Почти пять лет прошло с момента принятия первой редакции Федерального закона № 152-ФЗ «О персональных данных», а споры вокруг этого документа не думают утихать и по сей день. Тематике защиты персональных данных (ПДн) сейчас посвящена не одна сотня интернет-ресурсов, разномастные эксперты за пять лет понаписали кучу пропагандистских, научно-практических и юридически-философских статей, учебные организации предлагают всевозможные курсы повышения квалификации (чуть ли не пятую их версию), а системные интеграторы, от мала до велика, наперебой предлагают свои услуги организациям — операторам ПДн по приведению последних в соответствие с 152-ФЗ.

От темы не отстают и регуляторы — органы государственной власти, наделенные правом государственного контроля и надзора в сфере персональных данных: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ). Представители этих служб с большим желанием (в последнее время) участвуют в различных семинарах и конференциях, посвященных проблематике обработки ПДн, а операторы охотно идут на мероприятия с их участием.

Однако если почитать специализированные интернет-форумы, где профессиональное сообщество обсуждает похожие мероприятия, прошедшие в разных регионах нашей необъятной Родины, и анализирует ответы представителей территориальных управлений — регуляторов на наболевшие «операторские» вопросы, становится понятно, что, как говорится, ничего не понятно. Один и тот же вопрос, одинаково сформулированный и заданный представителю регулятора в Архангельске и, например, в Воронеже, может породить два совершенно противоположных по смыслу и содержанию ответа, и для каждого из вариантов каждый отвечающий находит свое обоснование, нередко основанное исключительно на его собственном понимании обсуждаемой предметной области. Наиболее суровые. баталии. идут вокруг требований по технической защите информационныхсистем персональных данных (ИСПДн) — наиболее затратной части комплекса мероприятий, который необходимо выполнить оператору в соответствии с законодательством. Именно поэтому основной удар приходится на подзаконные акты, разработанные в целях уточнения требований закона № 152-ФЗ, постановления Правительства РФ и нормативные документы регуляторов. Об основных проблемах в области технической защиты ИСПДн, о существовании принципиальной возможности их решения и о том, чего ожидать операторам в ближайшем будущем, и пойдет речь.

Неавтоматизированная обработка в ИСПДн

Специалисты в области защиты ПДн, прочитав этот заголовок, очевидно, подумают: как такое возможно — не профан ли автор? Что ж, разубеждать не буду — дочитайте до конца и вы все поймете, а я приведу пример из жизни. В одном городе, в маленькой бюджетной организации был отдел подготовки договоров. Раньше гражданину, пришедшему заключить договор, сотрудник отдела давал чистый бланк, ручку и предлагал вписать
ФИО и паспортные данные самостоятельно. Граждане писали невпопад, неразборчивым почерком, сотрудники заставляли их переписывать по нескольку раз, граждан это очень нервировало, они жаловались руководителю организации, и, когда чаша терпения была переполнена, на столах у сотрудников договорного отдела появились дохленькие ЭВМ и один на всех принтер. Схема работы изменилась: теперь гражданам не нужно было самостоятельно заполнять бланки — за них все делали сотрудники отдела.

Но вот незадача: в организацию нагрянула проверка регулятора. И вроде бы все хорошо: в организации были разработаны организационно-распорядительные документы и реализованы меры в соответствии с постановлением Правительства РФ № 687 (неавтоматизированная обработка), но ЭВМ с принтером были признаны регулятором как ИСПДн, а это означает, что ее необходимо классифицировать и защищать в соответствии с постановлением Правительства РФ № 781 (автоматизированная обработка). Руководитель организации, почитав интернет-форумы, стал возражать, ссылаясь на то, что у его коллег из других регионов ЭВМ, используемые в качестве пишущей машинки, не признавались ИСПДн, на что представители регуляторов развели руками: наше мнение — есть компьютер, значит, обработка автоматизированная, не согласны — оспаривайте
предписание в суде.

Давайте попробуем разобраться в этой ситуации и понять, откуда ноги растут.. Как известно, законом № 152-ФЗ регулируются отношения, связанные с обработкой ПДн, осуществляемой с использованием средств автоматизации или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с ПДн с использованием средств автоматизации. Не будем углубляться в смысловой анализ этого выражения, а лучше вспомним, что такое ИСПДн: это согласно закону № 152-ФЗ информационная
система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств. Итак, это все-таки совокупность ПДн, содержащихся в базе данных, и это ключевой момент. Единственное законодательное определение базы данных встречается в Гражданском кодексе РФ: базой данных является представленная в объективной форме совокупность самостоятельных материалов
(статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). Возникает вопрос: если ИСПДн, база данных и ЭВМ —понятия неразделимые, то как можно обрабатывать ПДн в ИСПДн (базе данных) без использования средств автоматизации? Ответа на него, увы, нет. В приведенном примере руководитель организации, доказывая свою правоту, ссылался на постановление правительства № 687. В утвержденном им Положении сказано, что обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение в отношении каждого из субъектов, осуществляются при непосредственном участии человека, а обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Регуляторы настаивали на том, что ЭВМ — это средство автоматизации, а использование ЭВМ для обработки ПДн подпадает под постановление Правительства РФ № 781, которое устанавливает требования к обеспечению безопасности ПДн при их обработке в ИСПДн, представляющих собой совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации.

Доводы руководителя организации о том, что необходимое условие для автоматизированной обработки (база данных) в его организации отсутствует (данные в ЭВМ не сохранялись) и уж тем более не используется «исключительно автоматизированная обработка», действия на регуляторов не возымели, а, порывшись в судебной практике, руководитель отыскал два совершенно противоположных решения суда и понял, что правда все-таки бывает не одна.

Чем же все-таки отличается обработка «с использованием средств автоматизации» и «без их использования (неавтоматизированная)»? Как определить, является ли ЭВМ на рабочем месте ИСПДн и под действие какого документа она подпадает? Очевидно, первым главным критерием для автоматизированной обработки является наличие базы данных ПДн, хранящейся в ЭВМ или на съемном носителе (здесь ЭВМ становится ИСПДн на период подключения носителя и работы с данными). При этом в качестве упорядоченной совокупности может выступать как файл базы данных, так и электронная таблица или даже несколько текстовых документов. В последнем случае все определяют цели, с которыми эти файлы размещаются в ЭВМ: если целью является поиск и обработка данных среди массива — обработка автоматизированная, если нет — тогда и хранить эти данные смысла не имеет.

