Практика. Создание системы защиты персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Практика. Создание системы защиты персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание
1. Кто обеспечивает защиту данных?
2. Что защищать и от чего?
3. Согласие работника на обработку персональных данных
4. Риски при нарушении требований к обработке персональных данных работников организации
5. Организация защиты персональных данных
6. Главные требования к мерам по защите персональных данных в организации
7. Особенности технической защиты ПДн
8. Обеспечение безопасности персональных данных при их обработке
9. Инвентаризация/обследование информационных систем ПДн в организации
10. Вид информационной системы
11. Основные положения Закона «О персональных данных»

Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.

Кто обеспечивает защиту данных?

Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

Что защищать и от чего?

Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:

  • паспортные данные;

  • точное место жительства;

  • мобильный телефон;

  • адрес электронной почты.

Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.

Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:

  • если им получено согласие на обработку (необязательно письменное);

  • планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);

  • обрабатываются персональные данные своих сотрудников;

  • в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.

Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Риски при нарушении требований к обработке персональных данных работников организации

    В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

    • — на граждан — от 500 до 1 000 руб.;
    • — на должностных лиц — от 4 000 до 5 000 руб.

    Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

    За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

    В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

    • — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
    • — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
    • — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

    Организация защиты персональных данных

    Для защиты персональных данных применяют различные возможности:

    1. Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

      Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

    2. Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
    3. Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.

    Главные требования к мерам по защите персональных данных в организации

    Характерным для действующей нормативно-правовой базы РФ в сфере информационной безопасности является предоставление права компаниям и предпринимателям самостоятельно решать, как предупреждать незаконные действия с используемыми ПДн. Есть, конечно, исключения, например, в обязательном порядке в организации должен быть назначен сотрудник, несущий ответственность за соблюдение мер защиты. В остальном можно выбирать те средства, которые:

    • будут достаточными, чтобы не дать злоумышленникам или неуполномоченным сотрудникам совершать какие-либо действия с конфиденциальными сведениями;
    • позволят эффективно выполнять поставленные рабочие задачи;
    • будут соответствовать ФЗ-152 и другим нормативно-правовым актам, регулирующим работу операторов ПДн;
    • будут учитывать особенности используемой информационной системы.

    Особенности технической защиты ПДн

    Если раньше основные усилия приходилось прилагать, чтобы ограничить физический доступ к носителям конфиденциальной информации, то сейчас на первый план выступают технические меры защиты персональных данных. При работе с большими массивами ПДн заниматься их разработкой и интеграцией должны профессионалы, чтобы гарантировать достижение следующих целей:

    • предупреждение незаконного применения, распространения и изменения сведений о гражданах;
    • исключение риска утечки на всех этапах обработки, начиная от получения, заканчивая хранением и уничтожением;
    • не дать секретным данным попасть в распоряжение третьих лиц без согласия владельца.

    Различают следующие группы методов защиты ПДн:

    1. Пассивные — наиболее затратные как с точки зрения финансовых вложений, так и в плане времени. К ним относит обработку звуконепроницаемыми материалами, монтаж ограждений и других защитных конструкций, установку высокопрочных дверных и оконных систем, а также использование ЖБИ конструкций, позволяющих свести к минимуму вероятность взлома. Радикальные способы, несмотря на эффективность, используются преимущественно частично, поскольку не всегда есть средства и техническая возможность создать нужные условия для работы с ПДн. С другой стороны, есть более дешевые и достаточно результативные варианты обеспечения защиты, например, инсталляция модернизированной запорной арматуры, распределительных электрощитов и фильтров электросетей.
    2. Активные — совокупность средств, позволяющих защищать ПДн в ИСПДн, зона которой распространяется за пределы площади объекта. Их также применяют, если пассивные СЗИ реализовать экономически крайне невыгодно либо невозможно с технической точки зрения. Речь идет, прежде всего, о линейном и пространственном зашумлении, генераторах шума и импульсов (позволяют нейтрализовать всевозможные жучки), системы ультразвукового либо электромагнитного подавления диктофонов.
    3. Комбинированные (считаются в равной степени активными и пассивными). К ним относятся звукоусилители и звукоизоляционные устройства, пульты ДУ в защищенной модификации, микрофоны, антижучки и шумогенераторы, индикаторы магнитного поля, сетевые фильтры с опцией подавления помех, а также узкоспециализированная аппаратура, которая делает безопасной передачу информации по цепям заземления, виброакустическим и акустическим каналам.
    4. Организационные — проверочные мероприятия для обнаружения линий и каналов связи, определение степени текущей защищенности ИСПДн, выявление утечек, интеграция средств уничтожения сведений.

