Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Защита персональных данных (В. Сердюк, "Финансовая газета", N 14, 15, апрель 2010 г.)
Защита персональных данных
Известно, что проблема защиты персональных данных является одной из наиболее актуальных в области информационной безопасности. Во многом это связано с вступлением в силу Федерального закона от 27.07.06 г. N 152-ФЗ "О персональных данных" (в ред. от 27.12.09 г.) (далее - Закон N 152-ФЗ). Предпосылками к принятию данного Закона являлись необходимость гармонизации российского и западного законодательства, с одной стороны, и желание предпринять конкретные шаги для повышения уровня защищенности персональных данных граждан, с другой. Необходимо отметить, что в отличие от других законов, например Федерального закона "О коммерческой тайне", требования Закона N 152-ФЗ являются обязательными как для коммерческих, так и для государственных организаций.
В рамках настоящей статьи будут рассмотрены ответы на наиболее часто встречающиеся вопросы, связанные с практическим применением Закона N 152-ФЗ.
Какие основные термины и определения используются в Федеральном законе? Основополагающим понятием, которое приведено в Законе N 152-ФЗ, является "персональные данные" - "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация".
Кроме того, в Законе N 152-ФЗ также введено понятие "оператор" - "государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных". Таким образом, под действие данного закона подпадает практически любая организация, которая обрабатывает персональные данные своих сотрудников или клиентов.
Еще одним важным термином, который определен в рамках Закона N 152-ФЗ, является понятие "обработка персональных данных" - "действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных". Следовательно, под обработкой понимается максимально широкий спектр операций над персональными данными. Так, если организация осуществляет только хранение или передачу персональных данных, то эти действия также являются обработкой.
Каковы основные требования по защите персональных данных? Согласно ст. 19 Закона N 152-ФЗ "оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
Кроме того, в соответствии с положениями данного Закона обработка персональных данных может осуществляться только с согласия субъекта в письменной форме. В качестве ее альтернативы можно использовать электронную цифровую подпись. Однако в Законе N 152-ФЗ есть ряд исключений, в частности согласие субъекта не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Еще одно требование сформулировано в ст. 22 Закона N 152-ФЗ - "оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных". Однако и в данной статье предусмотрен целый ряд исключений. Например, если организация обрабатывает только персональные данные своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа.
В качестве уполномоченного органа выступает Роскомнадзор, на сайте которого можно получить информацию о форме уведомления и порядке ее заполнения. Именно Роскомнадзор с формальной точки зрения отвечает за соблюдение требований законодательства в области защиты персональных данных. На сайте регулятора можно ознакомиться с планом проверок на текущий и следующий годы, а также с их некоторыми результатами.
Необходимо отметить, что в тексте Закона N 152-ФЗ и соответствующих постановлений Правительства Российской Федерации сформулированы лишь общие требования по защите персональных данных, поэтому в начале 2008 г. ФСТЭК России (Федеральной службой по техническому и экспортному контролю) и ФСБ России (Федеральной службой безопасности) был утвержден пакет документов с более детальными техническими требованиями по защите персональных данных. Данные требования являются методической основой для создания систем обеспечения безопасности персональных данных, соответствующих требованиям Закона N 152-ФЗ.
Какова ответственность за нарушение требований по защите персональных данных? В соответствии со ст. 24 Закона N 152-ФЗ "лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность". На практике нарушение требований данного Закона может привести к одному из следующих последствий:
приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований Закона N 152-ФЗ;
направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;
конфискация несертифицированных средств защиты информации. С учетом того, что определенные механизмы безопасности интегрированы в общесистемное и прикладное программное обеспечение, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные;
привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей уголовного и административного Кодекса.
Кроме того, согласно п. 3 ст. 21 Закона N 152-ФЗ "в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные". При этом очевидно, что уничтожение персональных данных для организаций, работающих с физическими лицами, например банков или страховых компаний, уничтожение персональных данных равносильно приостановке бизнеса.
Какие изменения были внесены в законодательство в области защиты персональных данных в 2009-2010 годах? В 2009-2010 гг. были внесены некоторые изменения в законодательство о персональных данных.