Вторым главным критерием для определения вида обработки является наличие автоматизации при обработке ПДн. Если данные после внесения в ЭВМ подвергаются автоматизированной обработке (например, производится расчет средней величины в электронной таблице по заранее запрограммированной формуле), то такая обработка считается автоматизированной. Если же ЭВМ используется исключительно в качестве. пишущей машинки. без сохранения введенных данных в массиве (что в наше время до сих пор не редкость), такая обработка является неавтоматизированной и вы, как оператор, можете смело отстаивать свои права в суде.

Классификация специальных ИСПДн

Подавляющее большинство ИСПДн, классифицированных операторами, имеют обозначения, состоящие из русской буквы К и цифры, следующей за ней. Обозначение К расшифровывается как класс, а цифра соответствует номеру этого класса: чем выше номер, тем существеннее потенциальный ущерб гражданам, чьи ПДн обрабатываются в этой ИСПДн. Именно так нас учит документ под сленговым названием приказ трех, определяющий порядок проведения классификации ИСПДн. При ближайшем рассмотрении этого документа выясняется, что такая закономерность для класса и ущерба присутствует только на первый взгляд.

В качестве наглядного примера предлагаю классифицировать некую гипотетическую ИСПДн, назначение которой — обработка ПДн сотрудников большого, территориально распределенного учреждения. Поскольку мы легких путей неищем, пусть эта ИСПДн будет огромной: она обрабатывает большое количество записей (свыше 100 тыс.), территориально распределена по всей России и обрабатывает персональные данные 2-й категории, т. е. позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Спецкатегории в нашей ИСПДн не обрабатываются: не зря эти ПДн в законе № 152-ФЗ вынесены в отдельный раздел — они напрямую пересекаются с Конституцией РФ, дающей право на тайну частной жизни, поэтому их наличие автоматически переводит любую систему в класс К1. Первое, что нам необходимо сделать согласно. приказу трех, — собрать исходные данные об ИСПДн. К их числу относятся:

1. Категория обрабатываемых в информационной системе персональных данных Хпд = 2.
2. Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) Хнпд = 1.
3. Структура информационной системы —распределенная.
4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена — есть.
5. Режим обработки персональных данных —многопользовательский.
6. Режим разграничения прав доступа пользователей информационной системы — с разграничением прав доступа.
7. Местонахождение технических средств информационной системы — в пределах РоссийскойФедерации.

Кроме того, для нашей ИСПДн помимо конфиденциальности необходимо обеспечить и другие характеристики безопасности, например целостность и доступность, а значит, наша ИСПДн носит гордое название специальная. Вроде все характеристики собраны — давайте посмотрим, ради чего мы потратили свое время.

Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб, тем выше класс и соответственно тем выше должны предъявляться требования к технической защите. Пункт 14 приказа говорит о четырех классах: это отсутствие негативных последствий (4-й класс), незначительные негативные последствия (3-й класс), негативные последствия (2-й класс) и значительные негативные последствия (1-й класс). Присвоение того или иного класса ИСПДн согласно тому же пунктуосуществляется по результатам анализа исходных данных. Что ж, подход вполне справедливый.

Однако внимательное прочтение п. 14 приказа повергает в некоторое смятение: оказывается, такая классификация предусмотрена для типовых ИСПДн. Дословно: По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов... — и дальше идет перечисление. Стоп, но у нас же специальная ИСПДн исходя из буквы закона (приказ зарегистрирован в Минюсте и, стало быть, имеет юридическую силу), п. 14 ее не касается, и значит, должна быть какая-то другая классификация? Еще в более глубокое смятение повергает п. 15, фактически нивелирующий глубокий смысл п. 14 относительно анализа исходных данных. Пресловутая табличка, которая позволяет оценить класс типовой ИСПДн, фактически оперирует всего двумя ее характеристиками — Хпд и Хпнд. Об остальных исходных данных ИСПДн можно просто забыть! Позвольте, но зачем же тогда мы их собирали? Будь наша ИСПДн типовой, то согласно этой. табличке она попала бы в К1, однако наша ИСПДн специальная, и табличку эту, равно как и весь п. 15, мы можем просто не принимать во внимание. Что же делать?

Ответ на эти два вопроса кроется в п. 16, который согласно букве закона, заложенной в алгоритме классификации, нужно смотреть после п. 13 (невзирая на пп. 14 и 15), который говорит нам о том, что класс специальной ИСПДн определяется на основании исходных данных, собранных в соответствии с данным приказом, и на основе модели угроз безопасности ПДн в соответствии с методическими документами, разрабатываемыми согласно п. 2 постановления правительства № 781 — а это не что иное, как Базовая модель угроз и Методика определения актуальных угроз ФСТЭК России. Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем прийти к обоснованному выводу, что негативные последствия может вызвать нарушение целостности и доступности сведений отабельном учете и финансовой информации, так как это приведет к несвоевременной (неполной, неправильной) выплате заработной платы субъекту. Реализация всех остальных угроз (включая нарушение конфиденциальности) приведет к незначительным негативным последствиям, потому как приняты (или буду т приняты в дальнейшем, в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно к лассифицирована нами... как угодно! Что же в таком случае писать оператору, чья ИСПДн оказалась специальной, в акте к лассификации и в уведомлении об обработке ПДн?

На сегодня существуют три принципа классификации специальных ИСПДн, каждый из которых может применять оператор, исходя из личного понимания этого вопроса и степени влияния окружающей среды на его восприятие.

Первый принцип достался нам от двух отмененных документов из так называемого четверокнижия ФСТЭК. Согласно логике этих документов класс специальной ИСПДн не может быть ниже класса типовой с аналогичными исходными данными, поскольку в специальной необходимо обеспечить конфиденциальность и что-то еще (целостность, доступность). В этом случае модель угроз лишь сможет подтвердить, что специальная ИСПДн соответствует определенному к лассу типовой, а оператору в акте классификации (и в уведомлении) необходимо будет указать значение из диапазона К1 — К4.

Второй метод, который широко используется интеграторами, заключается в следующем. Сначала проводится предварительная к лассификация ИСПДн по «приказу трех» как для типовой, а затем с помощью модели угроз к ласс ИСПДн корректируется, при этом, как правило, он становится ниже того, что был получен в ходе предварительной классификации. В акте классификации оператор указывает: К1 — К4, специальная.

И наконец, третий, так называемый новаторский подход: оператор классифицирует ИСПДн как специальную и указывает это в акте классификации. При этом на методику приказа трех ссылаться нет никакой необходимости — нужно лишь разработать модель угроз и самостоятельно определить технические средства защиты исходя из перечня, приведенного в 58-м приказе.

