Перегретая тема. И снова о персональных данных::Журнал СА 12.2009
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 1943
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 1973
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1530
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1117
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1693
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

Электронка - 2020!

 Перегретая тема. И снова о персональных данных

Архив номеров / 2009 / Выпуск №12 (85) / Перегретая тема. И снова о персональных данных

Рубрика: Закон есть закон

Перегретая тема
И снова о персональных данных

На вопросы читателей «СА» отвечают сопредседатели комитета по информационной безопасности Союза ИТ-директоров России Виктор Минин и Юрий Шойдин.

До наступления ответственности по Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» остаются считанные дни. Специалисты ИТ-сообщества понимают, что аттестация своей информационной системы неизбежна.

В такой ситуации, когда тема персональных данных, по сути, «перегрета», абсолютно естественно, что некоторые коммерческие компании за баснословные деньги предлагают взволнованным руководителям ИТ и подразделений безопасности свои услуги по подготовке и аттестации ИС предприятия. Давайте постараемся разобраться в этом вопросе и понять, что можно сделать самостоятельно, а что желательно отдать стороннему консультанту.

Для начала синхронизируем понятия и разберемся, кто попадает под действие данного закона. Ведь руководители очень многих компаний склонны считать, что их организации не являются операторами персональных данных и их настоящий закон не касается.

– Кто все-таки по закону считается оператором персональных данных? Любое ли лицо, юридическое или физическое, не говоря уже о госструктурах, является оператором, если ведет хранение и обработку ПДн?

– Прежде чем говорить об операторе персональных данных и его обязанностях, напомним, что включает в себя понятие «персональные данные». В соответствии со ст. 2 Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» с изм. на 10 января 2003 г. (СЗ РФ. 1995. № 8. Ст. 609; 2003. № 2. Ст. 167) информация о работниках (персональные данные) – это сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

В статье 3 Федерального закона говорится:

  • Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
  • Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Итак, исходя из буквы закона персональные данные – это любые сведения, по которым можно однозначно идентифицировать физическое лицо; при этом любая организация, имеющая (обрабатывающая, накапливающая и проч.) у себя в информационной системе персональные данные даже только своих сотрудников, уже является оператором. И согласно статье 13 государственные органы, муниципальные органы также являются операторами персональных данных и в пределах своих полномочий, установленных в соответствии с федеральными законами, создают государственные или муниципальные информационные системы персональных данных.

Все построились и стройными рядами пошли подавать уведомление об обработке персональных данных в уполномоченный орган, кроме исключений, предусмотренных законом (статья 22, пункт 2).

– Оператор должен принимать меры по защите персональных данных. Для этого у ФСТЭК разработаны методические материалы. Многие из них имеют гриф «ДСП» и распространяются только по государственным органам власти. Что делать остальным операторам?

– Не вдаваясь в подробности всех шестнадцати руководящих документов, имеющих прямое отношение к обработке персональных данных, остановимся только на основных моментах.

В соответствии с Федеральным законом № 152-ФЗ, который уже вступил в силу 26 января 2007 года, оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (статья 19).

При этом информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года (статья 25). И здесь уже можно говорить о тех уступках, на которые пошли наши законодатели.

Так, 20 ноября 2009 года в Государственной Думе состоялось рассмотрение и принятие, практически единогласно, в первом чтении законопроекта «О внесении изменений в Федеральный закон «О персональных данных» в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока на один год, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом. То есть дата 01.01.2010 переносится на 01.01.2011 и отменены требования об обязательном использовании шифровальных (криптографических) средств для обеспечения безопасности персональных данных при их обработке. Последнее изменение обусловлено тем, что защита персональных данных в зависимости от способа их обработки (например, неавтоматическая обработка) может осуществляться и без использования шифровальных (криптографических) средств.

Порядок действий для правильной классификации ИСПДн

Порядок действий для правильной классификации ИСПДн

Теперь о предъявляемых требованиях к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, которые устанавливает Правительство Российской Федерации (статья 19, пункт 2).

Контроль и надзор за выполнением требований осуществляются федеральным органом исполнительной власти в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных:

  • Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, – ФСБ России. Традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии).
  • Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, – ФСТЭК России. Осуществляет контроль защиты информации с использованием технических средств.

 Согласно поручению Правительства РФ были разработаны следующие методические документы:

  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».
  • «Рекомендации по обеспечению безопасности персональных данных при обработке при их обработке в информационных системах персональных данных».
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».
  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».

