Особенности управления ИТ-инфраструктурой в условиях правоприменения законодательства в области работы с персональными данными
Вступление в силу Федерального Закона №152 «О персональных данных» привело к необходимости значительно пересмотреть состав и организационные решения по управлению ИТ-инфраструктурой на большинстве предприятий. В нашем государстве была принята не инцидентная, а превентивная модель обеспечения безопасности персональных данных, которая заключается в обязательном применении сертифицированных решений для любых информационных систем, связанных с обработкой или хранением персональных данных. Закон и подзаконные акты предусматривают строго регламентированную процедуру приведения информационных систем персональных данных (ИСПДн) в соответствие законодательству. Но прежде, чем рассматривать эту процедуру имеет смысл систематизировать данные по имеющемуся законодательству в этой сфере. Именно рассматриваемые ниже документы являются основанием для принятия решений при управлении ИТ-инфраструктурой в аспекте обеспечения безопасности персональных данных.
Законодательная база организации работы с персональными данными
Конституция РФ. В соответствии со статьей 23 Конституции РФ каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Статья 24 часть 1 обязывает всех соблюдать установленный порядок сбора, хранения, использования и распространения информации о частной жизни лица, который действует в границах пользования правами и свободами, установленными частью 3 статьи 55 Конституции. Статья 24 часть 2 возлагает на органы государственной власти и местного самоуправления, на должностных лиц этих органов обязанность обеспечить возможность ознакомления каждого с документами и материалами, непосредственно затрагивающими его права и свободы.
Федеральный закон № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и защите информации». Создает правовые, организационные и экономические основания для реализации права на свободный поиск, получение, передачу, производство и распространение информации.
Федеральный закон № 152-ФЗ от 27.07.2006 г. «О персональных данных». Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Постановление правительства РФ № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
Постановление правительства РФ № 687 от 15.09.2008 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Настоящее положение определяет особенности организации обработки персональных данных и меры по обеспечению безопасности персональных данных при их обработке, осуществляемых без использования средств автоматизации
Приказ ФСТЭК РФ № 55, ФСБ РФ № 86 от 13.02.2008 г. и Мининформсвязи РФ № 20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Приказ Россвязькомнадзора № 8 от 17.07.2008 г. «Об утверждении образца формы уведомления об обработке персональных данных» (с изменениями от 18.02.2009 г.). Настоящим приказом определен, рекомендуемый к использованию при направлении уведомления об обработке персональных данных, образец формы уведомления, а также даны рекомендации по его заполнению.
Приказ ФСТЭК РФ № 58 от 5.02.2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». Настоящее Положение устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных. Положение определяет цели и содержание обработки персональных данных оператором или лицом, которому на основании договора оператор поручает обработку персональных данных.
Методический документ ФСТЭК РФ «Базовая модель угроз безопасности персональным данным при их обработке в информационных системах персональных данных» от 15.02.2008 г. Данный документ содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. В модели угроз дано обобщенное описание информационных систем персональных данных как объектов защиты, возможных источников угрозы безопасности персональных данных, основных классов уязвимостей информационных систем персональных данных, возможных видов деструктивных воздействий на персональные данные, а также основных способов их реализации.
Методический документ ФСТЭК РФ от 15.02.2008 г. «Методика определения актуальных угроз безопасности персональным данным при их обработке в информационных системах персональных данных». Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Типовые требования ФСБ Российской Федерации по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных № 149/6/6-622 от 21.02.2008. Настоящие Требования определяют порядок организации и обеспечения функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
Методические рекомендации по обеспечению с помощью крипто средств безопасности персональных данных при их обработке в информационных системах персональных данных. Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием крип-то средств, а также при обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России
Классификация ИСПДн
В основе предусмотренной законодательством модели обеспечения безопасности персональных данных лежит принцип классификации ИСПДн. Эта классификация осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн. Состав и функциональное содержание методов и средств зависит от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн. При этом ущерб возникает за счет неправомерного или случайного:
-
уничтожения,
-
изменения,
-
блокирования,
-
копирования,
-
распространения ПДн
-
или от иных неправомерных действий с ними.
В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба: непосредственный и опосредованный. Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:
-
незапланированных и/или непроизводительных финансовых или материальных затратах субъекта;
-
потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;
-
нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т.п.).
Опосредованный ущерб, связан с причинением вреда обществу и/или государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.
Основаниями для классификации ИСПДн являются:
-
Категория обрабатываемых в информационной системе персональных данных - Хпд;
-
Объем обрабатываемых персональных данных - Хнпд;
-
Характеристики безопасности персональных данных, обрабатываемых в информационной системе;
-
Структура информационной системы;
-
Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
-
Режим обработки персональных данных;
-
Режим разграничения прав доступа пользователей информационной системы;
-
Местонахождение технических средств информационной системы.