Согласно Федеральному закону от 25.11.09 г. N 266-ФЗ внесены изменения в Закон N 152-ФЗ по вопросам реализации международных договоров Российской Федерации о реадмиссии*(1).
При необходимости обработки персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии:
согласие субъекта персональных данных не требуется;
допускается обработка специальных категорий персональных данных;
обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных;
может осуществляться трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.
В соответствии с Федеральным законом от 27.12.09 г. N 363-ФЗ исключена обязанность оператора использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее следует отметить, что использование средств криптографической защите регламентируется нормативными документами ФСБ России и определяется на основе модели нарушителя. Таким образом, в случае использования каналов связи для передачи персональных данных за пределы контролируемой зоны и невозможности обеспечить защиту этой информации организационными мерами необходимо использовать криптографические средства защиты.
Продлен также срок, до которого информационные системы персональных данных должны быть приведены в соответствие с требованиями Закона N 152-ФЗ.
Теперь информационные системы персональных данных, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями Закона N 152-ФЗ не позднее 1 января 2011 г. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 г., уже должны соответствовать требованиям по защите персональных данных.
16 марта 2010 г. вступил в силу приказ ФСТЭК России N 58 (далее - приказ N 58), согласно которому принято Положение о методах и способах защиты информации в информационных системах персональных данных, в котором определены методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах операторами или уполномоченными лицами*(2).
В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
В связи с изданием приказа N 58 решением ФСТЭК России от 15.03.10 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России:
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Таким образом, с 15 марта 2010 г. методы и способы защиты информации в информационных системах персональных данных (ИСПДн) устанавливаются ФСТЭК России в следующих документах:
"Базовая модель угроз безопасности ПДн при их обработке в ИСПДн";
"Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн";
"Положение о методах и способах защиты информации в информационных системах персональных данных".
Новое Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом N 58, вносит следующие ключевые изменения в требования по защите персональных данных:
отменяется обязательность аттестации ИСПДн операторов вне зависимости от классов;
отменяется требование по обязательному наличию сертификата ФСТЭК России на отсутствие недекларированных возможностей для ИСПДн 2-го класса. Данное требование остается только для ИСПДн 1-го класса;
отменяется обязательное требование по защите информации от утечки по техническим каналам. Теперь защита от этих видов угроз необходима только в том случае, если данная угроза является актуальной в соответствии с моделью угроз.
Важно отметить, что внесенные изменения не отменяют необходимость использовать сертифицированные средства защиты информации, так как это требование содержится как в приказе N 58, так и в постановлении Правительства Российской Федерации от 17.11.07 г. N 781.
В чем заключается процесс создания системы защиты персональных данных? Для реализации требований Закона N 152-ФЗ требуются создание и внедрение комплексной системы защиты. Как правило, процесс создания такой системы защиты включает следующие основные этапы:
проведение обследования с целью оценки соответствия организации требованиям Закона N 152-ФЗ;
разработка модели угроз безопасности персональных данных;
разработка модели нарушителя (в случае использования каналов связи для передачи персональных данных);
проектирование системы защиты персональных данных в составе информационной системы, обрабатывающей персональные данные (ИСПДн);
разработка комплекта организационно-распорядительных документов по защите персональных данных;
внедрение системы защиты персональных данных;
аттестация ИСПДн по требованиям безопасности информации.
Работы по созданию системы защиты персональных данных могут выполняться силами самой организации либо при помощи компаний, специализирующихся на оказании такого рода услуг.
Рассмотрим более подробно этапы процесса по защите персональных данных в компании.
Проведение обследования. Обследование предназначено для получения текущей оценки соответствия требованиям Закона N 152-ФЗ и определения дальнейших шагов по выполнению соответствующих требований. Обследование может осуществляться с использованием следующих методов:
представление опросных листов по определенной тематике, самостоятельно заполняемых сотрудниками компании. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
интервьюирование сотрудников компании, обладающих необходимой информацией;
анализ существующей организационно-технической документации, используемой в компании.