    Между собой технические методы разделяются по принципу действия на:

    • аппаратные (пассивные, активные);
    • программные (все, что связано с обеспечением шифрования информации);
    • физические — не дают человеку проникнуть непосредственно в место расположения персональных сведений.

    Обеспечение безопасности персональных данных при их обработке

    Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

      – получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;

      – привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;

      – отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;

      – устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

    При построении системы защиты персональных данных оператор ПД должен руководствоваться следующими принципами:

    1. принцип законности;

    2. принцип максимальной дружественности и прозрачности;

    3. принцип превентивности;

    4. принцип оптимальности и разумной разнородности;

    5. принцип адекватности и непрерывности;

    6. принцип адаптивности;

    7. принцип доказательности и обязательности контроля;

    8. принцип самозащиты и конфиденциальности самой системы защиты информации;

    9. принцип многоуровневости и равнопрочности;

    10. принцип простоты применения и апробированности защиты;

    11. принцип преемственности и совершенствования;

    12. принцип персональной ответственности и минимизации привилегий для пользователей всех уровней.

    • Принцип законности. Проведение защитных мероприятий должно быть согласовано с действующим законодательством в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией.

    • Принцип максимальной дружественности и прозрачности. Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу ИС, так как меры по защите информации всегда налагают ограничения на работу организационного и технического характера. Поэтому принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей.

    • Принцип превентивности. Меры по защите информации и внедряемые СЗИ должны быть нацелены, прежде всего, на недопущение (пресечение) реализации угроз безопасности информации, а не на устранение последствий их проявления.

    • Принцип оптимальности и разумной разнородности. Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты.

    • Принцип адекватности и непрерывности. Решения, реализуемые системами защиты информации, должны быть дифференцированы в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности. Безопасность информации в государственных информационных системах должна обеспечиваться непрерывно в течение всего жизненного цикла систем.

    • Принцип адаптивности. Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации.

    • Принцип доказательности и обязательности контроля. Должны реализовываться организационные меры внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Должны обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.

    • Принцип самозащиты и конфиденциальности самой системы защиты информации.

    • Принцип многоуровневости и равнопрочности. ИС должна реализовывать защиту информации на всех уровнях своей жизнедеятельности (технологическом, пользовательском, локальном, сетевом). Защита должна строиться эшелонировано, и иметь несколько последовательных рубежей таким образом, чтобы наиболее важная зона безопасности находилась внутри других зон. Все рубежи защиты должны быть равнопрочными к возможности реализации угрозы.

    • Принцип простоты применения и апробированности защиты. Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями и обслуживающим персоналом должно быть максимально простым, чтобы уменьшить риски, связанные с нарушениям правил их использования. По той же причине целесообразно использовать средства защиты информации, допускающие возможность централизованного администрирования.

    • Принцип преемственности и совершенствования. Система защиты информации должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования ИС.

    • Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней. Принимаемые меры должны определять права и ответственности каждого уполномоченного лица. Распределение прав и ответственности должно в случае любого нарушения позволять определить круг виновных. Система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями[13].

    Система защиты персональных данных призвана обеспечить охрану находящейся в распоряжении организации информации, относящейся к конкретным физическим лицам. Это не только анкетные данные, но и сведения о здоровье, финансовом состоянии. Эти данные представляют собой информационный актив, на который могут осуществляться покушения со стороны разнообразных субъектов. Среди основных угроз безопасности:

    • конкуренты конкретной компании, желающие нанести ей ущерб;
    • международные кибертеррористические организации, заинтересованные в утечках персональных данных в целях обеспечения собственного пиара;
    • инсайдеры, сотрудники компании, руководствующиеся своими целями или действующие по чужим поручениям.

    В большинстве случаев утечки носят внутренний характер, наиболее частым риском становится предоставление сотрудником персональных данных других лиц своему знакомому по его запросу вне профессиональных отношений. Как показывает судебная практика, иногда утечка персональных данных одного человека может причинить больший репутационный и финансовый вред, чем случайная, вызванная несовершенством программного обеспечения и каналов коммуникаций утрата большого массива данных. Все это приводит к необходимости разработки собственной информационной системы защиты персональных данных.

