Prax ochrany osobných údajov. Ochrana osobných údajov

30.06.2019

Miestne SZI NSD

SZI NSD je skratka pre prostriedok ochrany informácií pred neoprávneným prístupom. Používa sa na zabránenie neoprávneným akciám používateľov, ktorí majú prístup k pracovným staniciam ISPD. Zahŕňajú mechanizmy, ako je riadenie zavádzania z vymeniteľných médií (jednotky CD / DVD, flash disky), ovládanie zariadenia (takže nemôžete pripojiť ľavý flash disk a zlúčiť informácie), implementácia povinného riadenia prístupu (nevyžaduje sa pre ISPD) . Tu sú len tie, s ktorými som osobne spolupracoval:
1) Tajná sieť. Môže byť dodaný s alebo bez riadiacej dosky záťaže. Funguje to cez secpol.msc, takže nemusí fungovať na verziách Home (na Windows XP Home určite nefunguje, ale Vistu a Windows 7 som ešte netestoval). Docela jednoduché použitie, má najlepší mechanizmus ovládania zariadenia, aký som kedy videl. Existuje sieťová verzia určená na integráciu do štruktúry domény.
2) Guardian NT. Najlepší mechanizmus pre povinnú kontrolu prístupu. Je náročnejšia na obsluhu (kvôli tomu, že niektoré ochranné mechanizmy nemožno deaktivovať). Neexistuje žiadna online verzia.
3) Zámok Dallas. Stráca vo všetkých vyššie diskutovaných parametroch, s výnimkou možnosti normálneho nasadenia sieťovej voľby v sieti bez domény.
Ako už názov napovedá, tieto nástroje sa používajú na lokálnych strojoch. Tu niet čo dodať.

Firewally

Zadanie je myslím jasné. Okrem toho, ak je jeden ISPD rozdelený firewallom na dve časti, potom ich môžete právom nazývať dvoma rôznymi ISPD. Prečo? Ak spadáte do prvej triedy práve počtom spracúvaných dotknutých osôb, tak rozdelením ÚVZ na dve časti znížite počet spracúvaných subjektov v každom ÚVZ a získate nie K1, ale K2. V súčasnosti je na trhu niekoľko certifikovaných firewallov:
1) VipNet Personal Firewall. Len osobný firewall, žiadne kudrlinky. Spravované iba lokálne. Neexistuje centralizovaný kontrolný mechanizmus. Na spustenie je potrebné heslo, ak ho nezadáte - nespustí sa.
2) VipNet Office Firewall. To isté, ale podporuje niekoľko sieťových kariet, čo vám umožňuje nainštalovať ho na bránu a použiť na segmentáciu ISPD.
3) SSPT-2. Softvérový a hardvérový komplex beží na FreeBSD, no k samotnému OS vás nikto nepustí. Funguje rýchlo, podporuje filtrovanie podľa mnohých parametrov. Má nepríjemnú vlastnosť - pravidlá sa aplikujú v zozname zhora nadol a pravidlá umiestnené v hornej časti majú vyššiu prioritu. V dokumentácii sa to neodráža, bolo to odhalené empiricky. Spravované z lokálnej konzoly aj cez webové rozhranie.
4) APKSh „kontinent“. Vo všeobecnosti to nie je firewall, ale kryptorouter, ale s funkciami ITU. Architektonicky sa podobá na SSPT-2, ale neexistuje žiadne ovládanie z lokálnej konzoly – iba cez špeciálnu administrátorskú konzolu. Okrem toho musíte počas úvodného nastavenia špecifikovať rozhranie, ku ktorému bude pripojený počítač správcu.
Okrem toho "Security Code" uvoľnil ďalšie dva produkty - ITU + HIPS "Security Studio Endpoint Protection" a distribuovaný firewall systém Trust Access, ktorý kombinuje firewallovanie a segmentáciu pomocou autentifikačného protokolu Kerberos. Keďže som s týmito produktmi nemusel pracovať, uvediem len odkazy na ich popis:
Trust Access
SSEP
Okrem toho bola certifikovaná výroba ďalšieho produktu Stonegate Firewall/VPN. Produkt fínskej spoločnosti Stonesoft. Dodáva sa tiež s priskrutkovaným šifrovacím modulom CryptoPRO, ktorý umožňuje jeho použitie ako certifikované riešenie VPN.

CIPF

Sú to prostriedky kryptografickej ochrany. Okrem už spomínaného Stonegate Firewall/VPN existujú ešte dve VPN riešenia:
1) VipNet Custom. Ide o komplex VipNet Administrator - riadiaci program, VipNet Coordinator - VPN server s funkciami ITU a VipNet Client - VPN klient a ITU. Manažérsky program slúži len na generovanie kľúčov a certifikátov, nastavenia firewallu je možné spravovať len lokálne. S administráciou môže pomôcť iba vstavaný RDP. Zahŕňa teda interný messenger a internú poštu. Výhody možno pripísať jedine skutočnosti, že ide o čisto softvérové riešenie, ktoré možno jednoducho integrovať do existujúcej infraštruktúry.
2) APKSh „kontinent“. V podstate som už o ňom hovoril. Len dodám, že najnovšia verzia klienta („Continent-AP“) má funkcie firewallu a dokonca existuje aj klient pre Linux. Samotné krypto brány sú spravované iba z administrátorskej konzoly, ale na diaľku. K zvláštnostiam patrí aj to, že prvotné nastavenie (teda prenos konfigurácie siete a kľúčov na kryptobránu) sa vykonáva lokálne, a to tak, že sa do nej nakŕmia všetky potrebné informácie na flash disku. Ak ste sa pomýlili pri vytváraní konfigurácie a už ste poslali kryptobránu do vzdialeného bodu, tak sa na ňu nebudete môcť na diaľku pripojiť a niečo opraviť, budete musieť konfiguráciu pregenerovať a nejako preniesť do vzdialený bod.

V zásade uvádzam stručný popis všetkých certifikovaných ochranných produktov, o ktorých viem. Dúfam, že tieto informácie budú pre komunitu užitočné.

Bytové a komunálne služby, HOA a ďalšie spoločnosti sú povinné chrániť zhromaždené informácie pred úpravou a zverejnením. Dodržiavanie regulačných požiadaviek monitoruje Roskomnadzor, Federálna služba pre dohľad nad komunikáciami, informačnými technológiami a masmédiami, ktorá vedie register prevádzkovateľov osobných údajov. Stanovy FSTEC a FSB vyžadujú, aby operátori vybudovali moderný bezpečnostný systém využívajúci antivírusové riešenia, firewally, systémy prevencie narušenia, správu identity používateľov a kontrolu prístupu, šifrovanie, ochranu pred únikom, systém riadenia bezpečnostných udalostí a ďalšie ochranné mechanizmy uvedené v príručke. dokument FSTEC „O schválení zloženia a obsahu organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ zo dňa 18.02.2013 N 21. Podniky bytových a komunálnych služieb využívajú informačné systémy na prácu s tzv. verejnosť, podniky, rôzne inštitúcie a služby. Vykonáva sa aj účtovníctvo, riadenie, daňové účtovníctvo, rovnako ako v iných podnikoch, prakticky sa nelíšia od podobných úloh v iných typoch podnikov.

Pri analýze konštrukcie databáz používaných na uchovávanie a spracovanie informácií v oblasti bývania a komunálnych služieb vynikajú dva body: základ výstavby a územná poloha. Najstarším a najpoužívanejším základom databázy sú súbory dbf. Ale pre dnešné zložité automatizované systémy nie sú vhodné z dvoch hlavných dôvodov: obmedzený počet záznamov v jednej tabuľke a nedostatočná spoľahlivosť.