Некоторые организации вводят свои, внутренние классы специальных ИСПДн (например, R2D2 или C3PO) и указывают их в акте классификации. По такому пути пошел ЦБ РФ, применив этот подход в отраслевом стандарте СТО БР ИББС и успешно согласовав его со всеми регуляторами.

Фотография человека и биометрические ПДн

К биометрическим ПДн законодательство относит сведения, характеризующие физиологические особенности человека, на основе которых можно установить его личность. За исключением определенных случаев, такие ПДн могут обрабатываться оператором только при наличии у него письменного согласия субъекта ПДн, а для их защиты предъявляются особенные требования.

В очень многих организациях развернуты корпоративные порталы, адресные книги и электронные доски объявлений, содержащие оцифрованное изображение сотрудника. Некоторые операторы используют электронные системы контроля и управления доступом, в которых изображение сотрудника не только отпечатано на электронном пропуске, но и отображается на мониторе поста охраны в момент его прохода через точку контроля. Конечно, фотография в определенной степени характеризует физиологические особенности человека, однако достаточно ли одной только фотографии для того, чтобы установить его личность? Означает ли это, что любая фотография человека является биометрическими ПДн, и что еще к таким ПДн относится? Ответ на эти вопросы, к сожалению, также доподлинно не известен. Никаких законодательных актов, устанавливающих перечни биометрических ПДн, на сегодняшний день не разработано, более того, анализ законодательства РФ на эту тему позволяет открыть весьма интересные моменты. Самый показательный из них — тот, что содержит в себе Федеральный закон «О государственной геномной регистрации в Российской Федерации» согласно которому ДНК человека не является биометрическими ПДн только потому, что не характеризует его физиологические особенности! Так неужели фотография — это биометрия?

На сегодняшний день существует единственный рекомендательный документ, определяющийтребования к оцифрованному изображению человека для того, чтобы его можно было использовать в системах биометрической идентификации, — это ГОС Т Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Формат обмена биометрическими данными», в разд. А.3.4.2 которого приводятся совершенно четкие и конкретные требования к оцифрованному изображению. И поэтому единс твенное, что остается делать оператору в с лучае признания регулятором фотографий, хранящихся в его информационной системе, в качестве биометрических ПДн, — апеллировать к отсутствию законодательных актов (покажите, где это написано?) и показывать брошюру ГОСТа, развернутую на соответствующей странице (здесь написано как, у меня не так).

Интересные особенности составления частной модели угроз

Специалистам по защите информации достаточно часто приходится сталкиваться с процедурой оценки рисков, фактически являющейся краеугольным камнем того, что принято называть безопасность. В общем виде формула расчета риска выглядит следующим образом:

Р = ПУ’ВРУ, где примерный (оценочный) ущерб ПУ ≥ 0, вероятность реализации угрозы ВРУ ≥ 0. При этом, если вероятность возникновения угрозы, для которой рассчитывается риск, стремится к нулю (например, угроза атаки инопланетян на центр обработки данных), то даже если ущерб от угрозы будет гигантский — такая угроза не принимается во внимание, поскольку риск будет стремиться к нулю.

Несмотря на то что эта формула применяется фактически повсеместно, внимательное изучение Методики определения актуальных угроз ФСТЭК повергает специалистов по расчету рисков в некоторое смятение. Все дело в том, что вместо термина риск используется понятие актуальность реализации угрозы, а сама формула по методике ФСТЭК выглядит так: А = ОПА Θ (ВРУ+ИЗ), где опасность ОПА = ПУ > 0, вероятность реализации (частота) угрозы ВРУ ≥ 0, исходная защищенность ИЗ ≥ 0. Символ Θ — это специальный оператор, определяющий актуальность угрозы по таблице. Таким образом, угроза, реализация которой несет в себе высокую опасность (ущерб), будет актуальна даже при низкой (нулевой) возможности (вероятности), а это означает, что если эксперт, составляющий частную модель угроз для ИСПДн, руководствуясь своим личным опытом и мнением, вдруг решит включить в нее угрозу инопланетной атаки (а вдруг — чего не бывает!), то ИСПДн придется защищать по самому высокому классу!

Еще один момент, на который хотелось бы обратить внимание, заключается в следующем. Как известно, самым уязвимым местом любой информационной системы является человек-пользователь: взломать его гораздо проще, а если им окажется еще и администратор, то следы утечки будет найти крайне затруднительно. Именно поэтому инсайдерские риски являются наиболее актуальными и требуют постоянного внимания со стороны специалистов по безопасности. Тем не менее согласно парадигме регуляторов (ФСТЭК и ФСБ) администраторы СЗИ и СКЗИ являются доверенным персоналом и в моделях угроз инсайдерские риски отсутствуют!

Кроме того, после отмены с 1 января 2010 г. ст. 14 Федерального закона «О частной детективной и охранной деятельности в Российской Федерации», дававшей право организациям создавать собственные службы безопасности, любые внутренние мероприятия по противодействию инсайдерским рискам носят нелегальный характер. Поэтому оператору пока приходится защищаться от технических и технологических угроз по весьма спорным методикам регуляторов и по-прежнему продолжать бороться с наиболее актуальными — инсайдерскими — рисками, но уже полулегальными методами.

Лицензирование деятельности по технической защите конфиденциальной информации

Весьма спорная необходимость получения лицензии на деятельность по технической защите конфиденциальной информации (ТЗКИ) свалилась на операторов, владеющих ИСПДн класса 3 распределенный и выше (т. е. на подавляющее большинство), в 2008 г. после выхода «четверокнижия» ФСТЭК и однозначно отпала сразу после его отмены. Однако и по сей день некоторые интеграторы продолжают пропагандировать необходимость ее получения, но уже всеми без исключения операторами ПДн, а на любом интернет-форуме по ПДн можно найти длинную ветку споров между противниками и сторонниками ее получения. При этом и те и другие руководствуются железобетонными (как им кажется) аргументами, а виной всему — банальная терминологическая неразбериха в законах и подзаконных актах. Что ж, давайте попробуем разобраться и мы.

Как это ни парадоксально, но на сегодняшний день в законодательстве РФ отсутствует определение понятия конфиденциальная информация: так называемый трехглавый закон, содержавший это определение до 2006 г., после принятия новой его редакции стал оперировать другими терминами: информация в отношении которой требуется обеспечить конфиденциальность, информация ограниченного распространения, информация ограниченного доступа.

Тем не менее Федеральный закон от 4 мая 2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности», как и старая его редакция, попрежнему продолжает требовать от юридических лиц получения лицензии на деятельность по защите законодательно несуществующей категории информации.

Другим часто обсуждаемым вопросом является вопрос о том, что считать деятельностью — любые телодвижения в отношении (пусть и не-существующего) предмета лицензирования или только те, что приносят движущемуся какие-то дивиденды? Принципиальная необходимость лицензирования предопределена гражданским законодательством, в соответствии с которым отдельными видами деятельности (их перечень как раз и определяет закон № 99-ФЗ) юридическое лицо может заниматься только на основании специального разрешения (лицензии). Вмес те с тем гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли. Это означает, что получать лицензию необходимо только тем, к то собирается извлекать прибыль непосредственно путем ведения этой деятельности, т. е. выполнять работы или оказывать услуги (естес твенно, небезвозмездно) тем, к то по каким-то причинам не желает это с делать самостоятельно. Применительно к нашему случаю, если оператор не желает самостоятельно проводить работы по технической защите ИСПДн, он вправе привлечь стороннюю организацию, обладающую соответствующей лицензией.

Именно такой подход закреплен в приказе № 58 ФСТЭК однако сама ФСТЭК до недавнего момента отвечала на запросы по этому поводу крайне неинформативно (ведете деятельность получайте лицензию), а в некоторых случаях отдельные представители этой службы даже настаивали на получении такой лицензии. И лишь сравнительно недавно на конференциях и семинарах все чаще стали звучать мнения представителей ФСТЭК о том, что лицензию для собственных нужд получать не нужно.

Тем не менее однозначного ответа на вопрос, нужно или нет, не дает ни один законодательный акт. Даже после принятия нового закона «О лицензировании», в котором содержится норма о том, что к лицензионным требованиям не могут быть отнесены требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, в широких массах уже начались споры о том, что же такое лицензионные требования. Оператору, как всегда, остается руководствоваться личным восприятием этого вопроса, основанным на собственном мнении, а также отслеживать мнение регуляторов и профессионального сообщества о том, куда же повернет флюгер.

Оценка соответствия и сертификация

Всем операторам должен быть известен п. 5 постановления Правительства РФ № 781, предписывающий использовать для защиты ИСПДн средства, прошедшие «процедуру оценки соответствия», да еще и «в установленном порядке». При этом на всех семинарах и конференциях по технической защите ИСПДн представители регуляторов используют термин «в обязательном порядке сертифицированные ФСТЭК и ФСБ средства защиты информации». Получается, что сертификация и оценка соответствия — это одно и то же? Попробуем разобраться, так ли это.

Оценка соответствия проводится для того, чтобы удостовериться, что оцениваемый объек т удовлетворяет заявленным требованиям (характеристикам), в нашем с лучае, например, что антивирусное ПО действительно защищает от вирусов, не содержит в себе вредоносного ПО (такое сейчас нередкость), программных зак ладок, не является spyware, grayware и в общем пригодно к использованию в ИСПДн определенного класса для защиты ПДн соответствующей категории.

Федеральный закон «О техническом регулировании» № 184-ФЗ определяет оценку соответствия как прямое или косвенное определение соблюдения требований, предъявляемых к объекту, и гласит о том, что она проводится в следующих формах государственного контроля (надзора): аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме. Обязательная сертификация, в свою очередь, является одной из форм подтверждения соответствия — обязательной. Помимо этого, подтверж дение соответствия может быть еще и добровольным (добровольная сертификация), а обязательное подтверждение соответствия может осуществляться и в форме принятия декларации о соответствии (декларирования соответствия). Таким образом, сертификация в общем и обязательная сертификация в частности — это лишь одна из многочисленных форм оценки соответствия.

В соответствии с приказом № 58 ФСТЭК оператор сам вправе выбирать и реализовывать методы и способы защиты информации из тех, что перечислены в п. 2.1 приказа, согласно которому, «использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия», является лишь одним из таких методов и способов.
Оценка соответствия должна проводиться на основании технического регламента, однако на сегодняшний день такие регламенты для средств защиты информации отсу тствуют, а это означает, что до дня вступления такого регламента в силу необходимо руководствоваться правилами и процедурами, установленными нормативными правовыми актами Российской Федерации. Кроме того, в отношении продукции, используемой в целях защиты информации ограниченного доступа, наряду с требованиями технических регламентов обязательными являются требования, установленные, в том числе, ФСТЭК и ФСБ.И такие требования есть. Изложены они в том же постановлении правительства № 781: результаты оценки соответствия оцениваются в ходе экспертизы, осуществляемой ФСТЭК и ФСБ, а средства защиты подлежат учету с использованием индексов или условных наименований и регистрационных номеров, перечень которых также устанавливает ФСТЭК и ФСБ.

Все это недвусмысленно. намекает. на обязательную сертификацию, поскольку только в этом случае проводятся указанные мероприятия. Однако существует ли законодательный акт, где это явно написано? Как ни странно, да. Это постановление Правительства РФ от 15 мая 2010 г. № 330 «Об особенностях оценки соответствияпродукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну». Почему странно, спросите вы? Да потому, что этот документ носит ограничительный гриф Для служебного пользования и поэтому недоступен для подавляющего большинства операторов, а также потому, что с момента своего издания не зарегистрирован в Министерстве юстиции РФ.

С учетом этих фактов и требований законодательства РФ постановление Правительства РФ № 330 носит необязательный характер. Более того, согласно 184-ФЗ для того, чтобы применять обязательную сертификацию в качестве оценки соответствия до момента разработки технического регламента на соответствующую продукцию, необходимо, чтобы она была внесена в Единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии. Продукция, как-либо относящаяся к СЗИ, в этом перечне отсутствует, сам перечень ежегодно урезается, и, судя по тренду, каких-либо шансов на то, что она когда-нибудь там появится, остается все меньше.

В условиях такой неразберихи оператору можно посоветовать только одно — самостоятельно принять решение относительно использования сертифицированных средств защиты информации и следовать ему: либо быть готовым отстаивать свои интересы в суде, оспаривая предписание регулятора, либо нести дополнительные (по сравнению с несертифицированными порой весьма существенные) расходы на приобретение и поддержку сертифицированных СЗИ, но жить спокойно.

