Остановимся далее на вопросах обеспечения безопасности персональных данных при их автоматизированной обработке

Постановлением Правительства Российской Федерации №781 от 17 ноября 2007 года утверждено "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

Какие это технические средства?

Под ними понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Положением устанавливается, что " Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, включающей

· организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства,

· средства предотвращения:

-несанкционированного доступа,

- утечки информации по техническим каналам,

- программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации" (т.е. они должны быть сертифицированными и соответствовать уровню отражаемых угроз).

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Методы и способы защиты информации в информационных системах устанавливаются:

· Федеральной службой по техническому и экспортному контролю и

· Федеральной службой безопасности Российской Федерации

в пределах их полномочий.

Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

Сразу видно, что одними техническими решениями дело не ограничивается. Требуются еще и организационные меры, что логично и естественно.

Постановлением определено,что:

-«Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц».

-«Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных».

-«Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом».

-«Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений».

-«При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин».

Кстати, согласно требований Федерального закона № 152 –ФЗ, статья 21, пункт 3. «В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган».

Это очень жёсткое требование, которое при его реализации может очень существенно негативно повлиять на бизнес организации Оператора ПД (страховые компании, банки, риэлторские организации, ит.п).

О чем еще говорит Постановление, на чем стоит остановить внимание:

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор.

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.

При обработке персональных данных в информационной системе должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

к) описание СИСТЕМЫ ЗАЩИТЫ персональных данных.

Все указанные требования по обеспечению защиты обрабатываемых персональных данных должны выполняться в соответствии с классификацией таких систем.

Классифицировать же свои информационные системы персональных данных (ИСПД) должны сами Операторы таких систем, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

2-й учебный вопрос - Категории персональных данных и классификация информационных систем обработки персональных данных.

Как классифицированы персональные данные и обрабатывающие их информационные системы?

На этот вопрос отвечает совместный Приказ ФСТЭК, ФСБ и МинИнформСвязи №55/86/20 от 13.02.2008 «Об утверждении порядка проведения классификации информационных систем персональных данных».

Утвержденный Порядок описывает проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

Проведение классификации информационных систем осуществляется самим Оператором персональных данных или по его поручению совместно с (на основании заключённого договора) уполномоченной организацией.

Процедура классификации включает в себя следующие этапы:

· сбор и анализ исходных данных по информационной системе;

· присвоение информационной системе соответствующего класса

· и его документальное оформление.

При проведении классификации информационной системы учитываются следующие исходные данные:

· категория обрабатываемых в информационной системе персональных данных - Х_пд;

· объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Х_нпд;

· заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

· структура информационной системы;

· наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

· режим обработки персональных данных;

· режим разграничения прав доступа пользователей информационной системы;

· местонахождение технических средств информационной системы.

При проведении сбора и анализа исходных данных прежде всего определяется категория обрабатываемых персональных данных:

Установлены следующие категории обрабатываемых в информационной системе персональных данных (Х_пд):

категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;

категория 4 - обезличенные и (или) общедоступные персональные данные.

Определяется показатель объема обрабатываемых персональных данных Х_нпд, который может принимать следующие значения:

1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются

· на типовые и

· специальные информационные системы.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Кроме того, к специальным информационным системам должны быть отнесены:

· информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

· информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

По структуре информационные системы подразделяются:

· на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

· на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

· на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на

· системы, имеющие подключения, и

· системы, не имеющие подключений.

По режиму обработки персональных данных в информационной системе информационные системы подразделяются на

· однопользовательские и

· многопользовательские.

По разграничению прав доступа пользователей информационные системы подразделяются на

· системы без разграничения прав доступа и

· системы с разграничением прав доступа.

Информационные системы в зависимости от местонахождения их технических средств подразделяются на

· системы, все технические средства которых находятся в пределах Российской Федерации, и

· системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Класс типовой информационной системы определяется на основе анализа категории и объема обрабатываемых персональных данных в соответствии с таблицей.

По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" [3].

В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

Результаты классификации информационных систем оформляются соответствующим актом оператора.

Итак, строго следуя нормативным актам в том виде, какие они есть сейчас, можно выделить следующие этапы работ по приведению ИСПДн в соответствие с требованиями нормативно-правовых документов РФ:

Первый шаг – выявить все свои ИСПД.

Второй шаг – определить назначение ИСПД и круг лиц, работающих с данной ИСПД, описать все это документально.

Третий шаг – классифицировать свои ИСПД в соответствии с Порядком классификации.

Четвертый шаг – создать (описать) модель угроз для каждой конкретной ИСПД, описать средства защиты, разработать ряд нормативных документов (таких как инструкция о порядке обработки ПД, регламент доступа в зону обработки ПД и т.д.).

Пятый шаг – уведомить Россвязьохранкультуру о наличии ИСПД и о присвоенной ей классе.

Шестой шаг – обеспечить техническими и организационными мерами требуемый уровень безопасности для каждой конкретной ИСПД в соответствии с ее классом. Для вновь создаваемых систем – во время разработки, для уже существующих – до 1 июля 2011 года (по Закону).

Седьмой шаг – при необходимости сертифицировать систему защиты ИСПД или саму ИСПД во ФСТЭК, получить лицензию на деятельность по технической защите.

Как создать модель угроз для конкретной ИСПДн, а также критерии и требования по защите информации в информационных системах персональных данных в зависимости от класса информационной системы мы рассмотрим с Вами на следующей лекции.

Задание:

Дата добавления: 2014-01-04; Просмотров: 480; Нарушение авторских прав?; Мы поможем в написании вашей работы!