Контакты
Подписка
МЕНЮ
Контакты
Подписка

Безопасность персональных данных Организация защиты данных при их обработке в информационных системах

Безопасность персональных данных Организация защиты данных при их обработке в информационных системах

В рубрику "Официальный раздел" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Безопасность персональных данных
Организация защиты данных при их обработке в информационных системах

Рассматриваются общие вопросы организации обеспечения безопасности персональных данных (ПДн) при их обработке в информационных системах ПДн. Комментируются и разъясняются положения действующих нормативных и методических документов, принятых федеральными органами власти в области защиты ПДн


И.Г. Назаров

Заместитель начальника управления ФСТЭК России

Обеспечение безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн), регламентируемое сегодня Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, направлено на решение следующих задач:

  • предотвращение несанкционированного доступа (НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • своевременное обнаружение фактов НСД к ПДн;
  • недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
  • обеспечение возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
  • постоянный контроль за обеспечением уровня защищенности ПДн.

Решение таких задач обусловлено, во-первых, тем, что ПДн являются информацией ограниченного доступа. При этом они могут быть сведениями, относимыми к различным видам тайн (например, к личной, семейной, врачебной, служебной и т.п.). В соответствии с законом "О персональных данных", ПДн - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и др. Такая информация приобретает статус ПДн, когда ею обладает не только непосредственный владелец, но и другие юридические и физические лица. Характерно, что информация, отнесенная к ПДн, может и не составлять личную или семейную тайну, если человек, к которому она относится, не считает нужным ее скрывать.

Во-вторых, сосредоточение больших объемов ПДн граждан в информационных системах и широкое использование сетевых технологий привело к опасности как их утечки, так и уничтожения или модификации с возможностью возникновения значительных социальных последствий. Это вынуждает принимать адекватные меры по защите ИСПДн от угроз безопасности ПДн.

Кто и что защищает?

В обеспечении безопасности ПДн участвуют не только операторы ИСПДн, но и уполномоченные на то органы госвласти. Система регулирования отношений, связанных с обработкой ПДн и обеспечением их безопасности, между заинтересованными субъектами приведена на рис. 1.


Сегодня работы по обеспечению безо-пасности ПДн в соответствии с законом и действующими нормативными и методическими документами должны проводиться применительно к ИСПДн:

  • государственных органов, организующих и (или) осуществляющих обработку ПДн, а также определяющих цели и со-держание обработки ПДн;
  • муниципальных органов, организующих и (или) осуществляющих обработку ПДн, а также определяющих цели и со-держание обработки ПДн;
  • юридических лиц, организующих и (или) осуществляющих обработку ПДн, а также определяющих цели и содержание обработки ПДн;
  • физических лиц, организующих и (или) осуществляющих обработку ПДн, а так-же определяющих цели и содержание обработки ПДн (за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд).

Обязанности и задачи оператора ПДн

Для разработки и осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн оператором или уполномоченным им лицом назначается структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности ПДн.

Общий порядок организации обеспечения безопасности ПДн включает в себя:

  • оценку обстановки;
  • обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн;
  • разработку замысла обеспечения безопасности ПДн;
  • выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты;
  • решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты;
  • обеспечение реализации принятого замысла защиты;
  • планирование мероприятий по защите ПДн;
  • организацию и проведение работ по созданию системы защиты персональных данных (СЗПДн) в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних организаций к разработке и развертыванию СЗПДн или ее элементов в ИСПДн, а также решение основных задач взаимодействия, определение задач и функций этих организаций на различных стадиях создания и эксплуатации ИСПДн;
  • разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн;
  • развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн;
  • доработку СЗПДн по результатам опытной эксплуатации.

Оценка обстановки

Данный этап (рис. 2) во многом определяет эффективность решения задач обеспечения безопасности ПДн. Оценка обстановки основывается на результатах комплексного обследования ИСПДн, в ходе которого прежде всего проводится определение защищаемой информации и ее категорирование по важности.


По результатам оценки обстановки проводится классификация ИСПДн в соответствии с "Порядком проведения классификации информационных систем персональных данных", утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.

При оценке обстановки определяется необходимость обеспечения безопасности ПДн от угроз:

  • уничтожения, хищения аппаратных средств ИСПДн и (или) носителей информации путем физического доступа к элементам ИСПДн;
  • утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН);
  • перехвата информации при передаче по проводным (кабельным) линиям связи;
  • хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);
  • воспрепятствования функционированию ИСПДн путем преднамеренного электромагнитного воздействия на ее элементы;
  • непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, затоплений и т.п.) характера.

Обоснование требований

Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, проводится в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти, обязательными к применению стандартами и на основании утвержденного ФСТЭК России доку-мента "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых  в  информационных системах персональных данных". При этом выявление и оценка актуальности угроз безопасности ПДн при их обработке в ИСПДн осуществляется с использованием утвержденных документов "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" и "Методика определения актуальных угроз безопасности персональных данных при их об-работке в информационных системах персональных данных".

Выбор способов защиты

Разработка замысла обеспечения безопасности ПДн (рис. 3) является важным этапом организации обеспечения безопасности ПДн, в ходе которого осуществляется выбор основных способов защиты ПДн. В данном случае необходимо определить организационные меры и технические (аппаратные, программные и программно-аппаратные) средства защиты.


При выборе технических средств защиты следует использовать сертифицированные средства защиты информации.

Решение вопросов управления

Важным аспектом поддержания требуемого уровня безопасности ПДн является решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты.

К вопросам управления относятся:

  • распределение функций управления доступом к данным и их обработки между должностными лицами;
  • определение порядка изменения правил доступа к защищаемой информации;
  • определение порядка изменения пра-вил доступа к резервируемым информационным и аппаратным ресурсам;
  • определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;
  • определение порядка проведения контрольных мероприятий и действий по их результатам.

Контроль заключается в проверке выполнения требований нормативных доку-ментов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться оператором или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.

Основные вопросы защиты

Решение основных вопросов обеспечения защиты ПДн должно предусматривать подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения.

В ходе подготовки документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются следующие документы:

  • положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
  • требования по обеспечению безопасности ПДн при обработке в ИСПДн;
  • должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
  • рекомендации (инструкции) по использованию  программных  и  аппаратных средств защиты информации. Для  функционирующих  ИСПДн  доработка (модернизация) СЗПДн должна проводиться в том случае, если:
  • изменился состав или структура самой ИСПДн или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ИСПДн);
  • изменился состав угроз безопасности ПДн в ИСПДн;
  • изменился класс ИСПДн.

В соответствии с положениями ФЗ от 8 августа 2001 г. № 128 "О лицензировании отдельных видов деятельности" и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" операторы ИСПДн в ходе проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Опубликовано: Каталог "Системы безопасности"-2010
Посещений: 14643


  Автор
Назаров И. Г.

Назаров И. Г.

Заместитель начальника управления ФСТЭК России

Всего статей:  2

В рубрику "Официальный раздел" | К списку рубрик  |  К списку авторов  |  К списку публикаций