Первые четыре – это «четырехкнижье» было разработано ФСТЭК России и имеет гриф «ДСП». Последние два документа, или «двухкнижье», были разработаны ФСБ России, не имеет ограничительного грифа и находятся в свободном доступе. Указанные «методички» были разработаны на основе уже действующих документов, регулирующих вопросы обеспечения безопасности конфиденциальной информации, в большей своей части имеющих ограничительный гриф и распространяемых установленным порядком. Персональные данные относятся к категории конфиденциальной информации (документированной информации, доступ к которой ограничивается в соответствии с законодательством Российской Федерации) (ст. 2, 11 Федерального закона «Об информации, информатизации и защите информации»). Они указаны в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (СЗ РФ. 1997. № 10. Ст. 1127), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральным законом случаях.

Абсолютно неверное утверждение о невозможности получения документов ограниченного распространения и доступности их только для ОГВ. Сейчас любая организация, независимо от форм собственности, на основании запроса во ФСТЭК России получит вышеуказанные документы. При этом выписки из данных документов уже доступны на сайте ФСТЭК России – http://www.fstec.ru/_razd/_ispo.htm.

В целях обеспечения контроля и надзора за выполнением требований Федерального закона «О персональных данных» назначен Уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор Министерства связи и массовых коммуникаций). Он является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.

Представительства этих уважаемых организаций есть во всех крупных городах, и найти их координаты в Интернете или телефонном справочнике не составляет большой сложности.

Что делать? Прежде всего надо подать уведомление. Федеральный закон говорит (статья 22), что оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 этой статьи. Второе: чтобы правильно произвести классификацию вашей ИСПДн, нужно четко понимать порядок действий (см. рисунок) и использовать методические документы регуляторов.

Что же касается распространенного мнения, что не надо спешить с уведомлением уполномоченного органа, потому что «как только мы подадим уведомление, нас сразу же начнут проверять», то это не так. На самом деле все с точностью до наоборот. Уполномоченный орган в первую очередь при составлении плана проверок будет обращать внимание на организации, не подавшие уведомление.

В дальнейшем, как указывает Роскомнадзор, проверки будут формироваться по принципу: 30% – плановые и 70% – внеплановые. Причем под внеплановые проверки в первую очередь попадут компании, у которых были зафиксированы утечки персональных данных, на которые были поданы жалобы и иски от граждан, и те организации, которым ранее уже были выписаны предписания.

На сайте Роскомнадзора http://www.rsoc.ru есть раздел, где в открытом доступе можно ознакомиться со списком компаний, попавших в план ближайших проверок. Не поленитесь заглянуть и найти свою компанию в этом списке.

– Системный администратор не несет ответственности за деятельность нанимателя. Однако зачастую в служебных регламентах для системного администратора прописана функция «защита информации». А если и не так, то все равно защитой информации придется заниматься ему.

– Не будем детально обсуждать весь спектр возможных последствий нарушения ФЗ № 152 (это дело юристов), остановимся только на двух статьях.

На основании статьи 23 Федерального закона Уполномоченный орган по защите прав субъектов персональных данных имеет право:

  • направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
  • направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

Статья 24 гласит, что лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Несмотря на обилие статей гражданского, уголовного и административного кодексов, по которым оператор может быть привлечен к ответственности, выделим главное. Уполномоченный орган может ходатайствовать о приостановке действия лицензии на основной вид деятельности оператора на срок до 90 дней. Дальше решать вам, т.е. вашему руководителю компании, так как ответственность согласно выше перечисленному несет лично он.

Исходя из имеющейся статистики, далеко не каждая компания имеет в своем штате специалиста по информационной безопасности, в чьи непосредственные обязанности должна входить подготовка и аттестация ИС компании. Чаще всего в компаниях существуют подразделения ИТ и ИБ. Кто же должен заниматься в компании подготовкой и аттестацией ИС по требованиям Федерального закона?

Конечно, в каждой компании данный вопрос будет решаться индивидуально, но общую рекомендацию, наверное, можно дать. Описание ИС, а точнее, ее части, в которой обрабатываются персональные данные (ИСПДн), конечно, должен делать специалист ИТ-подразделения, а вот общую документацию и меры защиты должен разработать и контролировать сотрудник безопасности. Четкое взаимодействие этих подразделений позволит компании минимизировать свои расходы при проведении работ на соответствие требованиям и собственно проведение самой аттестации ИС.

В любом случае обязательным (на основании ФЗ) является назначение ответственного за обеспечение защиты персональных данных, и неважно, будет это специалист из ИТ-подразделения или из безопасности, главное, чтобы он был в организации. Правильное распределение функций и ответственности между подразделениями обязательно принесет свои плоды. Конечно, всегда остается возможность привлечения стороннего консультанта, который сделает эту работу за вас.

А теперь представьте, что вас назначили ответственным в компании за ИБ ПДн. Готовы ли вы отвечать по действующему законодательству за работу консультанта? Если нет, тогда давайте посмотрим, что можно сделать самостоятельно.

– Как избежать больших расходов при переходе на нормы закона о персональных данных? На чем можно экономить, а на чем нет?

– Для сокращения затрат организации на подготовку ИСПДн к аттестации можно часть работ из приведенного списка выполнить самостоятельно. Объем работ, которые вы можете взять на себя, зависит только от квалификации ваших сотрудников и желания разобраться с руководящими документами. Условно работу можно разделить на два блока.

Выполнить самостоятельно:

  • анализ процессов компании на предмет выявления ПДн;
  • аудит ИС на предмет оценки защищенности ПДн;
  • подготовка необходимых внутренних документов;
  • разработка плана технической защиты;
  • подготовка и подача уведомления в уполномоченный орган.

 Передать лицензиату ФСТЭК следующие мероприятия:

  • определение категории информации;
  • определение класса системы;
  • разработка модели актуальных угроз;
  • разработка мер по компенсации угроз.

Если вы решили передать консультантам весь комплекс работ по подготовке вашей ИСПДн к аттестации, то условно проект разделится на два этапа. Один из главных методов снижения затрат – это оптимизация бизнес-процессов и обработки персональных данных в ИС. И второй метод – четкое определение границ ИСПДн, при этом в компании может быть несколько ИСПДн различных классов в рамках единой ИС.

– Реализовать защиту ПДн без затруднения бизнес-процессов, а в некоторых случаях нарушения или остановки бизнес-процессов, практически невозможно (вернее, возможно, но для этого требуется огромное количество денег).

– Да, безусловно, одно из основных требований руководства к ИТ- и ИБ-службам – это обеспечение непрерывности бизнеса. В различных компаниях уровень автоматизации бизнес-процессов может колебаться от 10 до 99%, и с повышением автоматизации требования к ИТ-технологиям, используемым в ИС, ужесточаются. В некоторых информационных системах бизнес-процессы действительно могут быть усложнены, хотя вариантов избежать этого достаточно много. Чтобы правильно и безболезненно для организации подчистить все бизнес-процессы избыточного и, как правило, неоправданного использования персональных данных, желательно обратиться к профессионалам.

– Какие ПК попадают в классификацию ИСПДн? Нужно ли классифицировать все ПК, имеющие доступ к серверу (в которых база не хранится, а только открывается – для обработки, просмотра и т.д.)?

– Классифицировать надо ИСПДн, а не ПК. Другое дело, что в ИСПДн должны входить только ПК и серверы, на которых производится ввод и обработка ПДн. В отдельных случаях ИСПДн может состоять из одного ПК, это можно использовать при проведении процедуры оптимизации обработки персональных данных в ИС.

– Компании, обещающие консультации и проведение подготовки к аттестации: кто они и кому стоит доверять?

– Наверное, по этому поводу сказать что-то новое в принципе невозможно, к выбору стороннего исполнителя надо подходить точно так же, как и к выбору подрядчика для любых других работ. Желательно, чтобы компания, которой вы отдадите преимущество, имела необходимый опыт проведения таких работ и являлась лицензиатом ФСТЭК России и ФСБ России, что позволит ей заниматься вашим проектом.

Какие лицензии должен иметь ваш консультант? Приведенный ниже список, несомненно, избыточен, но в данном случае мы постарались указать лицензии для максимального комплекса работ консультанта. Познакомиться со списком лицензиатов ФСТЭК России и их лицензиями можно на соответствующем информационном ресурсе http://www.fstec.ru.

1. Лицензии Федеральной службы безопасности Российской Федерации на осуществление:

  • разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем;
  • технического обслуживания шифровальных (криптографических) средств;
  • распространения шифровальных (криптографических) средств.