    Эта группа действий обычно не представляет трудности для оператора, к ней не предъявляются строгие требования регуляторов. Она не влечет необходимости привлечения лицензированных специалистов. Среди обязательных мероприятий по обеспечению безопасности данных присутствуют:

    • направление сообщения в Роскомнадзор о начале занятий соответствующим видом предпринимательской деятельности, предполагающим обработку персональных данных. Сообщение заполняется в форме на сайте ведомства и направляется по почте;
    • разработка локальных нормативных актов, опосредующих передачу данных. К этим документам относятся Положение о защите персональных данных, приказ о назначении ответственного за эту деятельность. Подготовить их можно самостоятельно. Утверждает документы руководитель организации, требований по регистрации их в государственных ведомствах не существует;
    • разработка и внедрение режима прохода на объект, на котором расположены массивы информации, содержащей персональные данные. При оформлении пропусков не надо забывать, что даже предоставление фотографии требует подписания согласия на обработку данных, как говорит судебная практика;
    • разработка соглашений с третьими лицами, согласно которым им поручается обработка данных с внедрением в них мер ответственности и норм о возмещении возможного ущерба;
    • определение актуальной модели угроз с учетом анализа внешних и внутренних факторов;
    • ранжирование лиц, имеющих разные степени допуска к конфиденциальным данным, подписание с ними соглашений о соблюдении коммерческой тайны;
    • разработка системы внутреннего контроля, позволяющей увидеть все моменты нарушения режима конфиденциальности и в кооперации со службой безопасности оперативно пресечь их.

    Инвентаризация/обследование информационных систем ПДн в организации

    Основной задачей инвентаризации/обследования инфор-мационных систем является выявление ИС, в которых осущест- иляется обработка персональных данных (например, система бухгалтерского учета, кадровый учет, система взаимоотношений с клиентами, биллинговая система и т. п.).

    ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

    Если в небольшой организации, скорее всего, создана одна информационная система ПДн, в крупных — таких систем будет несколько, причем обрабатываемые в них данные могут относится к различным категориям.

    Как показывает практика внедрение мер по защите ПДн без предварительного анализа и оптимизации процессов обработки ПДн может привести к неоправданному удорожанию системы защиты ПДн. Оптимизация процессов обработки позволяет не только снизить стоимость работ по организации защиты персональных данных, но и повысить эффективность бизнес- процессов Заказчика.

    Обследование ИСПДн включает:

    ■ обследование персональных данных обрабатываемых в ИСПДн;

    ■ обследование и анализ ИТ-инфраструктуры ИСПДн;

    ■ изучение и анализ процедур обработки ПДн;

    ■ обследование и анализ применяемых средств защиты информации;

    ■ использование антивирусных программ и т. п.

    При проведении обследования может быть рекомендовано составление опросных листов, учитывающих специфику дея-тельности оператора, проведение анализа полученной информации с целью возможного понижения класса ИСПДн, выявление бизнес-процессов, анализ организационной структуры и т. п

    Вид информационной системы

    По типу информационные системы делятся на типовые и специальные. Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных, а специальные ин-формационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности: защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий.

    Как правило, в информационных системах, которые ведутся с целью кадрового, бухгалтерского, управленческого учета, важно обеспечить не только конфиденциальность, но и защищенность от уничтожения и изменения. Следовательно, подавляющее большинство информационных систем следует рассматривать в качестве специальных.

    К специальным информационным системам должны быть отнесены:

    ■ информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

    ■ информационные системы, в которых предусмотрено принятие на основании исключительно автоматизиро-ванной обработки персональных данных решений, по-рождающих юридические последствия в отношении субъекта персональных данных или иным образом за-трагивающих его права и законные интересы.

    Для специальных ИСПДн требуется провести работу по моделированию возможных угроз.

    Формирование Модели угроз безопасности персональных данных является необходимым этапом в создании системы защиты персональных данных согласно пп. 12а Постановления Правительства РФ от 17 ноября 2007 г.

    №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». При этом модель угроз позволит применять именно те контрмеры, которые актуальны для условий использования защищаемой системы.

    ФСТЭК России и ФСБ России разработаны следующие методические документы, определяющие порядок формирования модели угроз:

    ■ Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 15.02.2008 г.

    ■ Методика определения актуальных угроз безопасности персональных данных при их обработке в инфор-мационных системах персональных данных. ФСТЭК России, 14.02.2008 г.

    ■ Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21.02.2008 г, № 149/54-144.

    Исходные данные для определения актуальных угроз формируются на основе перечней источников угроз (опрос), уязвимых звеньев ИС (опрос и сканирование сети) и, наконец, перечня технических каналов утечки (обследование ИС). Порядок определения актуальных угроз безопасности ПД в ИСПДн предусматривает следующие этапы:

    ■ оценка (на основе опроса и анализа) уровня исходной защищенности ИСПДн (высокий, средний, низкий);

    ■ экспертная оценка частоты (вероятности) реализации угрозы (маловероятная, низкая, средняя, высокая);

    ■ определение актуальных угроз (путем исключения не-актуальных угроз по определенному алгоритму, опи-санному в методике).

    С использованием данных о классе ИСПДн и составленного перечня актуальных угроз на основе Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного Приказом ФСТЭК России от 05.02.2010 №58 формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

    Основные положения Закона «О персональных данных»

    • Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
    • Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
    • В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
    • Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
    • Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
    • Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
    • Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *