Защита персональных данных
Тайна, о которой знают двое – уже не тайна. Тем не менее - индивидуум, общество и государство, на каждом витке истории – старались защитить чувствительную и важную информацию от постороннего доступа. В эпоху big data - вопросы защиты от несанкционированного доступа приобретают особую актуальность.
Какие виды информации подлежат защите на предприятиях различных форм собственности? Это, так называемая, информация ограниченного доступа, не составляющая государственную тайну. К ней относятся:
- персональные данные
- тайна следствия и судопроизводства
- служебная тайна
- профессиональная тайна (врачебная, нотариальная, адвокатская)
- коммерческая тайна
- сведения о промышленных образцах продукции, до их релиза
Не случайно, что персональные данные находятся во главе данного списка.
Что такое Защита персональных данных?
Персональные данные, это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация).
Любое предприятие, как минимум, аккумулирует и обрабатывает ПДн о сотрудниках, а подавляющее большинство работает с персонифицированными клиентскими базами и т.п. Корректная работа с такой информацией является не просто этической нормой, а имеет чёткое правовое измерение.
Статья 19, ФЗ № 152 о «Защите персональных данных» гласит:
«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Ответственность за допущение неправомерного использование ПДн, также предусмотрена, но об этом немного позже.
Таким образом, защита персональных данных – это комплекс организационных, технических и технологических решений, направленных на предотвращение неправомерных действий, в отношении информации о физических лицах.
Как обеспечивается защита персональных данных?
Конкретные действия, в рамках обеспечения требований законодательства, зависят от специфики предприятия, применяемых ИС (информационных систем), то есть характера носителей информации, средств и методов её обработки и путей передачи. На каждом этапе выявляются уязвимости и разрабатываются методы их устранения.
Руководство и ответственные лица предприятия должны озаботиться наличием следующих рабочих документов:
- концепции информационной безопасности учреждения
- политики информационной безопасности учреждения
- техническим заданием на разработку системы обеспечения безопасности
- эскизным проектом на создание системы обеспечения безопасности.
Перечисленные документы, с учетом специфики конкретного учреждения, необходимо ввести в действие приказом по организации.
Это не полный перечень документов, более того – они являются руководством к практическим шагам, направленным на разработку мер безопасности. Чтобы не иметь проблем с проверяющими органами, для разработки всех организационно – технических этапов, целесообразно привлекать специализированные организации.
Важность защиты ПДн работника компании.
Сотрудники есть практически на каждом предприятии. Чем, помимо предусмотренной законодательством ответственности, чреват неправомерный доступ к их ПДн?
- Сотрудники могут стать субъектами криминальных посягательств (кредитных и иных видов мошеннических действий).
- Объектами шантажа и, как следствие, причиной утечек деловой, коммерческой и технологической информации.
- Результатом могут стать потери в сфере деловой репутации, имиджа в потребительской среде, а также прямые финансовые потери (снижение котировок и т.п.).
Средства защиты персональных данных.
В общих чертах, эти средства подразделяются на следующие группы:
- средства управления и разграничения доступа пользователей
- средства обеспечения регистрации и учета действий с информацией
- средства, обеспечивающие целостность данных
- средства антивирусной защиты
- средства межсетевого экранирования
- средства анализа защищенности и обнаружения вторжений.
- средства криптографической защиты ПДн, при их передаче по каналам связи сетей общего и (или) международного обмена.
Иными словами, доступ к ПДн должен быть только у ответственных лиц (в случае с персоналом – у руководства и уполномоченных HR – специалистов), а используемые технологические решения - исключать несанкционированный доступ на всех этапах хранения, использования и передачи информации.
Меры, применяемые по защите персональных данных.
Перечень мер по защите информации очень широк и зависит от характера потенциальных угроз, применяемых ИС и т.п. Общими моментами являются:
- организационные меры (определение уровней доступа, назначение ответственных лиц и т.п.
- обеспечение защиты информации (СЗИ), в том числе шифровальными (криптографическими) средствами
- обеспечение предотвращения несанкционированного доступа
- обеспечение предотвращения утечки информации по техническим каналам
- инсталляция средств предотвращения программно-технических воздействий на технические средства обработки ПДн
Меры в сфере обеспечения безопасности программно – технических средств, в большинстве случаев сводятся к защите:
- общесистемного и специального программного обеспечения (операционных систем, систем управления безопасностью данных, клиент-серверных приложений и других)
- резервных копий общесистемного программного обеспечения
- инструментальных средств и утилит систем управления ресурсами
- аппаратных средств обработки ПДн (АРМ и серверов)
- сетевого оборудования (концентраторов, коммутаторов, маршрутизаторов и т.п.).
Как организовывается защита ПДн?
Законодательно установлено определение оператора ПДн.
Дословно: «… государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки ПДн». Своими силами, или с привлечением лицензированных специалистов, оператор должен организовать определённый перечень мероприятий в рамках защиты ПДн:
- предпроектное обследование информационной системы персональных данных –информационный аудит
- классификация системы обработки персональных данных
- построение частной модели угроз с целью определения их актуальности для информационной системы
- разработка частного технического задания на систему защиты персональных данных
- проектирование системы защиты персональных данных
- реализация и внедрение системы защиты персональных данных.
Могут ли руководитель организации, ответственный менеджмент предприятия и системный администратор выполнить весь объём вышеупомянутых мероприятий самостоятельно? Практика показывает, что нет. А весь груз ответственности за нарушения лежит на операторе, поэтому решение вопроса лучше доверить профессионалам.
Ответственность за нарушение защиты ПДн
За нарушение законодательства в сфере информационной безопасности оператор несёт ответственность в рамках:
- КоАП РФ (статьи: 5.27 / 5.29 / 13.11 / 13.12 / 13.13 / 13.14 / 19.4 / 19.5 / 19.7)
- ТК РФ (статьи: 81 / 90 / 237)
- УК РФ (статьи: 137 / 131).
Правовые аспекты защиты персональных данных
Деятельность по защите ПДн регламентируется следующими правовыми актами:
Федеральный закон РФ 152-ФЗ от 27 июля 2006 г. N
"О персональных данных"
Федеральный закон РФ от 25 июля 2011 г. N 261-ФЗ
"О внесении изменений в Федеральный закон от
27 июля 2006 г. N 152-ФЗ "О персональных данных"
Постановление Правительства РФ от 17.11.2007г. №781
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства Российской Федерации от 1 ноября 2012г №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСБ России от 10июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
ФЗ № 152 о «Защите персональных данных». (Своими словами о чём он, цитаты.)
Собственно, весь материал основан на ФЗ № 152. Если нужно привести комментарии к статьям закона, предлагаю – сделать это темой для отдельной статьи.
Кем осуществляется контроль защиты персональных данных?
Контрольные функции, в рамках вышеуказанных правовых актов и ведомственных инструкций возложены на следующие структуры:
Роскомнадзор – является основным государственным органом, уполномоченным по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ. Он осуществляет плановые и внеплановые проверки, выдаёт предписания, приостанавливает деятельность организаций и налагает штрафы.
ФСТЭК России – осуществляет контроль за нарушениями правил защиты информации, правильным использованием средств её защиты и наличием лицензий на деятельность по защите информации, выдаёт предписания, приостанавливает деятельность организаций, в рамках своей зоны ответственности.
ФСБ России – контролирует правильность использования щифровальных (криптографических) средств защиты информации и наличие лицензий на деятельность в этой области.
Прокуратура РФ – Осуществляет надзорные функции в рамках предписаний, выданных контролирующими органами и соответствия нормам федерального законодательства.
Услуги по защите персональных данных.
Теоретически, руководство может своими силами решать вопросы защиты информации вообще, и ПДн – в частности. Однако, специалистов в сфере безопасности не так много, они имеют свою узкую направленность и концентрируются в рамках специализированных структур, к услугам которых и стоит прибегать. Эти организации лицензированы и обладают всеми необходимыми компетенциями. В зависимости от специфики деятельности организации, индивидуальные пакеты услуг могут иметь различную конфигурацию, но укладываются в следующие направления:
- консалтинг
- разработка проектной документации
- подготовка разрешительной и внутренней документации (регламенты, инструкции и т.п.)
- поставка и наладка необходимого оборудования
= обеспечение софтом
- подключение к ГИС
- обучение персонала
- сопровождение проекта
В информационную эпоху, кибербезопасность стала не только необходимым атрибутом бизнес – сообщества, вошла во все инфраструктурные сферы деятельности, но и стала фактором геополитики. Игнорирование этой непреложной истины, приводит к плачевным и даже фатальным последствиям.