Moderné databázy sú postavené na báze technológií klient-server. Existujú rôzne systémy správy databáz s vlastnými výhodami a nevýhodami. Každý z nich sa používa aspoň v jednom systéme určenom na automatizáciu bytových a komunálnych služieb. Najrozšírenejší je MS SQL 2000. Keďže je určený pre populárny operačný systém osobných počítačov - Windows. Ďalším v popularite je Interbase. Existujú tiež implementácie databázy bývania a komunálnych služieb pod kontrolou spoločnosti Oracle, jedného z najrozvinutejších, ale drahých a ťažkopádnych systémov správy databáz.

Treba tiež poznamenať trend predajcov databázových systémov zameraných na distribúciu svojich softvérových produktov - ponúkať bezplatné verzie s určitými obmedzeniami, ktoré vyhovujú nie veľkým a nie bohatým používateľom, medzi ktoré patria bytové kancelárie a miesta prijímania platieb. Príkladmi takýchto systémov sú MSDE 2000, MSDE 2005 od Microsoft Corporation.

Najjednoduchšia topológia databázy je umiestnenie všetkých informácií na jednom serveri. Klienti sa pripájajú cez vzdialené linky a riešia svoje aktuálne úlohy.

Ďalšou možnosťou implementácie je distribuovaná databáza pre všetkých alebo časť účastníkov bývania a komunálnych služieb. Nevýhodou je nutnosť synchronizácie dát.

Synchronizácia údajov sa vykonáva rôznymi spôsobmi. Najbežnejší je export/import. Údaje na nosiči alebo e-mailom sa presúvajú medzi účastníkmi bytových a komunálnych služieb. V tomto má na výkon systému výrazný vplyv ľudský faktor – všetko treba robiť včas a veľmi opatrne.

Druhou úrovňou synchronizácie je výmena dát medzi modulmi systému prostredníctvom komunikácie so vzdialenými servermi. Táto výmena je volaná buď na príkaz užívateľa alebo podľa daného plánu. Spočíva v tom, že nejaká procedúra na jednom z prepojených serverov si "sama prečíta" alebo "zapíše" údaje potrebné na synchronizáciu.

A napokon najvyššou úrovňou je synchronizácia databázy prostredníctvom replikácií. Tieto nástroje vám umožňujú meniť údaje na jednej aj na druhej strane komunikačnej linky. Podľa daného plánu alebo na príkaz používateľa servera sa servery pripájajú a synchronizujú databázy.

Ochrana osobných údajov môže byť zabezpečená len v informačnom systéme, kde útočník nemôže zasahovať do chodu jeho základných prvkov - sieťových zariadení, operačných systémov, aplikácií a DBMS.

Hlavné hrozby pre bezpečnosť osobných údajov, a to likvidácia, úprava, blokovanie, kopírovanie, šírenie osobných údajov, ako aj iné neoprávnené úkony pri ich spracúvaní v informačnom systéme. Únik informácií môže byť spôsobený vírusmi, škodlivým softvérom, sieťovými útokmi. Na ochranu využívajú antivírusy, firewally, systémy prevencie narušenia (Intrusion Prevention System, IPS) (Slúžia na identifikáciu známok útoku v prechádzajúcej premávke a blokovanie najpopulárnejšieho detekovaného útoku. Na rozdiel od bránových antivírusov IPS analyzuje nielen obsah IP pakety, ale aj používané protokoly a správnosť ich použitia.), skenery zraniteľností (Kontrolujú informačný systém, či nemá rôzne „medzery“ v operačných systémoch a softvéri. Spravidla ide o samostatné programy alebo zariadenia, ktoré testujú systém odoslaním špeciálnych požiadaviek, ktoré simulujú útok podľa protokolu alebo aplikácie.). Sada nástrojov na ochranu dôverných dát pred únikom pozostáva z troch produktov: systém na monitorovanie periférnych zariadení, systém na ochranu pred únikom (Data Leak Prevention, DLP) a šifrovací nástroj pre úplnú bezpečnosť, všetky tri má zmysel kombinovať druhy produktov. Pomocou týchto nástrojov môžu bytové a komunálne služby a ďalšie správcovské spoločnosti uspokojiť požiadavky FSTEC na ochranu osobných údajov.

Ovládanie zariadenia. K únikom údajov často dochádza prostredníctvom vymeniteľných pamäťových médií a neoprávnených komunikačných kanálov: flash pamäť, USB disky, Bluetooth alebo Wi-Fi, takže kontrola používania USB portov a iných periférnych zariadení je tiež jedným zo spôsobov, ako kontrolovať úniky.

DLP. Systémy ochrany pred únikom umožňujú pomocou špeciálnych algoritmov izolovať dôverné údaje z dátového toku a blokovať ich neoprávnený prenos. Systémy DLP poskytujú mechanizmy na riadenie rôznych kanálov prenosu informácií: e-mail, okamžité správy, webová pošta, tlač na tlačiarni, ukladanie na vymeniteľný disk atď. Okrem toho moduly DLP blokujú únik iba dôverných údajov, pretože -v mechanizmoch na určenie, či sú informácie citlivé.

Šifrovanie. Ochrana pred únikom údajov využíva tak či onak šifrovacie mechanizmy a toto odvetvie vždy kontrolovala FSB a všetky požiadavky na certifikáciu šifrovacích systémov táto agentúra zverejňuje a overuje. Treba si uvedomiť, že je potrebné šifrovať nielen databázy osobných údajov, ale aj ich prenos po sieti, ako aj zálohy databáz. Šifrovanie sa používa aj pri prenose osobných údajov cez sieť v distribuovanom systéme. Na tento účel môžete použiť produkty triedy VPN ponúkané rôznymi vývojármi, ktoré sú spravidla založené na šifrovaní, takéto systémy však musia byť certifikované a úzko integrované s databázami, ktoré uchovávajú osobné údaje.

Je potrebné poznamenať, že stanovy FSTEC majú rozdelenie na malé, stredné a distribuované databázy, ktorých požiadavky na ochranu sa značne líšia. Na ochranu distribuovaných databáz sú teda spravidla potrebné ďalšie ochranné nástroje, čo je pochopiteľné - distribuovaná databáza musí mať komunikačné kanály medzi svojimi časťami, ktoré je tiež potrebné chrániť.

V informačnom systéme bývania a komunálnych služieb je pre manažéra hlavným problémom správna organizácia prístupu zamestnancov k rôznym zdrojom – bezpečnosť dôverných údajov často závisí od správneho nastavenia prístupových práv, preto by mal byť systém správy prístupových práv súčasťou bezpečnostného systému veľkého informačného systému. Systém blokuje pokusy o zmenu prístupových práv bez povolenia bezpečnostného operátora, ktorý poskytuje ochranu pred lokálnymi operátormi.

Veľký bezpečnostný systém môže generovať množstvo správ o potenciálnych útokoch, ktoré sú len potenciálne schopné viesť k implementácii konkrétnej hrozby. Často sú tieto správy len varovania, ale bezpečnostní operátori veľkého systému by mali mať nástroj, ktorý by im umožnil pochopiť podstatu toho, čo sa deje. Takýmto analytickým nástrojom sa môže stať korelačný systém udalostí, ktorý umožňuje prepojiť viacero správ z ochranných zariadení do jedného reťazca udalostí a komplexne posúdiť nebezpečenstvo celého reťazca. To umožňuje upozorniť bezpečnostných operátorov na najnebezpečnejšie udalosti.

Systémy centralizovaného riadenia ochranných mechanizmov umožňujú plne kontrolovať všetky udalosti súvisiace s bezpečnosťou informačného systému. Produkty na tejto úrovni dokážu detekovať, spravovať a hlásiť bezpečnostné mechanizmy nainštalované v podniku. Tie isté produkty dokážu automatizovať riešenie najzákladnejších problémov alebo pomôcť správcom rýchlo pochopiť zložité útoky.

Všetky tri vyššie uvedené produkty nie sú povinné pre ochranu veľkých informačných systémov, umožňujú však automatizovať väčšinu úkonov vykonávaných operátormi bezpečnostných služieb a minimalizovať počet zamestnancov potrebných na ochranu veľkého systému, ako je napr. komunálny informačný systém.

Zodpovednosť za porušenie požiadaviek na ochranu osobných údajov

Osoby vinné z porušenia požiadaviek zákona o osobných údajoch nesú zodpovednosť ustanovenú právnymi predpismi Ruskej federácie (napríklad občianskoprávna, trestnoprávna, administratívna, disciplinárna). Naznačuje to odsek 1 článku 24 zákona o osobných údajoch.

V súčasnosti je administratívna zodpovednosť prevádzkovateľov (s výnimkou osôb, pre ktoré je spracúvanie osobných údajov odbornou činnosťou a podlieha licencovaniu) ustanovená za:

za nezákonné odmietnutie poskytnúť občanovi a (alebo) organizácii informácie, ktorých poskytovanie je ustanovené federálnymi zákonmi, ich predčasné poskytnutie alebo poskytnutie vedome nepravdivých informácií (článok 5.39 Kódexu správnych deliktov Ruskej federácie). Výnimkou z tohto pravidla sú prípady uvedené v článku 7.23.1 Kódexu správnych deliktov Ruskej federácie;

· za porušenie požiadaviek právnych predpisov o zverejňovaní informácií organizáciami pôsobiacimi v oblasti správy bytových domov (článok 7.23.1 Kódexu správnych deliktov Ruskej federácie);

za porušenie postupu stanoveného zákonom na zhromažďovanie, uchovávanie, používanie alebo distribúciu osobných údajov (článok 13.11 Kódexu správnych deliktov Ruskej federácie);

Za zverejnenie informácií, ku ktorým je prístup obmedzený federálnym zákonom (okrem prípadov, keď ich zverejnenie má za následok trestnoprávnu zodpovednosť), osobou, ktorá k nim získala prístup v súvislosti s plnením služobných alebo profesionálnych povinností (článok 13.14 Kódexu správnych deliktov Ruskej federácie).

Trestné činy zakladajúce trestnú zodpovednosť sú:

Nezákonné zhromažďovanie alebo šírenie informácií o súkromnom živote osoby, ktoré predstavujú jej osobné alebo rodinné tajomstvo, bez jej súhlasu, alebo šírenie týchto informácií vo verejnom prejave, verejne predvádzanej práci alebo masmédiách (článok 137 Trestného zákona Ruskej federácie federácia);

Nezákonné odmietnutie úradníka poskytnúť predpísaným spôsobom zhromaždené doklady a materiály, ktoré sa priamo dotýkajú práv a slobôd občana, alebo poskytnutie neúplných alebo úmyselne nepravdivých údajov občanovi, ak týmto konaním boli poškodzované práva a oprávnené záujmy občanov (§ 140 ods. Trestného zákona Ruskej federácie);

Nezákonný prístup k počítačovým informáciám chráneným zákonom, ak tento čin znamenal zničenie, zablokovanie, úpravu alebo kopírovanie informácií (článok 272 Trestného zákona Ruskej federácie)

27. júla 2006 bol prijatý Federálny zákon č. 152-FZ „O osobných údajoch“ na zabezpečenie ochrany práv a slobôd človeka a občana pri spracúvaní jeho osobných údajov vrátane ochrany práv na súkromie, osobné a rodinné tajomstvo. Jedným z dôvodov prijatia tohto zákona boli početné skutočnosti vykrádania databáz osobných údajov vo vládnych a komerčných štruktúrach, ich rozsiahly predaj.

Čo znamená pojem „osobné údaje“?

Definícia osobných údajov (OÚ) bola pred prijatím zákona splnená napríklad aj v „Zozname dôverných informácií“, schválenom o. Dekrét prezidenta Ruskej federácie č. 188 6. marec 1997:

Dôverné informácie zahŕňajú: informácie o skutočnostiach, udalostiach a okolnostiach súkromného života občana, umožňujúce identifikovať jeho osobnosť (osobné údaje), s výnimkou informácií, ktoré sa majú šíriť v médiách v prípadoch ustanovených federálnymi zákonmi.

Zákon ho však doplnil. Teraz podľa FZ-152, osobné údaje - akékoľvek informácie týkajúce sa fyzickej osoby identifikovanej alebo určenej na základe takýchto informácií (predmet osobných údajov), vrátane jej priezviska, mena, priezviska, roku, mesiaca, dátumu a miesta narodenia, adresy, rodiny, sociálne, majetkové postavenie, vzdelanie, povolanie, príjem, iné informácie.

Osobné údaje sú teda predovšetkým údaje z pasu, informácie o rodinnom stave, informácie o vzdelaní, čísla DIČ, potvrdenie o štátnom dôchodkovom poistení, zdravotné poistenie, informácie o pracovnej činnosti, sociálnom a majetkovom stave, informácie o príjme. Takéto údaje má takmer každá organizácia.

Pri uchádzaní sa o zamestnanie sú to údaje personálneho útvaru zamestnávateľa, ktoré zamestnanec uvádza v osobnej karte, životopise a iných dokladoch vyplnených pri uzatváraní pracovnej zmluvy.

Pri vstupe dieťaťa do škôlky, školy, ústavu, iných vzdelávacích inštitúcií sa vypĺňa aj množstvo dotazníkov a formulárov, v ktorých sú uvedené údaje o dieťati (napríklad údaje v rodnom liste) a jeho rodičoch (až do miesto výkonu práce, pozícia).

Pri liečbe v zdravotníckych zariadeniach je potrebné uviesť nielen údaje z pasu, ale aj informácie o dávkach, zdravotnom poistení, informácie o predchádzajúcej liečbe a výsledky testov. V mnohých zdravotníckych zariadeniach sú ambulantné / lôžkové karty duplikované v elektronickej forme.

A všetky tieto údaje podľa platnej legislatívy podliehajú ochrane.

Kde začať s ochranou a je vôbec potrebná?

Dôvernosť osobných údajov je povinnou požiadavkou prevádzkovateľa alebo inej osoby, ktorá získala prístup k osobným údajom, aby zabránila ich šíreniu bez súhlasu subjektu osobných údajov alebo iného právneho dôvodu ( FZ-152).

Prevádzkovateľ - štátny orgán, orgán obce, právnická alebo fyzická osoba, ktorá organizuje a (alebo) vykonáva spracúvanie osobných údajov, ako aj určuje účely a obsah spracúvania osobných údajov ( FZ-152).

Informačný systém osobných údajov (PDIS) - informačný systém, ktorý je súborom osobných údajov obsiahnutých v databáze, ako aj informačných technológií a technických prostriedkov, ktoré umožňujú spracúvanie týchto osobných údajov pomocou nástrojov automatizácie alebo bez použitia takýchto nástrojov ( FZ-152).

Spracovaním osobných údajov sú úkony (operácie) s OÚ vrátane zhromažďovania, systematizácie, zhromažďovania, uchovávania, spresňovania (aktualizácie, zmeny), používania, distribúcie (vrátane prenosu), depersonalizácie, blokovania, likvidácie osobných údajov ( FZ-152).

Pri spracúvaní osobných údajov je prevádzkovateľ povinný prijať všetky potrebné organizačné a technické opatrenia na ochranu osobných údajov pred neoprávneným alebo náhodným prístupom k nim, zničením, úpravou, blokovaním, kopírovaním, rozširovaním osobných údajov, ako aj pred iným protiprávnym konaním.

Čo je potrebné urobiť na ochranu osobných údajov?

V prvom rade je potrebné určiť, aké informačné systémy PD existujú a aký typ PD spracúvajú.

Klasifikácia informačného systému osobných údajov

Aby bolo možné pochopiť, aký významný je problém ochrany PD, ako aj vybrať potrebné metódy a metódy na ochranu PD, musí prevádzkovateľ klasifikovať ISPD. Určené poradie klasifikácie nariadením FSTEC Ruska, FSB Ruska a Ministerstva informácií a komunikácií Ruska č. 55/86/20 z 13. februára 2008.

Prevádzkovateľ teda vytvorí komisiu (na príkaz vedúceho organizácie), ktorá po analýze počiatočných údajov rozhodne o pridelení ISPD príslušnej triedy. Počas klasifikácie sa určujú:

kategória spracúvaných osobných údajov;
množstvo osobných údajov, ktoré sa spracúvajú;
typ informačného systému;
štruktúra informačného systému a umiestnenie jeho technických prostriedkov;
režimy spracovania osobných údajov;
spôsoby diferenciácie prístupových práv používateľov;
dostupnosť pripojení k verejným sieťam a (alebo) sieťam medzinárodnej výmeny informácií.

Podľa Objednávka č. 55/86/20, sú všetky informačné systémy (IS) rozdelené na štandardné a špeciálne.

Typické informačné systémy sú informačné systémy, v ktorých sa vyžaduje iba dôvernosť osobných údajov.

Osobitné informačné systémy sú informačné systémy, v ktorých je bez ohľadu na potrebu zabezpečiť dôvernosť osobných údajov povinné zabezpečiť aspoň jednu z iných bezpečnostných charakteristík osobných údajov ako dôvernosť (ochrana pred zničením, úpravou, zablokovaním, ako aj ako iné neoprávnené úkony).

V praxi sa ukazuje, že prakticky neexistujú štandardné IS, keďže vo väčšine prípadov je okrem dôvernosti potrebné zabezpečiť aj integritu a dostupnosť informácií. Okrem toho by špeciálne systémy mali nepochybne zahŕňať:

informačné systémy, v ktorých sa spracúvajú osobné údaje týkajúce sa zdravotného stavu dotknutých osôb;
informačné systémy, ktoré umožňujú na základe výlučne automatizovaného spracúvania osobných údajov prijímať rozhodnutia, ktoré vyvolávajú právne následky vo vzťahu k subjektu osobných údajov alebo sa inak dotýkajú jeho práv a oprávnených záujmov.

Takže na základe výsledkov analýzy počiatočných údajov komisia priradí systému osobných údajov príslušnú triedu:

trieda 1 (K1) - informačné systémy, pri ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných môže viesť k významným negatívnym dôsledkom pre dotknuté osoby;

trieda 2 (K2) - informačné systémy, pri ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných môže viesť k negatívnym dôsledkom pre dotknuté osoby;

trieda 3 (K3) - informačné systémy, pri ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných môže viesť k menším negatívnym dôsledkom pre dotknuté osoby;

trieda 4 (K4) - informačné systémy, pri ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných nevedie k negatívnym dôsledkom pre dotknuté osoby.

Výsledky klasifikácie dokumentuje Zákon o klasifikácii ISPD, ktorý uvádza typ ISPD (typický, špeciálny), triedu priradenú k ISPD a podmienky, na základe ktorých sa rozhodlo.

Ako už bolo spomenuté, klasifikácia je nevyhnutná pre ďalší výber metód a prostriedkov ochrany PD spracovaných v ISPD, keďže dokumenty FSTEC a FSB každá trieda má svoje vlastné požiadavky na ochranu ISPD, o ktorých si povieme trochu neskôr.

Súhlas s PD predmetom spracovania

Ďalej je potrebné pristúpiť k spracovaniu týchto údajov, avšak skôr, než bude ich spracovanie zákonné, je potrebné získať súhlas subjektu osobných údajov so spracovaním (zákon tým bráni nezákonnému zhromažďovaniu a používaniu osobných údajov) :

Článok 6 FZ-152:

Spracúvanie osobných údajov môže prevádzkovateľ vykonávať so súhlasom subjektov OÚ, okrem nasledujúcich prípadov:

1) spracúvanie osobných údajov sa vykonáva na základe federálneho zákona, ktorý ustanovuje jeho účel, podmienky získavania osobných údajov a okruh subjektov, ktorých osobné údaje sú predmetom spracúvania, ako aj určenie právomocí prevádzkovateľa ;

2) spracúvanie osobných údajov sa vykonáva za účelom plnenia zmluvy, ktorej jedna zo zmluvných strán je predmetom osobných údajov;

3) spracúvanie osobných údajov sa vykonáva na štatistické alebo iné vedecké účely s výhradou povinnej depersonalizácie osobných údajov;

4) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo iných životne dôležitých záujmov subjektu osobných údajov, ak nie je možné získať súhlas subjektu osobných údajov;

5) spracúvanie osobných údajov je nevyhnutné na doručovanie poštových zásielok poštovými organizáciami, na realizáciu zúčtovania telekomunikačných operátorov s užívateľmi komunikačných služieb za poskytované komunikačné služby, ako aj na posudzovanie nárokov užívateľov komunikácie. služby;

6) spracúvanie osobných údajov sa vykonáva pre účely výkonu odbornej činnosti novinára alebo pre účely vedeckej, literárnej alebo inej tvorivej činnosti, ak tým nebudú porušované práva a slobody subjektu osobných údajov;

7) spracúvanie osobných údajov podliehajúcich zverejneniu v súlade s federálnymi zákonmi vrátane osobných údajov osôb zastávajúcich verejné funkcie, funkcie v štátnej službe, osobných údajov kandidátov na volené štátne alebo komunálne funkcie.

Ak teda náš prípad spracovania PD upravuje časť 2 článku 6 federálneho zákona-152, získanie súhlasu nie je potrebné.

Tiež je potrebné dodržiavať Zákonník práce, 14. hlava. Zamestnávateľ má napríklad právo prijímať a spracúvať údaje o súkromnom živote zamestnanca len s jeho písomným súhlasom ( § 86 ods. 4 Zákonníka práce).

Podľa Článok 9 FZ-152 je potrebné písomne získať súhlas subjektu osobných údajov so spracovaním jeho osobných údajov. Písomný súhlas subjektu osobných údajov musí obsahovať:

Priezvisko, meno, priezvisko, adresa subjektu osobných údajov, číslo hlavného dokladu preukazujúceho jeho totožnosť, údaj o dátume vydania uvedeného dokladu a orgáne, ktorý ho vydal;

Meno (priezvisko, meno, priezvisko) a adresa prevádzkovateľa prijímajúceho súhlas subjektu osobných údajov;

Účel spracovania osobných údajov;

Zoznam osobných údajov, na spracovanie ktorých je daný súhlas subjektu osobných údajov;

Zoznam úkonov s osobnými údajmi, na ktoré sa udeľuje súhlas, všeobecný popis spôsobov, akými prevádzkovateľ spracúva osobné údaje;

Doba platnosti súhlasu, ako aj postup pri jeho odvolaní.

Nariadenie upravujúce spracovanie a ochranu PD

Prevádzkovateľ teda obdržal (v prípade potreby) súhlas so spracovaním osobných údajov – osobné údaje je možné spracovávať. Ale podľa Zákonníka práce A FZ-152 je potrebné vypracovať (ak existuje, dokončiť v súlade s federálnym zákonom) nariadenie upravujúce postup uchovávania, spracovania a ochrany osobných údajov. Podmienečne to nazývajme Nariadením o zaistení bezpečnosti osobných údajov. Nariadenie o zaistení bezpečnosti osobných údajov je interným (miestnym) dokumentom organizácie. Tento dokument nemá striktnú formu, ale musí spĺňať požiadavky TC A FZ-152, a preto by mala obsahovať:

Nariadenie o zaistení bezpečnosti osobných údajov schvaľuje vedúci organizácie alebo ním poverená osoba a je uvedené do účinnosti príkazom vedúceho. Zamestnávateľ je povinný oboznámiť zamestnanca s Nariadením pod podpisom.

Zoznam osôb prijatých na spracovanie PD

Okrem toho je potrebné vypracovať zoznam osôb prijatých na spracovanie PD, t.j. zoznam tých (podľa pozície), ktorí potrebujú prístup k PD, aby mohli vykonávať svoje služobné povinnosti. V prvom rade ide o zamestnancov personálnej služby, pretože zhromažďujú a vytvárajú údaje o zamestnancovi, ako aj o zamestnancoch účtovného oddelenia. Okrem toho môžu získať prístup k týmto informáciám vedúci štrukturálnych divízií (napríklad vedúci oddelení) - a to by sa malo odraziť aj v zozname. Všetci však majú právo požadovať nie akékoľvek údaje, ale iba tie, ktoré sú potrebné na vykonávanie konkrétnych pracovných funkcií (napríklad na výpočet daňových výhod účtovné oddelenie nedostane všetky informácie o zamestnancovi, ale iba údaje o počte jeho vyživovaných osôb). Preto je vhodné predpísať zoznam informačných zdrojov, ku ktorým majú používatelia prístup.

Zoznam osôb prijatých na spracúvanie OÚ je možné vydať vo forme prílohy k nariadeniu o zaistení bezpečnosti osobných údajov alebo samostatného dokumentu schváleného prednostom.

Upozornenie Roskomnadzoru

Ďalej v súlade s Článok 22 FZ-152 pred začatím spracúvania osobných údajov je prevádzkovateľ povinný oznámiť oprávnenému orgánu ochrany práv subjektov OÚ (dnes je to Federálna služba pre dohľad nad spojmi, informačnými technológiami a masovými komunikáciami (Roskomnadzor)). na spracovanie PD, okrem prípadov ustanovených časť 2 článku 22 FZ-152:

Prevádzkovateľ má právo bez toho, aby to oznámil oprávnenému orgánu na ochranu práv subjektov osobných údajov, vykonávať spracúvanie osobných údajov:

1) týkajúce sa dotknutých osôb, ktoré sú s prevádzkovateľom spojené pracovnoprávnymi vzťahmi;

2) obdrží prevádzkovateľ v súvislosti s uzavretím zmluvy, ktorej zmluvnou stranou je subjekt osobných údajov, ak osobné údaje nie sú distribuované a nie sú bez súhlasu subjektu osobných údajov poskytované tretím osobám a sú prevádzkovateľom slúži výlučne na plnenie uvedenej zmluvy a uzatváranie zmlúv so subjektom osobných údajov;

3) týkajúce sa členov (účastníkov) verejného združenia alebo náboženskej organizácie a spracované príslušným verejným združením alebo náboženskou organizáciou konajúcou v súlade s právnymi predpismi Ruskej federácie s cieľom dosiahnuť legitímne ciele stanovené v ich zakladajúcich dokumentoch za predpokladu, že údaje nebudú šírené bez písomného súhlasu dotknutých osôb;

4) byť verejne dostupnými osobnými údajmi;

5) zahŕňajúce iba priezviská, mená a priezviská dotknutých osôb;

6) nevyhnutné na účely jednorazového prechodu subjektu osobných údajov na územie, kde sa nachádza prevádzkovateľ, alebo na iné obdobné účely;

7) zahrnuté v informačných systémoch osobných údajov, ktoré majú v súlade s federálnymi zákonmi štatút federálnych automatizovaných informačných systémov, ako aj v štátnych informačných systémoch osobných údajov vytvorených s cieľom chrániť bezpečnosť štátu a verejný poriadok;

8) spracúvané bez použitia automatizácie v súlade s federálnymi zákonmi alebo inými regulačnými právnymi aktmi Ruskej federácie, ktoré ustanovujú požiadavky na zaistenie bezpečnosti osobných údajov pri ich spracúvaní a na dodržiavanie práv subjektov osobných údajov

Požiadavky na oznamovanie sú uvedené v časť 3 článku 22 FZ-152. Formulár oznámenia o spracovaní (zámere spracovania) osobných údajov je možné vyplniť elektronicky na webovej stránke Roskomnadzor: http://rsoc.ru/personal-data/p181/

Teraz môžete začať spracúvať osobné údaje a zároveň riešiť najťažšiu a najproblematickejší problém - zaistenie bezpečnosti osobných údajov pri ich spracúvaní.

Zaistenie bezpečnosti osobných údajov pri ich spracúvaní

Opatrenia na ochranu informácií sú časovo náročné a môžu viesť k značným finančným nákladom, pretože je potrebné:

Získať (ak je to potrebné) licenciu na technickú ochranu dôverných informácií FSTEC Ruska;

poveriť držiteľa licencie FSTEC Ruska, aby vykonával činnosti na vytvorenie systému na ochranu ISPD a/alebo ho certifikoval podľa požiadaviek informačnej bezpečnosti;

posielať zamestnancov zodpovedných za zaistenie informačnej bezpečnosti na pokročilé školenia o otázkach informačnej bezpečnosti a/alebo najať špecialistov na informačnú bezpečnosť;

Nainštalujte si FSTEC-certifikované nástroje informačnej bezpečnosti (SrZI), FSB-certifikované FSB kryptografické informačné bezpečnostné nástroje (CIPF), v závislosti od triedy ISPD.

Môžete niečo urobiť sami, ale niekde je lepšie dôverovať odborníkom. Ale je potrebné chrániť osobné údaje, tak či onak.

Článok 19, FZ-152:

Pri spracúvaní osobných údajov je prevádzkovateľ povinný prijať nevyhnutné organizačné a technické opatrenia na ochranu osobných údajov pred neoprávneným alebo náhodným prístupom k nim, zničením, úpravou, blokovaním, kopírovaním, rozširovaním osobných údajov, ako aj pred iným protiprávnym konaním.

"Nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov", schválené nariadením vlády Ruskej federácie č.781 zo dňa 17.11.2007
„Nariadenia o vlastnostiach spracovania osobných údajov vykonávaného bez použitia nástrojov automatizácie“, schválené nariadením vlády Ruskej federácie č. 687 z 15. septembra 2008
„Požiadavky na hmotné nosiče biometrických osobných údajov a technológie na uchovávanie takýchto údajov mimo informačných systémov osobných údajov“, schválené nariadením vlády Ruskej federácie č. 512 zo dňa 6. júla 2008
Špeciálne požiadavky a odporúčania na technickú ochranu dôverných informácií (STR-K), schválené nariadením Štátnej technickej komisie Ruska č. 282 z 30. augusta 2002 (DSP)
Základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008 (Výňatok pri zvažovaní hrozieb úniku informácií kanálmi falošného elektromagnetického žiarenia a rušení (PEMIN) je potrebné použiť plnú verziu tohto dokumentu - DSP)
Metodika zisťovania skutočných ohrození bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008 (značka „na úradné použitie“ bola odstránená rozhodnutím FSTEC zo dňa 16.11.2009)
Odporúčania na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008 (Označenie „na úradné použitie“ bolo zrušené Rozhodnutím FSTEC zo dňa 11.11.2009)
Hlavné opatrenia na organizáciu a technické zabezpečenie osobných údajov spracúvaných v informačných systémoch osobných údajov zo dňa 15.02.2008 (Označenie „na úradné použitie“ bolo odstránené Rozhodnutím FSTEC zo dňa 11.11.2009)
Pokyny na zaistenie bezpečnosti osobných údajov pomocou kryptomenov pri ich spracúvaní v informačných systémoch osobných údajov s využitím nástrojov automatizácie. FSB, 21. február 2008
Štandardné požiadavky na organizáciu a zabezpečenie fungovania šifrovacích (kryptografických) nástrojov určených na ochranu informácií, ktoré neobsahujú informácie predstavujúce štátne tajomstvo, ak sa používajú na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov. FSB, 21. február 2008

Nebudeme sa podrobne zaoberať všetkými požiadavkami, ktoré musia byť splnené na zabezpečenie bezpečnosti PD pri ich spracovaní v ISPD - je ich veľa a silne závisia od konkrétneho ISPD. Zastavme sa pri hlavných bodoch, ktoré operátorom často spôsobujú ťažkosti.

Licencia – prijímať či neprijímať?

Legislatíva, ako aj dokumenty FSTEC nám hovoria nasledovné:

Článok 16, časť 6 FZ-149„O informáciách, informačných technológiách a ochrane informácií“ zo dňa 27.07.2006:

Federálne zákony môžu ustanoviť obmedzenia na používanie určitých nástrojov informačnej bezpečnosti a implementáciu určitých typov činností informačnej bezpečnosti.

Článok 17, časť 1, odsek 11 federálneho zákona-128„O udeľovaní licencií na určité druhy činností“ z 8. augusta 2001:

V súlade s týmto federálnym zákonom podliehajú licencovaniu tieto druhy činností: činnosti na technickú ochranu dôverných informácií.

Vyhláška vlády Ruskej federácie č. 504"O licenčnej činnosti na technickú ochranu dôverných informácií" zo dňa 15.08.2006

Technickou ochranou dôverných informácií sa rozumie súbor opatrení a (alebo) služieb na ich ochranu pred neoprávneným prístupom, a to aj prostredníctvom technických kanálov, ako aj pred osobitnými vplyvmi na takéto informácie s cieľom ich zničenia, skreslenia alebo zablokovania prístupu. k tomu.

Hlavné udalosti FSTEC

Ustanovenie 3.14

V súlade s ustanoveniami federálneho zákona č. 128 „O udeľovaní povolení na niektoré druhy činností“ a požiadavkami nariadenia vlády č. 504 „O povoľovaní činností na technickú ochranu dôverných informácií“ prevádzkovatelia ISPD pri prijímaní opatrení na zaistenie bezpečnosti PD (dôverné informácie) pri ich spracúvaní v triedach ISPD 1, 2 a 3 (distribuované systémy) musia získať povolenie na vykonávanie činností technickej ochrany dôverných informácií predpísaným spôsobom.

Na otázku o potrebe licencie odpovedal na okrúhlom stole organizácie Connect! Svet komunikácie “( http://www.connect.ru/article.asp?id=9406):

Otázka: Musia prevádzkovatelia spracúvajúci osobné údaje v ISPD získať licenciu na technickú ochranu dôverných informácií?

Igor Nazarov: V súlade s dokumentmi FSTEC je potrebná licencia pre prevádzkovateľov PD, ktorí samostatne vykonávajú takúto činnosť na informačných systémoch triedy 1, 2 a geograficky distribuovaných systémoch triedy 3, spravidla ide o veľké štátne informačné systémy. Zároveň pre polikliniky, materské školy, lekárne atď., ktoré majú ISPD 3 a 4 triedy, sa získanie takýchto licencií nevyžaduje.

V súlade s nariadením vlády Ruskej federácie č. 781 zo dňa 17.11.2007, ak prevádzkovateľ ISPD uzatvorí dohodu o vykonaní príslušných opatrení z hľadiska informačnej bezpečnosti (PD) s oprávnenou osobou - držiteľom licencie FSTEC Ruska, nepotrebuje mať licenciu.

Takže pre malé organizácie bude namiesto získania licencie FSTEC pre TZKI na vykonávanie opatrení na zaistenie bezpečnosti PD (vytvorenie systému ochrany ISPD, certifikácia) nákladovo efektívnejšie prilákať držiteľa licencie od FSTEC, ktorý vykoná všetky potrebné práce.

Pre veľké organizácie (ako sú telekomunikační operátori, veľké banky atď.) je výhodnejšie získať licenciu a vykonať všetky potrebné práce.

Definuje sa postup udeľovania povolenia na vykonávanie činností na technickú ochranu dôverných informácií „Predpisy o licenčnej činnosti na technickú ochranu dôverných informácií“ (schválené nariadením vlády Ruskej federácie z 15. augusta 2006 č. 504). Požiadavky na získanie licencie:

a) prítomnosť v štáte žiadateľa o licenciu (držiteľa licencie) špecialistov s vyšším odborným vzdelaním v odbore technická informačná bezpečnosť alebo s vyšším alebo stredným odborným (technickým) vzdelaním, ktorí prešli rekvalifikáciou alebo zdokonaľovacím výcvikom v technickej informačnej bezpečnosti;

b) žiadateľ o licenciu (držiteľ licencie) disponuje priestormi na vykonávanie licencovanej činnosti, ktoré spĺňajú technické normy a požiadavky na technickú ochranu informácií ustanovené regulačnými právnymi aktmi Ruskej federácie a patria mu vlastnícke právo, resp. na inom právnom základe;

c) prítomnosť výrobných, testovacích a kontrolných a meracích zariadení na akomkoľvek právnom základe, ktoré prešli metrologickým overením (kalibráciou), označením a certifikáciou v súlade s právnymi predpismi Ruskej federácie;

d) používanie automatizovaných systémov, ktoré spracúvajú dôverné informácie, ako aj prostriedkov na ochranu takýchto informácií, ktoré prešli postupom posudzovania zhody (osvedčeným a (alebo) certifikovaným podľa požiadaviek na bezpečnosť informácií) v súlade s právnymi predpismi Ruskej federácie;

e) používanie programov pre elektronické počítače a databázy určené na vykonávanie licencovanej činnosti na základe zmluvy s nositeľom ich práv;

f) dostupnosť regulačných právnych aktov, regulačných, metodických a metodických dokumentov o technickej ochrane informácií v súlade so zoznamom vytvoreným Federálnou službou pre technickú a exportnú kontrolu.

Etapy tvorby SZPDn

Podľa Hlavné aktivity pre organizáciu a technické zabezpečenie osobných údajov spracúvaných v informačných systémoch osobných údajov vydaných FSTEC pozostáva vytvorenie systému ochrany osobných údajov (PSPD) z nasledujúcich krokov:

1 Predprojektová fáza

1.1 obhliadka objektu informatizácie:

stanovenie potreby spracovania PD v ISPD;
určenie zoznamu PD, ktoré sa majú chrániť;
určenie podmienok pre umiestnenie ISPD vzhľadom na hranice kontrolovaného pásma (KZ);
určenie konfigurácie a topológie ISPD ako celku a jeho jednotlivých komponentov; fyzické, funkčné a technologické prepojenia tak v rámci ISPD, ako aj s inými systémami rôznych úrovní a účelov;
určenie technických prostriedkov a systémov používaných v chránenom ISPD, podmienky ich umiestnenia;
definícia celosystémového, špeciálneho a aplikačného softvéru používaného v chránenom ISPD;
určenie režimu spracovania informácií v ISPD ako celku a v jednotlivých komponentoch;
klasifikácia ISPD;
určenie miery účasti personálu na spracovaní (diskusia, prenos, uchovávanie) informácií, povaha ich vzájomnej interakcie;
identifikácia a zostavenie zoznamu slabých miest a ohrození informačnej bezpečnosti, posúdenie relevantnosti ohrozenia informačnej bezpečnosti;
vývoj modelu súkromných hrozieb.

1.2 vypracovanie zadávacích podmienok pre tvorbu SPPD, ktoré by mali obsahovať:

zdôvodnenie potreby rozvoja SZPDn;
počiatočné údaje ISPD v technických, programových, informačných a organizačných aspektoch;
trieda ISPD;
prepojenie na regulačné dokumenty, berúc do úvahy, ktorý SDPD bude vypracovaný a ISPD bude uvedený do prevádzky;
konkretizácia opatrení a požiadaviek na SPPD;
zoznam certifikovaných prostriedkov ochrany informácií určených na použitie;
zdôvodnenie vývoja vlastných nástrojov informačnej bezpečnosti, ak je nemožné alebo nevhodné použiť certifikované nástroje informačnej bezpečnosti dostupné na trhu;
zloženie, obsah a načasovanie prác na etapách vývoja a implementácie SPPD.

2. Etapa návrhu a implementácie SPPD

2.1 vypracovanie projektu na vytvorenie SZPDn;

2.2 vypracovanie organizačných a technických opatrení na ochranu informácií v súlade s požiadavkami;

2.3 nákup certifikovaných nástrojov informačnej bezpečnosti;

2.4 vývoj a implementácia permisívneho systému prístupu používateľov a personálu k informáciám spracovávaným v ISPD;

2.5 inštalácia a konfigurácia SRZI;

2.6 určenie útvarov a osôb zodpovedných za obsluhu nástrojov informačnej bezpečnosti, školenie určených osôb v špecifikách práce na ochrane ZP;

2.7 vypracovanie prevádzkovej dokumentácie pre ISPD a nástroje informačnej bezpečnosti, ako aj organizačnej a administratívnej dokumentácie pre informačnú bezpečnosť (predpisy, príkazy, pokyny a iné dokumenty);

2.8 vykonávanie ďalších opatrení zameraných na ochranu informácií.

3. Fáza implementácie CPAP

3.1 skúšobná prevádzka nástrojov informačnej bezpečnosti v kombinácii s iným hardvérom a softvérom s cieľom otestovať ich výkonnosť v rámci ISPD;

3.2 akceptačné testovanie nástrojov informačnej bezpečnosti na základe výsledkov skúšobnej prevádzky s vyhotovením akceptačného certifikátu;

3.3 posúdenie súladu ISPD s požiadavkami informačnej bezpečnosti - certifikácia (deklarácia) podľa požiadaviek informačnej bezpečnosti.

4. Údržba a podpora systému informačnej bezpečnosti

Organizačná a administratívna dokumentácia na ochranu PD

Okrem technických riešení vytváraného systému ochrany osobných údajov musí prevádzkovateľ zabezpečiť vypracovanie organizačných a administratívnych dokumentov, ktoré budú upravovať všetky vznikajúce otázky zabezpečenia bezpečnosti OÚ pri ich spracúvaní v ISPD a prevádzke OÚ. Existuje veľa takýchto dokumentov, hlavné sú:

1. Predpisy o zaistení bezpečnosti PD - v úvode článku sme sa už dotkli účelu a zloženia tohto dokumentu. Len pre prípad, opakujeme - malo by to znamenať:

Účel a ciele v oblasti ochrany osobných údajov;

Pojem a zloženie osobných údajov;

V akých štrukturálnych členeniach a na akých médiách (papier, elektronické) sa tieto údaje zhromažďujú a uchovávajú;

Ako sa zhromažďujú a uchovávajú osobné údaje;

Ako sa spracúvajú a používajú;

Kto (podľa pozície) v rámci firmy k nim má prístup;

Zásady ochrany PD vrátane pred neoprávneným prístupom;

Práva zamestnanca s cieľom zabezpečiť ochranu jeho osobných údajov;

Zodpovednosť za sprístupnenie dôverných informácií súvisiacich s osobnými údajmi zamestnancov.

2. Organizovať systém prijímania a účtovania osôb prijatých na prácu s PD v ISPD - Zoznam osôb prijatých na spracovanie PD (zoznam pozícií tých, ktorí potrebujú prístup k PD na plnenie služobných povinností) a Prístupovú maticu (má byť odrážať právomoci používateľov vykonávať špecifické činnosti vo vzťahu ku konkrétnym informačným zdrojom ISPD – čítanie, zapisovanie, opravovanie, mazanie). Oba dokumenty schvaľuje prednosta.

3. Model súkromnej hrozby (ak existuje niekoľko ISPD, potom sa pre každú z nich vypracuje model hrozby) – vyvinutý na základe výsledkov predbežného prieskumu. FSTEC Ruska ponúka základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, podľa ktorých je pri vytváraní súkromného modelu potrebné zvážiť:

Hrozby úniku informácií cez technické kanály;

Ohrozenia neoprávneným prístupom spojené s konaním porušovateľov, ktorí majú prístup k ISPD, implementácia hrozieb priamo v ISPD. Zároveň je potrebné považovať legálnych používateľov ISPD za potenciálnych porušovateľov;

Ohrozenia neoprávneným prístupom spojené s konaním porušovateľov, ktorí nemajú prístup k ISPD, realizujú hrozby z vonkajších verejných komunikačných sietí a (alebo) medzinárodných sietí na výmenu informácií.

Vyvinutý model hrozby schvaľuje manažér.

4. Na základe schváleného modelu ohrozenia ISPD je potrebné vypracovať požiadavky na zabezpečenie bezpečnosti PD pri ich spracovaní v ISPD. Požiadavky, ako napríklad model hrozby, sú samostatným dokumentom, ktorý musí schváliť vedúci organizácie.

Na vypracovanie modelu hrozieb a požiadaviek je vhodné, aby prevádzkovateľ zapojil špecialistov z držiteľov licencií FSTEC.

5. Pokyny z hľadiska zaistenia bezpečnosti PD pri ich spracovaní v ISPD.

Okrem toho musí prevádzkovateľ pred vykonaním všetkých opatrení na ochranu PD určiť úradníka alebo (ak je PDIS dostatočne veľký) štrukturálnu jednotku zodpovednú za zabezpečenie bezpečnosti PD. O vymenovaní sa rozhoduje na príkaz prednostu. Úlohy, funkcie a právomoci úradníka (útvaru) zodpovedného za zabezpečenie bezpečnosti PD určujú vnútroorganizačné a administratívne dokumenty (náplň práce, predpisy).

Čo je potrebné certifikovať a čo nie?

Často sa nesprávne chápe, že všetok používaný softvér musí byť certifikovaný a certifikácia je drahá a časovo náročná.

Žiadny z dokumentov upravujúcich problematiku ochrany PD však nehovorí, že všetok softvér musí byť certifikovaný. Nástroje informačnej bezpečnosti musia byť certifikované podľa požiadaviek FSTEC Ruska, nie však systémový, aplikačný alebo špeciálny softvér, ktorý nie je zapojený do ochrany ISPD.

Igor Nazarov:...certifikácia na kontrolu neprítomnosti NDV sa týka bezpečnostnej funkcionality, a to prostriedkov ochrany a nie všetkého softvéru, ktorý sa v informačnom systéme používa (http://www.connect.ru/article.asp? id=9406).

Dokumenty FSTEC, ktoré si môžete pozrieť na webovej stránke Federálnej služby pre technickú a exportnú kontrolu, nám o tom dnes hovoria:

V ISPD by sa mali používať iba technické prostriedky a systémy ochrany certifikované podľa požiadaviek informačnej bezpečnosti.

Hlavné udalosti…

Ustanovenie 4.2:... v ISPD by sa mala vykonávať kontrola prítomnosti nedeklarovaných schopností v softvéri a firmvéri a analýza bezpečnosti systémového a aplikačného softvéru.

Ustanovenie 4.3: Pre softvér používaný na ochranu informácií v ISPD (nástroje informačnej bezpečnosti vrátane nástrojov zabudovaných do všeobecného systémového a aplikačného softvéru) by mala byť zabezpečená primeraná úroveň kontroly nad neprítomnosťou NDV v ňom.

Nie je teda potrebné certifikovať systémový a aplikačný softvér, ak sa nezúčastňuje procesu ochrany informácií – to je možné vykonať na žiadosť prevádzkovateľa.

Z praxe tvorby systémov ochrany osobných údajov vyplýva, že je potrebné využívať licencovaný softvér (systémový, aplikačný a špeciálny softvér) a certifikované nástroje informačnej bezpečnosti a antivírusovej ochrany (môžu to byť SrZI od UA, antivírusové produkty, firewally, atď.). nástroje na detekciu narušenia, nástroje bezpečnostnej analýzy zodpovedajúce určitej triede). Ak sú v ISPD nainštalované nástroje na ochranu kryptografických informácií (CIPF), musia byť tiež certifikované podľa požiadaviek FSB Ruska.

Je potrebné poznamenať, že iba držiteľ licencie FSTEC má právo nainštalovať certifikovaný CIPF a držiteľ licencie FSB má právo nainštalovať CIPF.

Certifikácia

Konečným štádiom tvorby systému ochrany ISPD by mala byť certifikácia (vyhlásenie o zhode) - súbor organizačných a technických opatrení, v dôsledku ktorých sa prostredníctvom osobitného dokumentu - Osvedčenia o zhode (Záver) sa potvrdzuje, že ISPD spĺňa požiadavky noriem alebo iných regulačných a metodických dokumentov o informačnej bezpečnosti. Prítomnosť platného Osvedčenia o zhode dáva právo spracovávať informácie s primeranou úrovňou dôvernosti počas doby uvedenej v Osvedčení o zhode.

Otázka: Kto môže certifikovať pracoviská na dodržiavanie požiadaviek legislatívy a predpisov v oblasti osobných údajov?

Igor Nazarov: Certifikáciu ISPD z hľadiska súladu s požiadavkami na bezpečnosť informácií majú právo vykonávať držitelia licencie FSTEC, ktorí majú licenciu na technickú ochranu dôverných informácií (http://www.connect.ru/article.asp?id=9406).

Certifikácia zabezpečuje komplexnú kontrolu (certifikačné skúšky) ISPD v reálnych prevádzkových podmienkach s cieľom posúdiť súlad prijatého súboru ochranných opatrení s požadovanou úrovňou bezpečnosti PD.

Vo všeobecnosti certifikácia ISPD podľa požiadaviek informačnej bezpečnosti zahŕňa tieto kroky:

Analýza počiatočných údajov o certifikovanom ISPD;

Vykonanie expertízy ISPD a rozbor vypracovanej dokumentácie na zaistenie bezpečnosti PD pre súlad s požiadavkami regulačných a metodických dokumentov;

Vykonávanie komplexných certifikačných testov ISPD v reálnych prevádzkových podmienkach s využitím špeciálnych kontrolných zariadení a softvérových nástrojov na monitorovanie bezpečnosti pred neoprávneným prístupom;

Analýza výsledkov komplexných atestačných skúšok, vyhotovenie a schválenie Záveru a Osvedčenia o zhode na základe výsledkov atestácie.

Dôležitým bodom je, že v prípade zmeny podmienok a technológie spracovania PD je prevádzkovateľ povinný túto skutočnosť oznámiť držiteľskej organizácii, ktorá vykonala certifikáciu ISPD. Potom organizácia držiteľa povolenia rozhodne o potrebe dodatočného overenia účinnosti systému ochrany ISPD.

Zodpovednosť a riziká za nedodržanie požiadaviek zákona

V prípade nesplnenia požiadaviek na zaistenie bezpečnosti PD môže prevádzkovateľovi hroziť civilné súdne spory zo strany zákazníkov alebo zamestnancov.

Čo môže následne ovplyvniť povesť spoločnosti, ako aj viesť k nútenému pozastaveniu (ukončeniu) spracovania PD, čím sa spoločnosť a (alebo) jej vedúci dostanú k administratívnej alebo inej zodpovednosti a za určitých podmienok, k pozastaveniu alebo zrušeniu licencií. Okrem toho podľa federálneho zákona osoby vinné z porušenia požiadaviek nesú občiansku, trestnoprávnu, administratívnu, disciplinárnu a inú zodpovednosť ustanovenú právnymi predpismi Ruskej federácie ( Článok 24 FZ-152):

Disciplinárny (Zákonník práce Ruskej federácie, články 81, 90, 195, 237, 391);

správny (Zákon o správnych deliktoch Ruskej federácie, články 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Trestný (Trestný zákon Ruskej federácie, články 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

9. júna 2011 o 05:20

Prax ochrany osobných údajov

Informačná bezpečnosť

Miestne SZI NSD

Firewally

CIPF

V zásade uvádzam stručný popis všetkých certifikovaných ochranných produktov, o ktorých viem. Dúfam, že tieto informácie budú pre komunitu užitočné.

Najnovšie články

2022-03-23 06:03:04
Čo je to zariadenie a ako sa líši od gadgetu
2022-03-23 06:03:04
Prehľad základnej dosky MSI P35 NEO MSI P35 Neo a MSI P35 Neo Combo – základné dosky založené na čipovej súprave Intel P35
2022-03-17 22:04:42
Praktická práca na návrhu textových dokumentov obsahujúcich tabuľky

Populárne články

Voľba redaktora

2022-03-12 11:39:54

Ako vypnúť funkciu TalkBack?
Operačný systém Android má množstvo funkcií, o ktorých si bežní používatelia ani neuvedomujú. Jeden z tých "čipov"...
2022-03-12 11:39:54

Prehľad alternatívneho firmvéru HTC Desire A8181 Bravo Ako nainštalovať súbor firmvéru pre HTC Desire
Som šťastným majiteľom HTC Desire A8181. Keď som si ho pred rokom kupoval, moja radosť nemala hraníc. Po chvíli vyšiel Samsung ...
2022-03-12 11:39:54

Blikajúci alebo blikajúci telefón, smartfón a tablet Alcatel
Alcatel sa špecializuje na výrobu trendových mobilných telefónov, smartfónov a tabletov sprevádzaných nielen vynikajúcimi...
2022-03-12 11:39:54

Ako resetovať údaje (tvrdý reset, obnovenie továrenských nastavení) na Samsung Galaxy
Dostupnosť tvrdého resetu: K dispozícii Existuje mnoho dôvodov, prečo možno budete musieť vykonať tvrdý reset na výrobné nastavenia vášho smartfónu (Tvrdý...
2022-03-12 11:39:54

Najlepší firmvér pre HTC Desire so Sense shell - Runnymede a RuHD Inštalácia RuHD pre Desire
Ano, trochu mimo temy, ale aj tak som inokedy blysol vlastnym, uz dost starym, smarfonom a mam skusenosti. Ako sa hovorí, rovnaký firmvér má niečo spoločné s ...