комплексная защита объектов информатизации.

- 090105 Комплексное обеспечение информационной безопасности автоматизированных систем.

- 090106 Информационная безопасность телекоммуникационных систем.

- 090107 Противодействие техническим разведкам.

Единый квалификационный справочник должностей руководителей, специалистов и служащих содержит особый раздел "Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации" [3]. В этом разделе представлены должностные обязанности, требования к знаниям и квалификации для следующих специалистов:

- должности руководителей:

- главный специалист по технической защите информации;

- начальник отдела (лаборатории, сектора) по противодействию техническим разведкам;

- начальник отдела (лаборатории, сектора) по технической защите информации;

- должности специалистов:

- специалист по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;

- специалист по противодействию техническим разведкам;

- специалист по технической защите информации;

- администратор по обеспечению безопасности информации;

- инженер по технической защите информации;

- инженер-программист по технической защите информации;

- техник по технической защите информации.

Еще одним документом, содержащим различные требования к специалисту по ИБ, является профессиональный стандарт "Специалист информационной безопасности", разработанный АП КИТ [4]. Стандарт содержит пять квалификационных уровней, каждый из которых содержит обобщенное описание трудовой деятельности, требования к образованию, опыту работы, а также перечень выполняемых действий вместе с необходимыми знаниями и навыками. Такая связанная тройка - действия - знания - навыки - называется единицей профстандарта. Так, 3-й (по отраслевой рамке квалификаций, 6-й - по национальной) квалификационный уровень состоит из следующих единиц:

1. Организация установки и настройки оборудования технических и программно-аппаратных систем защиты информации.

2. Обновление программного обеспечения аппаратно-программных комплексов защиты информации.

3. Поддержание работоспособности технических и программно-аппаратных систем и средств защиты информации.

4. Управление системой защиты информации организации (подразделения, отдела, предприятия).

5. Организация оповещения о критических (чрезвычайных) событиях защиты информации.

6. Организация обслуживания сложного оборудования систем и средств защиты информации.

7. Обеспечение приема, монтажа и проведения испытаний технических и программно-аппаратных систем и средств защиты информации.

8. Участие в разработке регламентов и инструкций по защите информации в организации (подразделении, отделе, предприятии).

9. Обеспечение организационно-методической базы для реализации политик и регламентов защиты информации.

10. Аудит защиты информации в организации и ее структурных подразделениях.

11. Разработка предложений по совершенствованию системы защиты информации.

12. Организация и контроль ведения технической и отчетной документации.

Приведем для примера состав 7-й единицы в таблице.

Таблица

Единица 6С_СИБ_7. Обеспечение приема, монтажа и проведения испытаний технических и программно-аппаратных систем и средств защиты информации

Основные трудовые действия	Организация приема и учета, монтажа технических и программно-аппаратных систем и средств защиты информации Проведение испытаний систем и средств защиты информации Ввод в эксплуатацию по результатам испытаний систем защиты информации Руководство проведением экспертного тестирования и сбором замечаний пользователей информационной системы Формирование отчетной документации по результатам работ
Необходимые знания	Структура, состав и порядок монтажа технических и программно-аппаратных систем и средств защиты информации Порядок проведения испытаний средств защиты информации и систем защиты информации в целом Область и специфика деятельности организации Принципы организации приемки и монтажа средств защиты информации
Необходимые умения	Коммуникабельность в общении с поставщиками и подчиненными Параметры систем защиты информации Чтение и понимание проектной документации на разработку защиты информации Сбор и фиксация в ходе экспертного тестирования защиты информации замечаний и пожеланий пользователей Применение инструментальных средств для составления отчетности по результатам проведенного экспертного тестирования

Также в профстандарте указано особое условие допуска к работе - наличие допуска при работе со сведениями, составляющими государственную тайну (в случаях, определенных в Инструкции по обеспечению режима секретности в Российской Федерации, утв. постановлением Правительства РФ от 05.01.2004 N 3-1 и других руководящих документах). Секретность - одно из отличительных свойств работы сотрудников службы ИБ. Часто специалистам по ИБ приходится получать специальные допуски, проходить сертификацию, а в трудовом договоре всегда оговаривается обязанность сотрудника хранить в тайне сведения, доступ к которым он получил в ходе выполнения должностных обязанностей, в том числе и после прекращения трудовых отношений. Поэтому специалисты службы ИБ во многих организациях получают надбавку "за секретность".

Распределение прав и обязанностей

Однако не секрет, что далеко не каждая организация может себе позволить содержать штат специалистов по информационной безопасности. Поэтому функции по защите информации распределяются между другими специалистами в сфере ИТ: системными администраторами, администраторами баз данных, программистами, системными аналитиками, специалистами техподдержки. Так, в частности, системные администраторы и администраторы баз данных ответственны за разграничение прав в управляемых ими информационных системах. Системные администраторы также выполняют установку антивирусов, межсетевых экранов и других специальных программ, проводят настройку безопасности компьютеров пользователей и серверов. Программисты реализуют в своих приложениях алгоритмы шифрования и защиты данных. Системные аналитики могут осуществлять поверхностный аудит безопасности информационных систем и готовить соответствующие отчеты. Специалисты техподдержки осуществляют помимо прочего выдачу привилегий пользователям для эксплуатации прикладного программного обеспечения в соответствии с принятым в организации регламентом, включающим в себе корпоративную политику информационной безопасности.

Хотя защита ПД является частным случаем информационной безопасности в целом, Закон N 152-ФЗ оговаривает ряд специфических особенностей и регламентирует некоторые организационные мероприятия. Так, не подлежат обязательной защите обезличенные или общедоступные (например, выставленные в социальных сетях) данные. А срок хранения ПД ограничивается достижением цели их обработки, после чего эти данные должны быть уничтожены или обезличены. Собственно о целях обработки ПД перед ее началом их субъект должен быть предварительно уведомлен и дать свое согласие (в письменном или электронном виде). Также он должен иметь возможность беспрепятственно ознакомиться с политикой предприятия или ведомства по защите ПД.

К организационным мерам относится обязательное назначение ответственного за организацию обработки ПД. Как правило, им назначается начальник службы ИБ или, если таковой на предприятии нет, службы ИТ. Ответственный дополняет политику информационной безопасности организационно-распорядительной документацией, в частности определяет процедуры обработки ПД, а также составляет перечни собственно необходимых предприятию ПД, информационных систем, содержащих ПД, потенциальных угроз их сохранности и сотрудников, имеющих доступ к ПД посредством информационных систем. В должностные инструкции таких работников должны быть внесены обязательства по соблюдению установленного порядка обработки ПД и ее прекращении после расторжения трудового контракта.

Обучение операторов информационных систем - сотрудников, непосредственно осуществляющих обработку ПД,- является очень важным мероприятием в процессе организации защиты информации в целом и ПД в частности, т. к. такие специалисты, как правило, не имеют специальной подготовки в области ИБ, но им приходится взаимодействовать с зачастую весьма сложными аппаратно-программными комплексами. И именно операторы осуществляют львиную долю манипуляций с ПД. До них необходимо довести те положения регламентов, процедур, приказов, инструкций по ИБ, которые затрагивают их трудовые функции.

С момента принятия Закона N 152-ФЗ в 2006 году он дорабатывался и уточнялся с помощью внесения поправок, а также приказов и постановлений Правительства РФ, ФСБ, ФСТЭК, Минкомсвязи и Роскомнадзора. И этот процесс, надо полагать, еще не завершен. Но в целом положения закона вместе с подзаконодательными актами укладываются в общемировую практику по осуществлению защиты информации.

Библиографический список

1. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования: ГОСТ Р ИСО/МЭК 27001-2006. - Введ. 2008-02-01. - М.: Стандартинформ, 2008. - 26 с.

2. Общероссийский классификатор специальностей по образованию (ОКСО): ОК 009-2003. - Введ. 2004-01-01. - НИИ ВО Минобрнауки России.

3. Единый квалификационный справочник должностей руководителей, специалистов и служащих, раздел "Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации". Утв. приказом Минздравсоцразвития России от 22.04.2009 N 205 // Бюллетень трудового и социального законодательства Российской Федерации. - 2009. - N 5.

4. Профессиональные стандарты в области ИТ / АП КИТ [Электронный ресурс] URL: http://www.apkit.ru/committees/education/meetings/standarts.php (Дата обращения: 13.10.2012).

И. Рухляда,

канд. экон. наук, руководитель группы веб-разработки

ООО "Прософт-Трейдинг"

"Кадровик. Кадровый менеджмент", N 12, декабрь 2012 г.