По категории ПДн делятся на:
-
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
-
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
-
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
-
категория 4 - обезличенные и/или общедоступные персональные данные.
По объему ПДн выделяют три объема:
-
в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта РФ или РФ в целом;
-
в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;
-
в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
По характеристикам безопасности ПДн выделяются:
-
Типовые ИСПДн – требуется только конфиденциальность данных.
-
Специальные ИСПДн - требуется обеспечить хотя бы одну из характеристик безопасности ПДн, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным ИСПДн в любом случае относятся:
-
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
-
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
По структуре ИС можно выделить следующие типы ИСПДн:
-
автономные (не подключенные к иным информационным системам) комплексы технических и программных средств;
-
комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
-
комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена выделяются ИСПДн, имеющие или не имеющие такие подключения.
По режиму обработки персональных данных в информационной системе информационные системы могут быть однопользовательские и многопользовательские.
По разграничению прав доступа пользователей: системы без разграничения прав доступа и системы с разграничением прав доступа.
В зависимости от местонахождения технических средств выделяют системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
На основе рассмотренных выше классификационных признаков в дальнейшем выделают классы ИСПДн. Для специальных ИСПДн классы определяются относительно каждой характеристики безопасности.
-
класс 1 (К 1) - нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;
-
класс 2 (К2) - нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
-
класс 3 (КЗ) - нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
-
класс 4 (К4) - нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.
Основание для определения класса является соотношения категории ПДн и объема ПДн. Для этого используется следующая матрица:
Объем 3 Объем 2 Объем 1
категория 4 К4 К4 К4
категория 3 КЗ КЗ К2
категория 2 КЗ К2 К1
категория 1 К1 К1 К1
Общая методика оценки обстановки для разработки мер по обеспечению безопасности ИСПДн
Первые шаги связаны с оценкой обстановки, реализуемой по схеме, представленной ниже.
Рисунок 3.12
Дальнейшее обеспечение безопасности ПДн осуществляется в соответствии со следующим порядком:
-
Обоснование требований по обеспечению безопасности ПДн на основе выявления и оценки актуальности угроз
-
Построение частной модели угроз – на основе анализа матрицы доступа, характеристики ПДн и системной архитектуры – руководящий документ – базовая модель угроз. Она в частности содержит типовые модели угроз для распространенных компонентов ИСПДн
-
Определение исходного уровня защищенности – строго по методики через оценку ряда характеристик ИСПДн
-
Определение вероятности реализации угроз – экспертно
-
Из исходного уровня и вероятности – определение возможности реализации угрозы – по формуле
-
Оценка опасности угроз – опять экспертно
-
Определение актуальных угроз из возможности реализации и оценки опасности – по матрице – методика закончилась
-
Разработка мер противодействия актуальным угрозам – каждой угрозе противопоставляется механизм противодействия (именно механизм, а не средство) – на основе рекомендаций по обеспечению безопасности
-
Разработка проекта СЗПДн. Он состоит из организационно-распорядительной документации, определяющей, в частности ответственныз, допуски к работе с ПДн, описание разрешительной системы доступа и т.п. и проекта технических мер. Для последнего важно понимать, что это не просто выбор из перечня сертифицированных ФСТЭК и ФСБ (для криптографических) решений, а именно полномасштабное проектирование системной архитектуры.
-
Определение порядка действий по созданию защищенной ИСПДн
-
Выполнение действий, контроль, тестирование, документирование результатов
Реализация описанного выше алгоритма связана с значительными материальными и временными затратами. Причем следует понимать, что даже проведенная сертификация построенной ИСПДн не дает долгосрочной гарантии от решения проблем связанных с законодательством в области безопасности персональных данных. Изменения в системной архитектуре и ИТ- инфраструктуре предприятия приводит к необходимости повторной сертификации и новых вложений. Поэтому можно дать ряд общих рекомендаций, выполнение которых должно предшествовать собственно описанным выше работам.
Во первых нужно постараться максимально снизить класс ИСПДн, в том числе за счет вывода части ПДн за пределы автоматизированной обработки.
Во вторых необходимо отказаться от «случайного» хранения ПДн, связанного с промежуточной обработкой, неправильной организацией работы персонала и т.п.
Также имеет смысл укрупнить информационные системы в которых производится обработка ПДн и реализовать их работу на единой и централизовано управляемой ИТ-инфраструктуре.
С точки зрения собственно инфраструктурных решений нужно понимать, что сертифицированные аппаратные решения с точки зрения суммарной стоимости владения, как правило, оказываются дешевле программных, но грамотные организационные решения могут оказаться еще выгоднее.
Достарыңызбен бөлісу: |