Сертифицированная криптография

Вопросы использования средств криптографической защиты информации (СКЗИ) выходят за рамки ПДн и лежат в плоскости обеспечения безопасности государства: дело в том, что использование стойких криптографических алгоритмов с так называемым. длинным. ключом (свыше 56 бит) для защиты данных делает их раскрытие достаточно затруднительным и потому требует гораздо больше времени, а это означает сведение на нет одного из важнейших элементов системы оперативно-розыскных мероприятий (СОРМ). Именно поэтому еще со времен СССР вопросами криптографии целиком и полностью ведает ФСБ. Само собой разумеется, что для защиты государственной тайны должны использоваться сертифицированные ФСБ СКЗИ. Однако нормативная база РФ в области криптографии, насчитывающая свыше 40 документов, вне зависимости от того, какие категории информации защищаются, диктует следующее:

1. Для шифрования данных с использованием «длинного» к люча допускается использовать иск лючительно сертифицированные алгоритмы, описанные в соответствующих ГОСТах РФ.
2. Для разработки и производства, распространения, технического обслуживания, предоставления услуг необходима соответствующая лицензия.
3. Использование СКЗИ, не прошедших сертификацию ФСБ, запрещено.

Однако со времен КГБ мир сильно изменился, и сейчас практически любое программное или аппаратное средство передачи информации содержит в себе функционал, поддерживающий защиту данных криптографическими методами, и в большинстве случаев используются «длинные» к лючи (128 бит и выше) и западные, не ГОСТовские, алгоритмы (AES, DES и т. д.). Это применимо и к сотовому телефону, и к сервису IP-телефонии, и к электронной почте или к личному кабинету на каком-нибудь интернет-сайте. Кстати, именно повсеместное распространение несертифицированных стойких криптографических алгоритмов и вызвало серьезную озабоченность у ФСБ, выразившуюся в недавнем предложении этой службы о полном запрете на территории РФ таких сервисов, как SKYPE, Gmail и Hotmail.

С момента выхода в свет первой редакции закона № 152-ФЗ до первого переноса сроков вступления в силу требований к технической защите ИСПДн в декабре 2009 г. все операторы были обязаны использовать СКЗИ для защиты ПДн. В настоящее время необходимость их использования определяется оператором самостоятельно, но если вдруг оператор решит их использовать, то согласно методике ФСБ они должны быть сертифицированы. И тут у оператора сразу возникают две вытекающие одна и другой проблемы.

Первая заключается в том, что подавляющее большинство присутствующих на рынке РФ технических средств использует длинные ключи и западные, несертифицированные алгоритмы. Как же их использовать? И здесь возникает вторая проблема — необходимо идти в ФСБ, рассказать, почему без таких средств оператору не обойтись, и договариваться об их использовании, выполнить мероприятия, указанные в ПКЗ-2005, и получить соответствующую лицензию! Именно так, очевидно, поступают банки, внедряя для физических лиц системы интернет-банкинга, работающие по протоколу HTTPS с использованием алгоритма RSA с ключом длиной 1024 бит, Федеральная налоговая служба, реализовавшая с помощью таких же средств личный кабинет налогоплательщика н собственном сайте, и много кто еще.

Что делать оператору, использующему СКЗИ, например, для организации удаленного доступа в корпоративную сеть и VPN с западными алгоритмами. Неужели придется их менять? Вопрос пока открыт, и склоняется он в сторону замены, по крайней мере, нормативная база РФ говорит об этом. Но даже если СКЗИ в организации используются, с точки зрения защиты ПДн оператор имеет полное право не учитывать их при составлении модели угроз, представив их как средства, обеспечивающие вну тренние технологические нужды организации. В модели угроз оператор может указать, что ПДн, выходящие за пределы контролируемой зоны, являются обезличенными, а потому не требуют защиты. Такой подход предлагают некоторые эксперты, правда, с одной оговоркой: если оператор будет готов отстаивать свою позицию в суде, оспаривая возможные предписания регуляторов.

Некоторым послаблением может служить то обстоятельство, что через 180 дней после опубликования Федерального закона № 99-ФЗ «О лицензировании отдельных видов деятельности» (а он опубликован 6 мая 2011 г.) отпадет необходимость получения лицензии на техническое обслуживание СКЗИ, если оно осуществляется для обеспечения собственных нужд организации. Во всем остальном вопросы использования СКЗИ являются, пожалуй, одними из самых спорных — остается надеяться, что правительственная комиссия, созданная после выпадов ФСБ в сторону SKYPE, к 1 октября 2011 г. представит возможные пути их решения.

Неутешительный итог

Проведя краткий обзор наиболее острых проблем технической защиты ИСПДн, автор с сожалением вынужден констатировать: многие положения закона № 152-ФЗ сформулированы так, что предполагают несколько вариантов их трактовки. Поэтому операторам, регуляторам и судам зачастую приходится «включать» понятийный аппарат, а на определение «истины» в большей степени влияет авторитет определяющего.

Некоторые положения закона № 152-ФЗ противоречат Конституции РФ, в частности нарушена ч. 3 ст. 17 Конституции РФ в отсутствие баланса интересов и абсолютизации права субъекта, а также установлена презумпция виновности оператора ПДн (обязанность доказать наличие согласия) вместо презумпции добросовестности субъектов сделки и презумпции добросовестности субъектов предпринимательской деятельности.

Главная цель закона № 152-ФЗ — защита прав и законных интересов субъекта ПДн, в том числе путем компенсации нанесенного ему ущерба. Однако операторы, как и пять лет назад, по-прежнему озабочены защитой данных иск лючительно для того, чтобы не «подставиться» перед регуляторами, несмотря на жесткие требования которых ответственность за любые инциденты несет исключительно оператор. На деле об ущербе субъекту никто не вспоминает, и уж тем более никто его не оценивает.

Стоит ли надеяться на изменение столь сложной и противоречивой ситуации с технической защитой ИСПДн к лучшему в обозримом будущем? Многие операторы с трепетом ожидают второго чтения проекта федерального закона № 282499-5 «О внесении изменений в Федеральный закон „О персональных данных“», внесенного депутатом Государственной Думы В. М. Резником и принятого Государственной Думой в первом чтении 5 мая 2010 г. Этот законопроект вносит в закон № 152-ФЗ весьма существенные изменения — некоторые эксперты считают его фактически новым законом. По мнению многих, тот факт, что законодатели не успели принять его до 1 января 2010 г., явился одной из причин второго переноса сроков вступления в силу требований к технической защите ИСПДн, на этот раз до 1 июля 2011 года.

И законодатели, и эксперты понимают необходимость скорейшего внесения изменений — третий раз переносить сроки никому не хочется. Ждать, очевидно, осталось недолго — второе чтение законопроекта намечено на май 2011 г.

Правительство РФ, как и ранее, будет устанавливать требования к защите ПДн, состав и содержание организационных и технических мер для защиты ПДн, как и раньше, будут устанавливать ФСТЭК и ФСБ в пределах их полномочий. А вот дальше идут интересные предложения.

Первое заключается в том, что ФСТЭК и ФСБ смогут осуществлять контроль и надзор за выполнением мер по обеспечению безопасности ПДн при обработке ПДн, но исключительно в государственных ИСПДн. Таким образом, оператору-частнику, вспоминая откровенный бардак в законодательстве, не придется больше с содроганием ждать проверки со стороны этих регуляторов.

Второе предложение заключается в том, что в законопроекте предлагается установить размер компенсации, которую может потребовать субъект ПДн в случае нарушения положений закона, повлекшего за собой неправомерные действия в отношении его ПДн: размер компенсации установлен в размере от 10 тыс. до 5 млн рублей и определяется по усмотрению суда.

Самое главное новшество заключается в том, что оператор освобождается от ответственности в виде выплаты компенсации в случае, если неправомерные действия произошли в результате возникновения чрезвычайного и не предотвратимого при данных условиях обстоятельства, или в случае, если он обеспечил уровень защищенности по тем выполнения установленных ФС ТЭК и ФСБ требований! Таким образом, предлагается законодательно признать требования ФСТЭК и ФСБ единственно и безальтернативно правильными: оператор, выполнивший их, получает своего рода «отпущение грехов» и может спать спокойно — никакие претензии ему не страшны. Пострадавший субъект ПДн, как и прежде, останется с носом.

Примут эти поправки или нет — узнаем в ближайшее время. Но как бы то ни было, никому не следует забывать главную цель законодательства — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Не забывайте об этом и вы, дорогие читатели.

Защита персональных данных – это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.

Основные положения Закона «О персональных данных»

• Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
• Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
• В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
• Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
• Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
• Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
• Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.

Комплекс мероприятий по обеспечению защиты персональных данных

Организационные меры по защите персональных данных включают в себя:

• Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
• Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
• Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
• Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
• Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.

Технические меры по защите персональных данных предполагают внедрение и использование программно - аппаратных средств защиты информации. При осуществлении обработки ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из уровня защищенности системы персональных данных.

Требования к информационным системам персональных данных

Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.

Помимо этого, детализированные требования по защите персональных данных установлены, в частности:

• приказом ФСТЭК № 21 от 18.02.2013 г;
• приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).

Также, согласно требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, базы данных информационных систем, в которых осуществляется запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должны быть расположены на территории РФ.

Контроль

Контроль за выполнением законодательства возложен на следующие органы:

• Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) – основной надзорный орган в области персональных данных;
• ФСБ – основной надзорный орган в части использования средств шифрования;
• ФСТЭК – надзорный орган в части использования технических средств защиты информации.

Уполномоченный орган по защите прав субъектов персональных данных проводит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

Типичные позиции операторов персональных данных

1. ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.

   Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.

   Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.

2. “Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.

   В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, а значит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.

Классическая ситуация: реализовать своими силами, или приглашать консультантов?

Для того, чтобы ответить на этот вопрос, необходимо определиться со следующими вещами:

• Готов ли руководитель компании взять на себя ответственность за успешную реализацию проекта по защите персональных данных?
• Есть ли у компании квалифицированные сотрудники, обладающие глубоким пониманием требований законодательства, а также необходимыми юридическими и техническими знаниями и навыками?
• Может ли руководство компании оценить сроки и стоимость такого проекта?
• Как выполнить требования закона по защите персональных данных и при этом не нарушить деятельность критических бизнес-процессов компании?
• Каким образом необходимо подавать уведомление в регулирующие органы?

Если вышеперечисленные задачи не могут быть реализованы собственными силами, следует привлекать внешних консультантов.

Компания “Pointlane” оказывает полный цикл услуг по консультационным вопросам в области соответствия требованиям законодательства о персональных данных:

• Консультации по вопросам требований законодательства и определения их действия применительно к Вашей организации (в том числе консультации по вопросам соответствия требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, касающимся вопросов обработки ПДн граждан РФ с использованием баз данных, находящихся на территории РФ);
• Обследование процессов и информационных систем обработки персональных данных, формирование рекомендаций по обработке и защите персональных данных;
• Подготовка необходимой организационно – распорядительной документации по вопросам обработки и защиты персональных данных;
• Определение уровня защищенности ИСПДн (информационных систем персональных данных) и формирование необходимых требований к их защите в соответствии с выбранным уровнем защищенности;
• Построение модели угроз и модели нарушителя безопасности персональных данных;
• Проектирование системы защиты персональных данных;
• Закупка и внедрение средств защиты;
• Подготовка ИСПДн к аттестации (для государственных или муниципальных органов) либо декларирование соответствия требованиям законодательства о персональных данных (для всех остальных организаций);
• Подготовка уведомления в Роскомнадзор для регистрации Вашей организации в качестве оператора персональных данных;

А также:

• Сопровождение проверок Роскомнадзора;
• Аутсорсинг обязанностей лица, ответственного за обработку и защиту персональных данных.

Преимущества проведения мероприятий по защите персональных данных

После внедрения системы защиты персональных данных Заказчик получит:

• Защиту от претензий и штрафов со стороны регулирующих органов;
• Преимущества перед конкурентами, т.к декларирование соответствия требованиям законодательства о персональных данных приведет к повышению прозрачности и доверия к компании со стороны потенциальных и существующих контрагентов и клиентов;
• Отсуствие негативных отзывов в прессе и СМИ, связанных с неудовлетворительными результатами прохождения проверок регулирующих органов;
• Возможность продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;
• Возможность работы с персональными данными не только внутри компании, но и при передаче их сторонним организациям;
• Защиту от непредвиденной и принудительной остановки бизнеса;
• Защиту от недобросовестных конкурентов;
• Информационные системы, соответствующие всем стандартам и требованиям законодательства в области персональных данных.

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке , установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Создание Системы защиты персональных данных (СЗПДн) и приведение процессов обработки и обеспечения безопасности персональных данных (ПДн) в соответствие с положениями Федерального закона № 152-ФЗ «О персональных данных» и требованиями нормативных документов позволяет минимизировать правовые и репутационные риски, связанные с потенциальными утечками ПДн и несоблюдением законодательства РФ. При проведении указанных работ учитываются процессы обработки и защиты ПДн как без использования средств автоматизации (на бумажных носителях), так и в информационных системах персональных данных (ИСПДн).

Для организации эффективной защиты персональных данных в Компании необходимо создать и внедрить комплекс организационных, программно-технических и нормативно-методических мер, которые включают в себя:

• определение состава обрабатываемых ПДн, угроз безопасности ПДн и требуемого уровня защищенности ПДн (обычно осуществляется );
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• применение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения требуемого уровня защищенности ПДн;
• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Создание системы защиты персональных данных

Работы по построению системы защиты персональных данных начинаются с разработки «Технического задания на создание системы защиты ПДн» и внутренних организационно-распорядительных документов, регулирующих процессы обработки и защиты ПДн. Техническое задание на создание системы защиты персональных данных подготавливается с учетом «Модели нарушителя и угроз безопасности ПДн» и требуемого уровня защищенности ПДн, определенного , и содержит следующие сведения:

• обоснование необходимости разработки СЗПДн;
• исходные данные об ИСПДн в техническом, программном, информационном и организационном аспектах;
• сведения об актуальных угрозах безопасности ПДн и требуемом уровне защищенности ПДн при их обработке в ИСПДн;
• ссылки на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
• перечень необходимых для реализации организационных и технических мер по обеспечению безопасности ПДн, определенный в соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 № 21, путем адаптации, дополнения и уточнения базового набора мер;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн;
• требования к составу и содержанию организационно-распорядительной документации и к эксплуатационной документации на СЗПДн.

Зафиксированные в Техническом задании меры по обеспечению безопасности должны обеспечивать как требуемый уровень защищенности персональных данных, так и нейтрализацию актуальных угроз безопасности.

До внедрения средств защиты информации по желанию Заказчика могут быть проведены их макетирование и стендовые испытания с учетом исходных данных, полученных на этапе обследования, а также требований, определенных Техническим заданием на СЗПДн. В рамках макетирования проводится анализ применимости, совместимости и внедряемости СЗИ в ИСПДн организации. В результате определяется состав технических средств защиты информации, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн. Проводятся стендовые испытания СЗИ. При необходимости производится уточнение Технического задания на создание СЗПДн.

Следующий рекомендуемый шаг – разработка Технического проекта системы защиты персональных данных, который содержит детальное описание конкретных программно-технических решений для создания СЗПДн, осуществляется на основе Технического задания и результатов стендовых испытаний средств защиты информации.

Более подробную информацию о проектировании систем защиты информации можно получить на .

Разработка организационно-распорядительных документов

Как правило, параллельно с разработкой Технического задания на создание СЗПДн осуществляется разработка комплекта внутренних нормативных актов, регулирующих процессы обработки и защиты ПДн. Разрабатываемый комплект документов направлен на реализацию мер по защите, предусмотренных Техническим заданием, а также на выполнение прочих обязанностей Операторов ПДн, предусмотренных законодательством РФ.

Многие руководители предприятий до сих пор не вполне ясно представляют себе, что конкретно нужно делать для защиты персональных данных в соответствии с требованиями Федерального закона № 152 от 27.07.2006 года «О персональных данных» . Такая ситуация вызвана отсутствием практики применения норм Закона в проектах по обеспечению защиты персональных данных .

Основные требования по защите персональных данных общеизвестны:

• предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в компании
• вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями
• за неисполнение требований предусмотрены различные виды ответственности
• перечень организационных и технических мероприятий также определен:
  • уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных
  • разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных)
  • создание системы защиты персональных данных , в т.ч. выполнение требований по инженерно-технической защите помещений
  • аттестация ИСПДН (аттестация или декларирование соответствия информационных систем персональных данных (ИСПДн) требованиям безопасности информации)
  • повышение квалификации сотрудников в области защиты персональных данных

Вопросы, которые требуется решить каждому предприятию:

• Как обеспечить защиту персональных данных в соответствии с требованиями законодательства?
• Как завершить работы в установленный срок?
• Как минимизировать затраты на создание системы защиты?

Действие 1. С чего начинать?

Вначале нужно ответить на ряд вопросов, от которых зависит дальнейший план действий по выполнению требований законодательства. Для этого предстоит провести предварительный анализ информационных ресурсов предприятия. Это можно сделать самостоятельно или пригласить сторонних специалистов – экспертов в области защиты персональных данных , которые проведут работы на высоком профессиональном уровне.

1.1. Установить перечень персональных данных, обрабатываемых на предприятии

Перечень персональных данных. В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Если кадровый учет и бухгалтерия есть на любом предприятии, то другие направления деятельности, где используются персональные данные, требуется установить: это могут быть данные клиентов, заказчиков, посетителей, партнеров, контрагентов и т.п.

Цели обработки персональных данных. Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; оформление пропусков для входа на территорию предприятия; договор оказания услуг и т.п.

Сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.

1.2. Способы обработки персональных данных?

Обработка персональных данных может осуществляться с использованием средств автоматизации или без использования таких средств.

Обработка ПДн без использования средств автоматизации (неавтоматизированная обработка). Понятие неавтоматизированной обработки персональных данных определено в от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации.

Обработка ПДн с использованием средств автоматизации. В этом случае на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн) (например, система бухгалтерского учета, система взаимоотношений с клиентами, биллинговая система и т.п).

1.3. Определить состав и объем обрабатываемых персональных данных?

Состав персональных данных. В зависимости от состава персональных данных (например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т.п.) определяется категория, к которой они относятся:

• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 4 - обезличенные и (или) общедоступные персональные данные.

Объем обрабатываемых ПДн. Установить объем персональных данных (количество субъектов ПДн), обрабатываемых в каждой информационной системе ПДн.

1.4. Провести предварительную классификацию информационных систем ПДн

Информационные системы ПДн (ИСПДн) делятся на:

• Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
• Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

На основании данных, полученных в предыдущих пунктах, провести предварительную классификацию «типовых» информационных систем ПДн. Классификация ИСПДн осуществляется в соответствии с таблицей, рекомендованной регуляторами:

В зависимости от класса зависят требования по обеспечению безопасности информационной системы ПДн. Чем выше класс информационной системы ПДн, тем выше требования по обеспечению ее защиты.

1.5. Полученные результаты и способы защиты персональных данных

После проведения предварительного анализа информационных ресурсов собственного предприятия можно получить представление о состоянии информационных ресурсов в части обработки персональных данных (перечень и характеристики обрабатываемых ПДн), осознать масштаб сложности решаемых задач и определить дальнейшие шаги по выполнению требований Закона «О персональных данных» .

Если в результате предварительной классификации на предприятии оказались информационные системы ПДн 1-го и 2-го классов это значит, что к таким системам предъявляются повышенные требования по обеспечению их безопасности и существенно увеличиваются расходы на проведение работ по созданию системы защиты ПДн.

Способы минимизации затрат на создание системы защиты персональных данных.

• При классификации информационной системы ПДн (ИСПДн) как «специальная» возможно снижение затрат на создание системы защиты ПДн. Классификация «специальной» системы осуществляется на основании разрабатываемой модели угроз безопасности ПДн, что дает возможность в каждом конкретном случае обоснованно выбрать минимальное количество актуальных угроз, от которых требуется защитить персональные данные.
• При разработке требований к системе защиты персональных данных (СЗПДн) проводится логическое структурирование, основанное на анализе возможности сегментирования и (или) объединения ИСПДн. Такой подход позволяет выбрать оптимальное количество ИСПДн в соответствии с бизнес-процессами обработки ПДн.
• Разработка требований с учётом возможностей инфраструктуры Заказчика, при этом максимально используются штатные средства ОС, СУБД и механизмов обеспечения ИБ корпоративной информационной системы

Перечисленные методы позволяют минимизировать затраты и выполнить требования Закона «О персональных данных» .

Для проведения таких мероприятий целесообразнее пригласить специализированную организацию с опытом работ по данному направлению.

Действие 2. Подача уведомления в уполномоченный орган

Обработка персональных данных без уведомления.

Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:

• если предприятие обрабатывает персональные данные граждан, которых связывают с предприятием трудовые отношения;
• при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются предприятием исключительно для исполнения указанного договора;
• если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
• если персональные данные являются общедоступными;
• если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
• если персональные данные необходимы для однократного пропуска на территорию предприятия;
• персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
• персональные данные обрабатываются без использования средств автоматизации.

Если один или несколько из перечисленных пунктов относится к Вашему предприятию, подавать уведомление в Роскомнадзор не нужно.

Подача уведомления в Роскомнадзор.

Во всех остальных случаях предприятие обязано подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления предприятие регистрируется в реестре операторов, осуществляющих обработку персональных данных.

Форма уведомления утверждена Приказом Роскомнадзора № 8 от 17.07.2008 года и содержит следующие основные положения: наименование и адрес местонахождения предприятия; цель обработки персональных данных; категории персональных данных и субъектов персональных данных; правовое основание и способы обработки персональных данных.

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Действие 3. Организационные меры защиты персональных данных

Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации.

Организационные меры по защите персональных данных включают в себя:

• разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):
  • Положение об обработке персональных данных;
  • Положение по защите персональных данных;
  • Регламент взаимодействия с субъектами персональных данных;
  • Регламент взаимодействия при передаче персональных данных третьим лицам;
  • Инструкции администраторов безопасности персональных данных;
  • Инструкции пользователей по работе с персональными данными;
• перечень мероприятий по защите персональных данных:
  • определение круга лиц, допущенного к обработке персональных данных;
  • организация доступа в помещения, где осуществляется обработка ПДн;
  • разработка должностных инструкций по работе с персональными данными;
  • установление персональной ответственности за нарушения правил обработки ПДн;
  • определение продолжительности хранения ПДн и т.д.

Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования их защиты.

Действие 4. Техническая защита персональных данных

Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.

Технические средства защиты информации делятся на два основных класса:

• средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
• средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).

В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

• для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) на выполнение такого вида деятельности;
• требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);
• на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);
• далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);
• аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.

Действие 5. Выбор исполнителя

После изучения вопроса и понимания того, что выполнять работы необходимо, каждый руководитель задает себе следующий вопрос: можно ли самостоятельно выполнить требования законодательства или воспользоваться услугами специализированных организаций?

Если обработка персональных данных в компании осуществляется без использования средств автоматизации (неавтоматизированная обработка), обеспечение защиты ПДн вполне реализуемо собственными силами. При обработке ПДн с использованием средств автоматизации необходимо оценить сложность и масштабность работ, взвесить все положительные и отрицательные стороны того или иного подхода и принять оптимальное решение по выбору исполнителя проекта.

Выполнение работ своими силами

Реализовать работы по защите ПДн можно и собственными силами, но их эффективность зависит от наличия следующих ресурсных возможностей:

С учетом временных ограничений (срок завершения работ – 01.01.2010 года) проведение работ собственными силами может растянуться на длительный период, превышающий установленные законом сроки. Соответственно, возникают риски предъявления претензий со стороны регуляторов за неисполнение требовании законодательства.

Привлечение специализированной организации

Воспользовавшись услугами организации, специализирующейся на оказании услуг по обеспечению безопасности информации, заказчик получает следующие выгоды:

• специализированная компания обладает необходимыми ресурсными возможностями: соответствующие лицензии; штат высокопрофессиональных специалистов; практический опыт реализации проектов; знание нормативно – методической базы в сфере обработки ПДн;
• реализации работ в минимальные сроки: выполнение всего комплекса работ одним исполнителем; использование практического опыта ведения аналогичных проектов; минимум времени на подготовку и реализацию технических заданий;
• минимизация затрат: выбор оптимальной конфигурации программно – аппаратных средств защиты, отвечающей требованиям защиты информации; минимизация требований защиты при согласовании документов с регуляторами; отсутствие методических ошибок, что не исключено при проведении работ самостоятельно.

Подробнее об услугах компании Weta в разделе .

Заключение

В любом случае, независимо от размера и организационной структуры предприятия, наличия или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних организаций приступать к решению задачи под названием «Выполнение требований Закона О персональных данных » нужно как можно быстрее. Так как установленный законом срок выполнения требований не за горами, а сложность и масштабность работ по защите ПДн не предполагает быстрого их завершения.

Предприятия, которые уже приступили к реализации проектов по защите ПДн или приступят в ближайшее время имеют следующие преимущества:

• временной запас позволит тщательно изучить задачи и выбрать наиболее оптимальную конфигурацию защиты ПДн, соответствующую требованиям Закона;
• поэтапное выполнение работ обеспечит равномерное распределение затрат на создание системы защиты ПДн;
• выполнить работы в установленные сроки даже в случае возникновения непредвиденных обстоятельств.

Можно занять выжидательную позицию, но в этом случае предприятие рискует испытать на себе жесткость санкций со стороны регуляторов за неисполнение требований законодательства и подвергнуть свой бизнес рискам, влекущим репутационные и финансовые потери.