На основе полученной информации определяются информационные системы, обрабатывающие персональные данные, а также перечень обрабатываемой информации. Примерами таких систем могут являться бухгалтерские программы, программы кадрового учета, CRM-системы с информацией о текущих и будущих клиентах, системы билинга и др. В процессе обследования каждой из выявленных ИСПДн присваивается определенный класс. Классификация осуществляется в соответствии с приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.08 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
Классификация осуществляется по двум основным критериям: категории и объему обрабатываемых данных. В соответствии с требованиями ФСТЭК России выделены следующие категории персональных данных:
категория 1 - персональные данные, касающиеся расовой принадлежности, политических взглядов, религиозных философских убеждений, состояния здоровья;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные персональные данные.
С точки зрения объема обрабатываемых данных выделяются следующие виды систем:
категория 1 - в информационной системе одновременно обрабатываются персональные данные более 100 000 субъектов;
категория 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов;
категория 3 - в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов.
Далее определяется класс типовой информационной системы по таблице.
Классификация типовых информационных систем, обрабатывающих персональные данные
Объем данных | Категория 3 | Категория 2 | Категория 1 |
Категория обрабатываемых данных | |||
Категория 4 | К4 | К4 | К4 |
Категория 3 | К3 | К3 | К2 |
Категория 2 | К3 | К2 | К1 |
Категория 1 | К1 | К1 | К1 |
На основе установленного класса информационной системы определяются требования, которым она должна соответствовать. После этого проводится анализ собранной информации с целью оценки текущего уровня защищенности персональных данных и определения степени соответствия требованиям ФСТЭК России.
Разработка модели угроз безопасности и модели нарушителя. В рамках второго этапа проекта разрабатывается модель угроз безопасности персональных данных на основе перечня угроз, который содержится в базовой модели угроз ФСТЭК России. Исходя из составленного общего перечня угроз безопасности персональных данных определяется их актуальность и составляется частная модель угроз безопасности персональных данных.
Модель угроз безопасности формируется с учетом информации, собранной на предыдущих этапах обследования, и содержит данные по угрозам, связанным:
с перехватом (съемом) персональных данных по техническим каналам с целью их копирования или неправомерного распространения;
с несанкционированным, в том числе случайным, доступом в ИСПДн для изменения, копирования, неправомерного распространения персональных данных или деструктивных воздействий на элементы ИСПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования данных.
При необходимости применения криптографических средств защиты разрабатывается модель нарушителя в соответствии с нормативными документами ФСБ России по защите персональных данных.
Проектирование системы защиты персональных данных в составе ИСПДн. На этом этапе осуществляется разработка технического задания и технического проекта на создание системы защиты персональных данных. Как правило, техническое задание включает следующие разделы:
обоснование разработки системы защиты персональных данных;
исходные данные о защищаемых ИСПДн в техническом, программном, информационном и организационном аспектах;
класс ИСПДн;
ссылки на нормативные документы,
с учетом которых будет разрабатываться система защиты персональных данных;
мероприятия и требования к системе защиты, которые определяются в соответствии с классом и типом информационных систем на основе методических документов ФСТЭК России;
перечень предполагаемых к использованию сертифицированных средств защиты информации;
состав, содержание и сроки проведения работ по этапам разработки и внедрения средств защиты информации.
Технический проект содержит техническое описание решений, предлагаемых для защиты информационных ресурсов компании. В рамках проектирования также проводятся макетирование и стендовые испытания предполагаемых к использованию средств защиты информации. Макетирование проводится с целью анализа совместимости и внедрения средств защиты в ИСПДн компании. Как правило, система защиты персональных данных создается на базе уже внедренных в компании средств защиты с целью максимального сохранения уже сделанных инвестиций.
Техническое задание и технический проект должны учитывать требования соответствующих ГОСТов с точки зрения оформления документов.
Разработка организационно-распорядительных документов. На этапе проектирования также осуществляется разработка пакета эксплуатационной и организационно-распорядительной документации на систему защиты персональных данных в составе ИСПДн, регламентирующей порядок обеспечения их безопасности и содержащей:
цели и задачи;
организационно-правовое обеспечение безопасности;
требования к комплексу мер и средств;
требования к персоналу ИСПДн, степень ответственности, статус и должностные обязанности сотрудников отдела защиты информации.
Внедрение системы защиты персональных данных на предприятии. В рамках внедрения системы безопасности все разработанные положения политики, процедур и инструкций доводятся до сведения рядовых сотрудников при их первоначальном и последующем периодическом обучении и информировании. Кроме того, осуществляются внедрение и пусконаладочные работы по защите, предусмотренные техническим проектом.
Аттестация информационной системы, обрабатывающей персональные данные. Аттестация не является обязательной для ИСПДн, однако позволяет получить заключение, подтверждающее соответствие системы требованиям законодательства в области защиты персональных данных. Она проводится специализированными организациями, имеющими необходимые лицензии ФСТЭК России и аттестат аккредитации.
Из каких элементов должна состоять система защиты персональных данных?
Как правило, система защиты персональных данных включает следующие основные подсистемы:
подсистема антивирусной защиты, предназначенная для выявления и блокирования вредоносного кода;
подсистема разграничения доступа, обеспечивающая защиту от несанкционированного доступа к персональным данным. Как правило, данная подсистема также выполняет функции регистрации и учета, а также контроля целостности;
подсистема криптографической защиты, используемая для обеспечения конфиденциальности персональных данных в процессе их передачи по каналам связи;
подсистема межсетевого экранирования, которая устанавливается в точке сопряжения с сетью Интернет либо между информационными системами разных классов. Подсистема применяется для фильтрации потенциально опасных пакетов данных, проходящих через межсетевой экран;
подсистема обнаружения вторжений, предназначенная для выявления и блокирования сетевых атак в ИСПДн;
подсистема анализа уязвимостей, позволяющая обнаружить имеющиеся уязвимости в программном, аппаратном и телекоммуникационном обеспечении ИСПДн.
Важно отметить, что все средства защиты персональных данных должны иметь сертификат соответствия ФСТЭК России. Для подтверждения факта использования сертифицированного решения в компании требуются копия сертификата, формуляр и носитель с голографической маркой ФСТЭК России. При этом средства криптографической защиты должны иметь сертификат ФСБ России на решение в целом либо заключение ФСБ России на корректность встраивания в продукт сертифицированного криптоядра.
Детальный состав подсистем, входящих в состав комплекса защиты персональных данных, определяется на основе результатов классификации ИСПДн, модели угроз и модели нарушителя.
Как проводится проверка соответствия требованиям Закона N 152-ФЗ? В настоящее время Роскомнадзор, ФСТЭК России и ФСБ России проводят проверки компаний с целью определения соответствия информационных систем требованиям по защите персональных данных. В общем случае в рамках проверки устанавливается наличие уведомления Роскомнадзора, лицензии ФСТЭК, аттестата соответствия, комплекта организационно-распорядительных документов и подтверждения факта применения только сертифицированных средств защиты информации.
Заключение
Принятие закона N 152-ФЗ было необходимой мерой и позволило создать правовую основу для защиты персональных данных. Безусловно, как в самом Законе, так и в нормативных документах, созданных на его основе, все еще остается немало "белых пятен", однако все эти недостатки могут быть доработаны в рабочем порядке.
Сегодня можно сказать, что принятие Закона N 152-ФЗ позволило привлечь внимание руководства российских компаний к проблеме обеспечения информационной безопасности. Так, если раньше во многих компаниях подразделения, отвечающие за защиту информации, финансировались по остаточному принципу, то теперь благодаря Закону они полноценным образом участвуют в процессе планирования затрат на решения по защите информации.
В. Сердюк,
к.т.н., CISSP, генеральный директор ЗАО "ДиалогНаука"
"Финансовая газета", N 14, 15, апрель 2010 г.
-------------------------------------------------------------------------
*(1) Реадмиссия - передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
*(2) Уполномоченное лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Газета "Финансовая газета"
Учредители: Министерство финансов Российской Федерации, ООО "Международная Медиа Группа"
Газета зарегистрирована в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Регистрационное свидетельство ПИ N ФС77-38355 от 15 декабря 2009 г.
Издается с июля 1991 г.