2. Лицензия Федеральной службы безопасности Российской Федерации на осуществление разработки и (или) производства средств защиты конфиденциальной информации.

3. Лицензия Федеральной службы по техническому и экспортному контролю на проведение работ, связанных с созданием средств защиты информации:

  • разработка, производство, реализация, установка, монтаж, наладка, испытания, ремонт, сервисное обслуживание.

 4. Лицензия Федеральной службы по техническому и экспортному контролю на деятельность по технической защите конфиденциальной информации:

  • осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации.

8. Лицензия Федеральной службы по техническому и экспортному контролю на деятельность по разработке и (или) производству средств  защиты конфиденциальной информации:

  • осуществление разработки и производства средств защиты конфиденциальной информации.

Наличие у компании лицензий ФСТЭК России и ФСБ России на право деятельности и выполнения работ в области защиты государственной тайны только еще больше подтверждает уровень квалификации и компетенции в части защиты информации.

Общая рекомендация – это, безусловно, квалификация и компетенция специалистов, работающих в компании, которую вы приглашаете. И еще: при самостоятельном подборе средств защиты информации внимательно читайте содержимое сертификатов на эти средства.

Что в итоге?

Уважаемые коллеги, данная статья не претендует на решение конкретных проблем, но надеемся, дает понимание, что и как можно успеть сделать до наступления дедлайна. Несмотря на общую неразбериху и непонимание того, что вы должны сделать в первую очередь, предлагаем подумать и не торопиться пугать генерального директора космическими цифрами коммерческих предложений консультантов. Во всяком случае, это не ускорит принятия положительного решения в части выполнения требований законодательства.

Как члены консультативного совета при уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) можем с уверенностью сказать, что у регуляторов нет цели устраивать массовые репрессии. Конечно, исполнение закона обязательно, но текущая ситуация показывает, что регуляторы при проведении проверок всеми силами стремятся помочь организациям, а не наказать их. На наш взгляд – это главное.

И последнее. При появлении конкретного вопроса его можно задать напрямую любому из трех регуляторов, для этого есть все возможности: от личной встречи до обсуждения через указанные сайты. При этом нужно понимать, что количество операторов ПДн намного превышает численность подразделений регуляторов, скорость ответов не всегда будет приемлема для вашей ситуации. Чтобы хоть как-то помочь ИТ-директорам в части пояснений нормативных актов и методических консультаций, Комитет по ИБ Российского союза ИТ-директоров выпустил для членов клубов ИТ-директоров «Рекомендации по защите персональных данных» и готов отвечать на ваши вопросы на сайте СоДИТ (http://www.rucio.ru) или по адресу itsec@rucio.ru.

От редакции: «СА» продолжит обсуждение всех тонкостей применения Закона о персональных данных в 2010 году.

Приложение

Досье

 ВИКТОР МИНИН, советник председателя Совета МОО АЗИ, гендиректор компании «Миктера»

 ЮРИЙ ШОЙДИН, директор по ИТ ГК «Интарсия», член СоДИТ, член правления Санкт-Петербургского клуба ИТ-директоров, независимый консультант в области управления изменениями в компании

Общий порядок действий при подготовке ИСПДн к аттестации

Конечно, данный порядок достаточно условен и в каждой конкретной ситуации может быть уникален, но не грех еще раз проверить готовность каждого блока:

  • Оценка законности обработки ПДн и наличие согласия субъектов на обработку.
  • Контроль и корректировка договорных отношений с субъектами.
  • Формирование перечня ПДн и проведение категорирования.
  • Определение сроков и условий прекращения обработки ПДн.
  • Инвентаризация ИС, обрабатывающих ПДн.
  • Присвоение класса ИСПДн.
  • Разграничение доступа пользователей к ПДн в ИСПДн.
  • Формирование документов, регламентирующих работу с ПДн.
  • Формирование модели актуальных угроз.
  • Разработка мероприятий по компенсации угроз.
  • Направление уведомления об обработке ПД в уполномоченный орган.
  • Приведение системы защиты ПДн в соответствие требованиям регуляторов.
  • При необходимости, определенной методическими документами ФСТЭК России и ФСБ России, получить необходимые лицензии.
  • Аттестация ИСПДн.
  • Эксплуатация ИС – мониторинг, выявление и реагирование на инциденты ИБ.
  • Контроль за соблюдением условий использования средств защиты информации, предусмотренных документацией.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru