Základ efektívne fungujúceho systému ochrany osobných údajov (PDS) tvorí súbor opatrení rôzneho charakteru vykonávaných na aktívne zamedzenie prípadného neoprávneného prístupu k osobným údajom, pozostávajúci z riadiacich opatrení, efektívne fungujúcich prostriedkov ochrany hardvéru.

Účelom zavedenia spoľahlivo fungujúceho súboru opatrení je:

Presné dodržiavanie požiadaviek regulátora na dodržiavanie ustanovení federálneho zákona „O ochrane osobných údajov“, ustanovení schválených interných zákonov, ktoré zabezpečujú náležitú úroveň bezpečnosti používaných osobných údajov;

Vypracovanie pokynov predpisujúcich implementáciu určitých pravidiel pri transformácii používaných PD, zabezpečenie ich ochrany.

• Úlohy, ktoré treba vyriešiť
• Použité vybavenie
• Aplikácie

Vývoj a implementácia systému ochrany osobných údajov (PDS) je séria technických a manažérskych opatrení, ktorých cieľom je zabezpečiť komplexná ochrana informácie, ktoré sú uznané federálnym zákonom z 27.07. 2006 N 152-FZ osobné údaje.

Prevádzkovateľ, ktorým sú štátne orgány a komerčné podniky, ktoré vykonávajú úkony na prácu s PD, majú záujem o ich bezpečné spracovanie, čím si uvedomujú potrebu implementácie bezpečnostného systému.

Berúc do úvahy skúsenosti získané počas implementácie projektov na vytvorenie PDS, zdá sa, že je možné určiť niekoľko dôležitých výhod z implementácie systému:

Na prvom mieste je dramatické zníženie právnych a reputačných rizík vyplývajúcich z nedodržiavania platnej legislatívy týkajúcej sa bezpečnosti osobných údajov.

Druhým dôležitým bodom je fakt, že vedecky podložená konštrukcia bezpečnostného systému umožňuje spracúvať osobné údaje zamestnancov a zákazníkov bez obáv o ich bezpečnosť. Môže to byť silné konkurenčná výhoda pri práci s dôverné informácie osoby a informácie určené len na úradné (interné) použitie. Dobre vybudovaný SZPDn si ľahko poradí s najbežnejšími hrozbami – blokuje dopad malvéru, zabraňuje krádežiam klientskych databáz, čo často praktizujú prepustení zamestnanci.

Tretím faktorom motivujúcim k implementácii efektívneho systému ochrany osobných údajov je vytváranie imidžu spoločnosti ako spoľahlivého partnera, ktorému možno dôverovať, že zabezpečí dôvernosť osobných údajov.

Ako upozorňujú analytici, s únikom sú spojené časté škandály dôverné informácie, prinúti vás venovať pozornosť bezpečnostnému systému pri výbere partnera protistrany. Bežnou záležitosťou sa už stávajú partnerské zmluvy či súťažné podmienky, v ktorých sa vyžaduje doložiť dokladovaný súlad PDPD s platnými predpismi.

Netreba zabúdať, že efektívne PDS zabezpečuje kontinuitu všetkých obchodných procesov v samotnej spoločnosti, eliminuje pravdepodobnosť sťažností zákazníkov, opodstatnených sťažností zamestnancov a hrozivých pokynov dozorných orgánov regulátora.

Etapy prác uviesť do súladu s 152-FZ

1. Inventarizácia, úplná analýza stavu informačných štruktúr zapojených do spracovania PD.

Takýto predprojektový audit poskytuje objektívne informácie o procesoch spracovania osobných údajov v spoločnosti a opatreniach na ich ochranu. Špecialisti Open Vision v povinné kontrolujú sa všetky úradné dokumenty, správnosť prijatých opatrení, vypracované tak, aby spĺňali požiadavky právneho rámca týkajúceho sa bezpečnosti údajov použitých pri práci obmedzený prístup.

2. Tvorba koncepcie bezpečnostného systému slúžiaceho na bezpečnosť osobných údajov, poskytovanie zákazníkovi primerané odporúčania na optimalizáciu spracovania osobných údajov, zaisťujúce bezpečnosť dôverných informácií.

V tejto fáze práce kvalifikovaní odborníci posudzujú možné možnosti realizácie projektu, určujú východiská pre jeho realizáciu, stanovujú určité obmedzenia rozsahu projektu, ktorý sa v praxi realizuje. Identifikujú sa hlavné problémy, vytvorí sa zdôvodnenie navrhovaných riešení. Klienti dostanú zoznam softvérových a hardvérových prvkov vyvíjaného komplexu informačnej bezpečnosti s povinným uvedením ceny za každú položku.

3. Objasnenie reálnej úrovne zabezpečenia PD

V procese práce sa určuje možný typ ohrozenia chránených osobných údajov, s uvedením konkrétneho informačného systému, predpokladanej skladby osobných údajov, možného počtu subjektov. S prihliadnutím na celý objem prijatých informácií sa zisťuje skutočný stav systému zabezpečenia osobných údajov.

4. Vypracovanie modelu možných ohrození bezpečnostného systému PD, vytvorenie modelu útočníka

Dokument poskytnutý zákazníkovi je systematizovaný zoznam možných ohrození bezpečnosti osobných údajov pri práci s nimi v informačných systémoch osobných údajov (ISPDN). Ohrozenie bezpečnosti osobných údajov (UBPDn) môže vzniknúť v dôsledku zlomyseľného alebo náhodného konania jednotlivcov, činnosti zahraničných špeciálnych služieb alebo organizácií špecializujúcich sa na špionáž, špecializovaných zločineckých skupín pripravujúcich hacknutie bezpečnosti osobných údajov, čo ovplyvní práva a slobody tak spoločnosti, ako aj štátu či občanov ...

5. Vypracovanie Zadania výstavby SZPDn

Súkromné ​​zadanie pre vybudovanie informačnej štruktúry PDPD pre konkrétnu informačnú štruktúru určuje jej účel, sledované ciele, požiadavky na technické a organizačné zabezpečenie, plán rozvoja a priamej tvorby PDPD.

6. Tvorba projektu SZPD

Projektová dokumentácia vytvorená v tomto štádiu implementácie SPSD zabezpečuje prácu, ktorá zohľadňuje štandardy bezpečnosti údajov s obmedzeným prístupom predpísané regulačnými predpismi.

7. Vypracovanie organizačnej a administratívnej dokumentácie

Súbor dokumentov predpisujúcich pravidlá spracovania, ochranu osobných údajov tvoria desiatky organizačných a administratívnych pokynov, ktoré sú potrebné na to, aby všetky procesy pre prácu a bezpečnosť osobných údajov boli v súlade s normami platnej legislatívy.

8. Dodávka softvérovej a hardvérovej ochrany informácií

Klientovi sú dodávané softvérové ​​a hardvérové ​​prvky pre implementáciu FDAP, ktoré boli testované a spĺňajú požiadavky zákonov Ruskej federácie týkajúce sa opatrení informačná bezpečnosť.

9. Inštalácia, konfigurácia systému informačnej bezpečnosti

zapnuté tejto fáze pri realizácii SZPDn sa vykonáva inštalácia zariadenia, inštalácia softvéru, s príslušným nastavením. Výsledkom vykonanej práce je, že zákazník dostane súbor systémov informačnej bezpečnosti, ktoré sú kompatibilné s použitými informačnú štruktúru pracovať s PD.

10. Posúdenie účinnosti prijatých opatrení na vytvorenie účinnej ochrany osobných údajov

Stanovenie účinnosti vypracovaných bezpečnostných opatrení pre obmedzené údaje sa vykonáva pred spustením PDPD do prevádzky. Dôkazné testovanie komerčného systému sa vyžaduje každé 3 roky.

11. Certifikácia používaného ISPD pre súlad s modernými požiadavkami informačnej bezpečnosti

Certifikácia ISPDn zahŕňa súbor organizačných a technických kontrol (certifikačných testov) zameraných na potvrdenie súladu s požiadavkami informačnej bezpečnosti. Poskytované pre vládne agentúry.

Jedným z rýchlo sa rozvíjajúcich segmentov domáceho IT trhu je internetový obchod, ktorý je spôsobený technickou jednoduchosťou implementácie. tohto projektu, transparentnosť obchodných procesov. Elektronický obchod je uznávaný ako efektívny a perspektívny typ podnikania.

Otázky informačnej bezpečnosti podnikania na internete nestrácajú na aktuálnosti, práve naopak, na množstve hackerské útoky najväčšie finančné inštitúcie investujúce obrovské množstvo peňazí do ochranných systémov si vyžadujú včasné opatrenia. Tu je návod, ako to dosiahnuť, a dokonca s prijateľnou úrovňou nákladov.

Mnohé, najmä na počiatočná fáza, nemajú možnosť vytrhnúť z obehu značné sumy investovaním do systémov informačnej bezpečnosti. Nový obchod, možný “ podvodné skaly»Nie sú známe a špecifiká online podnikania predpokladajú neustále zmeny.

V dôsledku toho vzniká bezpečnostný systém, ktorý sa však vyvíja „na známosť“ alebo sa zadá zákazka freelancerovi, v lepšom prípade oficiálne registrovanému webovému štúdiu. Obstaranie hotového riešenia tiež nemožno považovať za zaistenie serióznej úrovne bezpečnosti, keďže existujú problémy s jeho integráciou do už existujúcej IT infraštruktúry.

Alebo by ste sa možno mali zamyslieť nad tým, či takéto systémy skutočne poskytujú správnu úroveň bezpečnosti? Má sám podnikateľ potrebnú kvalifikáciu na určenie stupňa vzdelania „internetových šašašov“? Dá sa takáto práca minimalizovať možné riziká? Bohužiaľ, vo väčšine prípadov je odpoveď nie.

Aj keď zo strany spotrebiteľa neexistujú žiadne zvlášť prísne požiadavky na bezpečnosť tých osobných údajov, ktoré pri nákupe prenáša do internetového obchodu, nemôže to slúžiť ako hlavný ukazovateľ pre výber spôsobov organizácie spracovania a uchovávania takéto dôverné informácie. Kupujúci nemá vôbec možnosť posúdiť, ako efektívne funguje ochrana jeho osobných údajov. Áno, to zatiaľ nijak zvlášť netrápi, keďže atraktívne ceny, krásne urobený popis tovaru, prednostné doručenie dosahujú cieľ.

Väčšina nakupujúceho publika sa ani nečuduje, kam posiela svoje osobné údaje. Buď je to individuálny podnikateľ alebo súkromný podnikateľ, ktorý rozvíja svoj vlastný internetový obchod. Alebo je to webová divízia veľkého predajcu spotrebnej elektroniky. Prirodzene, postoj k informačnej bezpečnosti vo veľkej obchodnej sieti je prísnejší ako postoj podnikateľa, ktorý niekedy musí samostatne dodávať tovar zákazníkom.

Je pozoruhodné, že napriek neustále rastúcej hrozbe krádeže dôverných informácií dôvera v internetové obchodovanie neustále rastie. Kupujúci zadáva údaje o sebe, vypĺňa objednávkový formulár, niekedy dokonca bez obáv, ako s tým naložia zamestnanci predajne. Alebo možno nie je taký dopyt po existujúcich obchodných procesoch?

Výsledná redundancia požadovaných údajov práve spadá pod FZ-152, pretože existuje nesúlad medzi povahou a objemom prijatých informácií a existujúcimi úlohami ich spracovania pre obchodné procesy poskytované v internetovom obchode.

Technická úroveň vývoja moderný internet obchod umožňuje predpokladať používanie CRM systémov, vďaka čomu je možné ukladať údaje o klientovi pre následnú interakciu s ním a návrh nového produktu. Je to však potrebné pre úroveň popredajnej interakcie s kupujúcim?

Podľa FZ-152 môžu byť osobné údaje uchovávané len po dobu, ktorá je nevyhnutná na ich spracovanie. Po uskutočnení nákupu alebo odmietnutí by mali byť všetky osobné údaje zlikvidované, pretože ich uchovávanie nezodpovedá špecifikám vykonávaných obchodných procesov. Niet pochýb, že to nerobí prakticky nikto.

FZ-152 obsahuje ustanovenia, ktoré ohrozujú samotnú existenciu internetového obchodu. Každý kontrolný orgán môže od majiteľa internetového obchodu požadovať presné písomné povolenie občana na použitie jeho osobných údajov v práci. Nikto nemá takéto povolenie písanie neposkytuje, maximum je obmedzené známkou o oboznámení sa s pravidlami predajne.

Keďže sa neočakáva priamy kontakt z hľadiska obchodovania cez internet, s výnimkou stretnutia kupujúceho s kuriérom za účelom doručenia tovaru, súlad s normami FZ-152 je možné dosiahnuť iba depersonalizáciou osobných údajov spotrebiteľa, čo si vyžaduje úpravu existujúceho obchodu. procesy.

Bezpochyby pohodlný nástroj uľahčuje prístup k rôznym informačné služby spoločnosti, podnikové portály sú primerane uznávané. S rozvinutou sieťou pobočiek a kancelárií umiestnených od centrály až po veľká vzdialenosť, značný počet obchodných partnerov, optimálne prostriedky komunikácia je spojenie cez kanály VPN, ktoré majú primeranú úroveň zabezpečenia. Výber takéhoto high-tech riešenia je však dosť drahý a nie je dostupný pre každú spoločnosť. Pri absencii voľných prostriedkov na bezpečné pripojenie je jednoduchší spôsob práce prístupový bod z internetu.

Funkcia firemného portálu, aj keď uvažujeme inú úroveň infraštruktúra je uchovávanie tak dôverných informácií zamestnancov, klientov firmy a obchodných partnerov právnickej osoby, ako aj umiestňovanie finančných informácií samotnej spoločnosti, ktorých zverejnenie môže spôsobiť škodu. Efektívna organizácia všetkých procesov pre prácu s osobnými údajmi by mala zohľadňovať, že účely a spôsoby spracúvania údajov sú pre každú podskupinu subjektov odlišné. Ide o diferencovaný prístup k transformácii obmedzených údajov, ktorý by mal byť začlenený do konceptu podnikovej bezpečnosti.

Niet pochýb o tom, že finančná situácia spoločnosti, ktorá vytvára firemný portál, umožňuje prilákať skúsených programátorov na prácu alebo kúpiť hotové a opakovane testované riešenie. Nezabúdajte však, že bezpečnosť kódu nie je jediným parametrom, ktorému treba venovať pozornosť pri vývoji efektívny systém informačná bezpečnosť. Vo všeobecnosti by mala byť informačná bezpečnosť uznaná manažmentom spoločnosti ako integrálna súčasť celkového bezpečnostného systému.

Za posledných pár rokov počet používateľov populárnych sociálnych sietí na Runete vzrástol bezprecedentným tempom a prekročil hranicu 50 miliónov. Obrovské množstvo osobných údajov nahromadených v sociálnych sieťach si vyžaduje primeranú kontrolu, ktorú navrhujú normy FZ-152.

Napriek prvému dojmu, že informácie dostupné na sociálnych sieťach možno považovať za „verejne dostupné“, každým rokom je rastúci objem údajov zákonom klasifikovaný ako „dôverné osobné údaje“.

Fakty o krádežiach účtov zo sociálnych sietí nie sú v zahraničí a v Rusku nezvyčajné. Státisíce účtov sú vystavené kyberzločincom. Počet hackerských útokov na sociálne siete neklesá, poznamenávajú odborníci neustálu pozornosť počítačovej kriminality tejto časti internetu.

Sociálne orientovaný podvodné schémy majú veľký potenciál pomocou pharmingových útokov, odosielania spamu a phishingu na svoje vlastné účely. Celý tento súbor nástrojov modernej počítačovej kriminality môže viesť ku krádeži dôverných údajov, čo napomáha dôverčivosť a neskúsenosť ľudí. Správcovia sociálnych sietí sú povinní neustále monitorovať, identifikovať incidenty a odstraňovať ich následky.

Služba internetového bankovníctva sa v ruskom bankovom sektore stáva čoraz populárnejšou, plne ju poskytuje niekoľko desiatok finančných inštitúcií podobná služba... Dôvodom je jednak chýbajúca jednotná integračná platforma, ale aj nedostatočná úroveň automatizácie mnohých inštitúcií.

Rovnako ako bežné webové aplikácie, aj služby internetového bankovníctva a elektronické platobné systémy sú založené na spoločnej architektúre klient-server. Uznáva sa, že „ slabý článok»Takouto interakciou je práve používateľ a tie zariadenia, pomocou ktorých spravuje svoj vlastný účet.

Žiaľ, spotrebiteľ nedokáže objektívne posúdiť všetky riziká, ktoré pri správe bankového účtu na diaľku nevyhnutne vznikajú. Nehovoriac o prijatí vhodných bezpečnostných opatrení. Preto by banky mali napĺňať znalosti klientov o tejto problematike.

Je pozoruhodné, že počítačoví zločinci často nevenujú pozornosť internetovému bankovníctvu, aby ukradli finančné prostriedky, pretože finančné inštitúcie poskytujú maximálnu bezpečnosť transakcií, ale za účelom získania prístupu k osobným údajom klienta. Práve vďaka tomu sú možné podvodné schémy bankové karty, iné spôsoby finančnej krádeže. Mnohí odborníci sa domnievajú, že na čiernom trhu má jednoduché zaznamenávanie zákazníckych účtov svoje vlastné náklady.

Štatistiky jasne ukazujú, že vytváranie a prevádzkovanie služby Internet banking v mnohých štruktúrach nie je v súlade s priemyselnými normami a pravidlami. Najčastejšie sa každá finančná inštitúcia zaoberala vývojom samostatne a existujúce štandardy mali len poradenský charakter.

Začiatok FZ-152 spôsobil mnohým bankám značné problémy, pretože kontrola zo strany regulátora nad bezpečnosťou osobných údajov sa sprísňuje, čo si vyžaduje zlepšenie existujúce systémy bezpečnosť. Bez ohľadu na to, ako veľmi sa združenie bánk snažilo odložiť štart FZ-152, bolo potrebné dodržiavať jeho ustanovenia.

Miestny GIS NSD

SZI NSD je skratka pre prostriedok ochrany informácií pred neoprávneným prístupom. Používajú sa na zabránenie neoprávnenej činnosti používateľov, ktorí majú prístup k pracovným staniciam ISPD. Zahŕňajú také mechanizmy, ako je kontrola načítania z vymeniteľných médií (CD / DVD disky, flash disky), kontrola zariadení (aby nebolo možné pripojiť ľavý flash disk a vyčerpať informácie), implementácia povinnej kontroly prístupu (pre ISPD sa to nevyžaduje). Uvediem iba tie nástroje, s ktorými som osobne pracoval:
1) Tajná sieť. Môže byť dodaný s alebo bez riadiacej dosky záťaže. Funguje cez secpol.msc, takže nemusí fungovať na verziách Home (na Windows XP Home určite nefunguje, áno, Vistu a Windows 7 som ešte netestoval). Celkom ľahko ovládateľný, má najlepší mechanizmus ovládania zariadenia, aký ste kedy videli. Existuje sieťová verzia určená na integráciu do doménovej štruktúry.
2) Guardian NT. Najlepší mechanizmus povinná kontrola prístupu. V prevádzke je to náročnejšie (kvôli tomu, že niektoré ochranné mechanizmy sa nedajú vypnúť). Neexistuje sieťová verzia.
3) Zámok Dallas. Straty vo všetkých vyššie diskutovaných parametroch, okrem možnosti normálneho nasadenia sieťová možnosť v sieti bez domény.
Ako už názov napovedá, tieto nástroje sa používajú na lokálnych strojoch. Tu niet čo dodať.

Firewally

Cieľ je myslím jasný. Okrem toho, ak je jedna ISPD rozdelená firewallom na dve časti, potom je možné s plné právo nazvite ich dvoma rôznymi ISPD. Prečo? Ak spadáte do prvej triedy práve počtom spracúvaných dotknutých osôb, tak rozdelením ISPD na dve časti znížite počet spracúvaných subjektov v každom ISPD a už nebudete dostávať K1, ale K2. V súčasnosti je na trhu niekoľko certifikovaných firewallov:
1) VipNet Personal Firewall. Len osobný firewall, žiadne luxusné veci. Spravované iba lokálne. Mechanizmus centralizované riadenieč. Na spustenie je potrebné heslo, ak ho nezadáte, nespustí sa.
2) VipNet Office Firewall. To isté, ale podporuje niekoľko sieťových kariet, čo vám umožňuje nainštalovať ju na bránu a použiť ju na segmentáciu ISPD.
3) SSPT-2. Hardvérový a softvérový komplex beží na FreeBSD, no k samotnému OS vás nikto nepustí. Funguje rýchlo, podporuje filtrovanie podľa mnohých parametrov. Má nepríjemnú vlastnosť – pravidlá sa aplikujú v zozname zhora nadol a pravidlá umiestnené hore majú vyššiu prioritu. V dokumentácii sa to neodráža, bolo to odhalené empiricky. Ovláda sa z lokálnej konzoly aj cez webové rozhranie.
4) APKSH „Kontinent“. Vo všeobecnosti to nie je firewall, ale krypto router, ale s funkciami ITU. Architektonicky podobný SSPT-2, ale neexistuje žiadne ovládanie z lokálnej konzoly - iba cez špeciálnu administrátorskú konzolu. Okrem toho musíte počas úvodného nastavenia špecifikovať rozhranie, ku ktorému bude pripojený počítač správcu.
Okrem toho vydal „Bezpečnostný kód“ ďalšie dva produkty – ITU + HIPS „Security Studio Endpoint Protection“ a distribuovaný firewall systém Trust Access, ktorý kombinuje firewallovanie a segmentáciu pomocou autentifikácie Kerberos. Keďže som s týmito produktmi nemusel pracovať, uvediem len odkazy na ich popis:
TrustAccess
SSEP
Okrem toho bola certifikovaná výroba ďalšieho produktu Stonegate Firewall / VPN. Produkt fínska spoločnosť Stonesoft. Dodáva sa aj s naskrutkovaným šifrovacím modulom CryptoPRO, ktorý umožňuje jeho použitie ako certifikované riešenie VPN.

SKZI

Sú tiež prostriedkami kryptografickej ochrany. Okrem už spomínaného Stonegate Firewall / VPN existujú ďalšie dve riešenia VPN:
1) VipNet Custom. Ide o komplex VipNet Administrator - riadiaci program, VipNet Coordinator - VPN server s funkciami ITU a VipNet Client - VPN klient a ITU. Ovládací program slúži len na generovanie kľúčov a certifikátov, nastavenia firewallu je možné spravovať len lokálne. V správe môže pomôcť iba vstavaný RDP. Zahŕňa teda interný messenger a internú poštu. Jediné, čo možno považovať za cnosť, je to, že je čistý. softvérové ​​riešenie, ktoré možno jednoducho integrovať do existujúcej infraštruktúry.
2) APKSH „Kontinent“. V zásade som už o ňom hovoril. Len dodam, ze v najnovsej verzii klienta ("Continent-AP") su funkcie firewallu a dokonca je tam aj klient pre Linux. Správa samotných krypto brán sa vykonáva iba z administrátorskej konzoly, ale na diaľku. Medzi vlastnosti patrí aj fakt, že začať nastavovať(teda prenos konfigurácie siete a kľúčov do kryptobrány) sa vykonáva lokálne, a to tak, že sa do nej vloží flash disk so všetkými potrebnými informáciami. Ak ste sa pri vytváraní konfigurácie pomýlili a už ste krypto bránu odoslali do vzdialeného bodu, potom sa na ňu nemôžete na diaľku pripojiť a niečo opraviť, budete musieť vygenerovať konfiguráciu znova a nejako ju preniesť do vzdialeného bodu.

V podstate tu Stručný opis všetky mne známe certifikované prostriedky ochrany. Nádej, táto informácia budú pre komunitu užitočné.

Po zverejnení nariadenia vlády Ruskej federácie č. 781 „O schválení nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ zo 17. novembra 2007 resp. spoločná objednávka Federálna služba pre technickú a exportnú kontrolu Federálnej bezpečnostnej služby Ruskej federácie a Ministerstva informačných technológií a komunikácií Ruskej federácie z 13. februára 2008 č. 55/86/20 „O schválení postupu pri klasifikácii osobných údajov informačné systémy“ (ďalej len „Postup ...“) pred vývojom a prevádzkou servisných informačných systémov (IS) spracúvajúcich osobné údaje vyvstali dve takmer hamletovské otázky:

• ako klasifikovať IP určené na ochranu osobných údajov;
• ako si vybrať nástroje informačnej bezpečnosti na ochranu osobných údajov v týchto systémoch.

„Postup ...“ uvádza, že „klasifikáciu informačných systémov vykonávajú štátne orgány, orgány obcí, právnické osoby a fyzické osoby, ktoré organizujú a (alebo) vykonávajú spracúvanie osobných údajov, ako aj určujú účely a obsah spracúvanie osobných údajov." To znamená, že osobné údaje (PD) ich klasifikujú vlastník, ktorý je vážnou pomocou pre objektívny výber metód a prostriedkov ochrany osobných údajov a vytvára objektívny základ pre dialóg s kontrolnými orgánmi o primeranosti opatrení prijatých v organizácii na ochranu osobných údajov.

Pri klasifikácii IP určeného na spracovanie osobných údajov sa berú do úvahy tieto počiatočné údaje:

• kategórii osobné údaje spracúvané v informačnom systéme; ·
• objem spracúvané OÚ (počet subjektov, ktorých osobné údaje sa spracúvajú v IS); ·
• bezpečnostné charakteristiky osobných údajov spracúvaných v IS stanovené vlastníkom informačného systému; ·
• štruktúra informačného systému; ·
• dostupnosť pripojení IS k verejným komunikačným sieťam a (alebo) sieťam medzinárodnej výmeny informácií; ·
• režim spracovania PD; ·
• spôsob diferenciácie prístupových práv pre používateľov informačného systému; ·
• umiestnenie technických prostriedkov IP.

V prvom rade určíme, čo sa týka osobných údajov. Ide o informácie rôzneho charakteru o konkrétnych osobách. Upozorňujeme, že hovoríme len o informáciách v elektronickej podobe, zadávaných, uchovávaných, spracovávaných a prenášaných v informačnom systéme. Tieto informácie sú rozdelené do štyroch hlavných kategórií:

• kategória 1 - PD súvisiace s rasou, národnosťou, politickými názormi, náboženským a filozofickým presvedčením, zdravotným stavom, intímnym životom; ·
• kategória 2 - PD, umožňujúca identifikovať subjekt osobných údajov a získať o ňom dodatočné informácie, s výnimkou osobných údajov patriacich do kategórie 1; ·
• kategória 3 – osobné údaje, ktoré umožňujú identifikovať subjekt osobných údajov; ·
• kategória 4 - neosobné a (alebo) verejne dostupné PD.

Napríklad samostatne je priezvisko údajom 4. kategórie, tretím je spojenie priezvisko a adresa, druhým je priezvisko, adresa, číslo poistenia a preukazu a ak je k týmto údajom doplnená elektronická zdravotná knižka, potom výsledné osobné údaje patria výlučne do prvej kategórie.

Na základe tejto klasifikácie je možné konštatovať, že akékoľvek zdravotné údaje, ako aj osobné záznamy obsahujúce kolónku „štátna príslušnosť“ (a to sú takmer všetky v súčasnosti používané platné dotazníky a osobné záznamy o personálnych záznamoch), musia byť zaradené do prvej kategórie. kategórii. Je tiež zrejmé, že osobné údaje majú takmer vždy nižšiu kategóriu ako ich súhrn. Aj podrobné informácie o zdravotnom stave jednotlivca môžu byť nezmyselné, ak je neznáme jeho priezvisko alebo iné údaje, ktoré tieto informácie jednoznačne viažu na pacienta.

Objem spracovaných PD môže nadobudnúť nasledovné hodnoty:

1. - IS súčasne spracúva osobné údaje viac ako 100 000 subjektov alebo osobné údaje subjektov v rámci regiónu Ruská federácia alebo Ruská federácia ako celok; ·
2. - IS súčasne spracúva osobné údaje od 1000 do 100 000 subjektov alebo osobné údaje subjektov pracujúcich v hospodárstve Ruskej federácie v orgáne štátu so sídlom v obci; ·
3. - IS súčasne spracúva údaje menej ako 1000 subjektov alebo osobné údaje subjektov konkrétnej organizácie.

Podľa bezpečnostných charakteristík PD spracovávaných v informačnom systéme sa IS delia na štandardné a špeciálne. Prvou sú informačné systémy, v ktorých je len poskytovanie o dôvernosti osobné údaje.

Charakteristika „dôvernosť“ znamená, že manipulovať (zadávať, uchovávať, spracovávať a odosielať) PD v elektronickej forme môže iba ten, komu sú určené. Na zabezpečenie dôvernosti pri prenose osobných údajov cez siete vrátane internetu je potrebné použiť šifrovanie údajov.

Špeciálne informačné systémy sú také IS, v ktorých sa bez ohľadu na potrebu zabezpečenia dôvernosti OÚ vyžaduje zabezpečiť aspoň jednu z bezpečnostných charakteristík osobných údajov, inú ako dôvernosť (napríklad integritu alebo dostupnosť). Charakteristická „bezúhonnosť“ znamená, že osobné údaje by sa mali meniť len regulovaným spôsobom, napríklad zmeny v elektronickom spise zdravotnej dokumentácie môže vykonávať iba oprávnený lekár a v ostatných prípadoch by sa informácie v zdravotnej dokumentácii nemali meniť. zmenené. Pri prenose cez siete je integrita zabezpečená použitím elektroniky digitálny podpis.

Charakteristická „dostupnosť“ znamená, že práca s PD by mala byť poskytovaná pre dané množstvo údajov a používateľov v súlade so stanovenými časovými predpismi. Inými slovami, „dostupnosť“ je ďalšou formuláciou spoľahlivosti systému. Všimnite si tiež, že hovoriť o dostupnosti v otvorených sieťach je prakticky bezvýznamné – žiadny poskytovateľ neposkytne garantovaný prístup k dátam ani ich neprerušovaný prenos.

Medzi špeciálne informačné systémy patria:

• IS, v ktorom sa spracúvajú osobné údaje týkajúce sa zdravotného stavu subjektov; ·
• IP, ktorý stanovuje prijatie výlučne na základe automatizované spracovanie osobné údaje o rozhodnutiach, ktoré majú vo vzťahu k subjektu právne následky alebo sa inak dotýkajú jeho práv a oprávnených záujmov.

Podľa štruktúry sa informačné systémy na spracovanie PD delia na:

• pre autonómne (neprepojené s inými IS), určené na spracovanie osobných údajov (automatizované pracovné stanice); ·
• pre komplexy automatizovaných pracovísk, združených do jedného IS komunikačnými prostriedkami bez použitia techniky vzdialený prístup(miestne informačné systémy); ·
• o komplexoch automatizovaných pracovných staníc a (alebo) lokálnych IS, zjednotených do jedného informačného systému prostredníctvom komunikácie pomocou technológie vzdialeného prístupu (distribuované informačné systémy).

Podľa prítomnosti napojení na verejné komunikačné siete a (alebo) medzinárodnej výmeny informácií sa IS rozdeľujú na systémy, ktoré majú spojenia, ktoré nemajú spojenia.

Na základe toho, že je povinné zabezpečiť dôvernosť údajov, je možné vyzdvihnúť potrebné prvky informačného systému pre spracúvanie osobných údajov.

V prvom rade je informačný systém povinný identifikovať používateľov a mať možnosť zriadiť individuálne oprávnenie pre prístup používateľov do PD, teda mať identifikačné a autentifikačné systémy a kontrolu prístupu.

Po druhé, je potrebné zabezpečiť ochranu osobných údajov, ktoré je možné systému odcudziť. Napríklad by ste mali kontrolovať prenos informácií do vymeniteľné médiá... Je veľmi pravdepodobné, že v niektorých prípadoch je potrebné počítať s možnosťou odcudzenia a straty (straty) počítačového vybavenia s osobnými údajmi. V tomto prípade je povinné aj šifrovanie PD uloženého na médiu počítača.

Ak má systém pripojenia k otvorené siete alebo zabezpečuje výmenu údajov, je povinné používanie šifrovania údajov a elektronických digitálnych podpisov, ako aj ochrana pred útokmi z externých sietí vrátane antivírusovej ochrany.

Na šifrovanie a elektronický podpis sa používajú kľúče a certifikáty, ktoré si generujú samotní používatelia a sú registrované v takzvaných certifikačných centrách.

Veľmi dôležitým bodom je evidencia úkonov u PD, ktorá na jednej strane umožňuje identifikovať zodpovedných za ich únik a na druhej strane vytvára psychickú motiváciu pre správnu prácu s nimi.

Informačný systém na spracovanie PD môže byť zaradený do jednej z nasledujúcich tried:

• triedy 1 (K1) - IS, u ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných môže viesť k významným negatívnym dôsledkom pre subjekty osobných údajov; ·
• triedy 2 (K2) - IS, u ktorých porušenie stanovených bezpečnostných charakteristík OÚ v nich spracúvaných môže viesť k negatívnym dôsledkom pre subjekty osobných údajov; ·
• trieda 3 (K3) - IS, pri ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných môže viesť k menším negatívnym dôsledkom pre subjekty osobných údajov; ·
• triedy 4 (K4) - IS, u ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných nevedie k negatívnym dôsledkom pre subjekty osobných údajov.

stôl 1

Kategória

Po prvé, z "Objednávka ..." vyplýva existencia Kategórie osobné údaje. Je logické implementovať agregácia databázy v IS obsahujúce PD do neprekrývajúcich sa častí obsahujúcich údaje rôznych kategórií. Tiež musí byť IC pre spracovanie PD rozdelené do obrysov obsahujúce údaje len jednej kategórie. Je to celkom možné, pretože jednotlivci sú jednoznačne identifikovaní podľa čísla pasu alebo TIN alebo podľa čísla zdravotnej poisťovne, čo umožňuje jednoznačne indexovať lekárske databázy a iné polia. Je teda potrebné dodržiavať zásadu, že v každom okruhu IS na spracúvanie osobných údajov je potrebné využívať certifikované produkty rovnakej triedy a obrysy by mali byť izolovaný od seba.

Možno konštatovať, že najviac informačných systémov na spracovanie PD (najmä na medicínske účely) bude špeciálne, to znamená, že v nich je potrebné zabezpečiť nielen dôvernosť, ale aj bezúhonnosť povinné a iné bezpečnostné a spoľahlivé charakteristiky.

Kedy distribuovaný IP na spracúvanie osobných údajov, a to aj v prípade, že je potrebné ich len poskytnúť dôvernosti v súlade s "Postupom ..." budete určite potrebovať ochrana prenášaných a uložených PD... Je to plne v súlade s aktuálnymi požiadavkami Federálnej bezpečnostnej služby Ruskej federácie na automatizované informačné systémy určené na ochranu dôverných informácií, ktoré nepredstavujú štátne tajomstvo, konkrétne ustanovenie, že „všetky dôverné informácie prenášané komunikačnými kanálmi musia byť chránené; informácie prenášané komunikačnými kanálmi musia byť šifrované pomocou kryptografickej ochrany informácií (CIP), alebo musia byť na ich prenos použité zabezpečené komunikačné kanály. Musí sa vykonávať ochrana informácií zaznamenaných na scudziteľných médiách.

Posledná požiadavka sa nepochybne vzťahuje na izolované IS OÚ, ktoré nemajú kanály na prenos OÚ, teda pre jednotlivé pracoviská, ktoré spracúvajú osobné údaje.

To znamená, že na spracovanie osobných údajov musí byť IP certifikované v triede nie nižšej ako AK2 v klasifikácii FSB Ruskej federácie. Táto trieda napríklad zodpovedá chránenému systému Windows XP s balíkom Secure Pack Rus. Zloženie prostriedkov ochrany by malo zahŕňať prostriedky kryptografickej ochrany informácií (CIP) triedy nie nižšej ako KC2.

Na základe toho pre každý IS PD, ktorý spracováva PD kategórie nad 4. (ku ktorému budú určite priradené všetky systémy spracovania medicínskych PD), bude potrebné vykonať všetky požiadavky triedy AK2 v klasifikácii FSB RF.

Z architektúry IS PD s dosť Vysoké číslo spracované PD (ukazovateľ 1 alebo 2), určite bude zvýraznený serverový komponent, ktorý bude tiež vyžadovať ochranu. V tomto prípade ochrana všetkých dôverných informácií uložených na magnetické médiá pracovné stanice a servery, ktoré spĺňajú požiadavky triedy AK3.

Môžeme tak ponúknuť dobre podloženú stratégiu ochrany osobných údajov, ktorá spočíva v tom, že tabuľka. 1 sa vypĺňa nasledovne (pozri tabuľku 2).

tabuľka 2

kategória IP	IP trieda v závislosti od objemu spracovaných PD
	Nie nižšie ako AK3	Nie nižšie ako AK3	Nie nižšie ako AK3

Poznámka. „-“ - znamená, že neexistujú žiadne požiadavky.

Preto na ochranu PD prvej kategórie, ktorá zahŕňa všetky medicínske údaje, je potrebné použiť ochranné prostriedky tried nie nižších ako AK3 a kryptografické ochranné prostriedky tried nie nižších ako KC3.

Pre praktické vybavenie IP ochrannými prostriedkami je možné odporučiť produkty špeciálne prispôsobené na ochranu osobných údajov a disponujúce potrebnými povoleniami (certifikáty a závery). Ide predovšetkým o Secure Pack Rus a nástroje kryptografickej ochrany z rodiny CryptoPro.

Skúsme teraz odhadnúť náklady na vybavenie jedného pracoviska na spracovanie PD. Bez zliav je cena balíka Secure Pack Rus približne 2 000 RUB, pričom rodina nástrojov kryptografickej ochrany CryptoPro je už zahrnutá v tomto balíku. Ďalej, na ochranu osobných údajov uložených v počítači sa odporúča zakúpiť si jeden z balíkov ochrany údajov CryptoPro EFS, Secure Pack Explorer alebo „Crypto Explorer“. Cena každého z týchto produktov sa pohybuje od 600 do 1000 rubľov. Celková ochrana jedného pracoviska, s výnimkou inštalácie a konfigurácie, bude stáť asi 3 000 rubľov a inštalácia a prispôsobenie programov tradične zvýši náklady o 10 – 15 %.

Podmienečne je možné vyčleniť „desať mystických krokov na ceste“ k bezpečnému systému spracovania PD.

1. Identifikujte prvky vašej IP, ktoré je potrebné chrániť ako prvé. Najprv si zistite, ktoré osobné údaje je potrebné chrániť a kde sa vo vašom systéme momentálne nachádzajú. Potom skontrolujte, či pracoviská všetkých zamestnancov bez výnimky skutočne potrebujú ochranu údajov. Možno je jednoduchšie prideliť samostatné počítače na prácu s osobnými informáciami, ktoré je potrebné obzvlášť spoľahlivo chrániť? Pamätajte, že počítač pripojený k internetu nie je najlepším miestom na ukladanie PD!
2. Zhodnotiť súčasný stav informačnej bezpečnosti. Nakoľko je to uspokojivé? Ak je to možné, vykonajte externý bezpečnostný audit vášho systému. Klasifikujte svoju IP podľa vyššie uvedených pokynov. Porovnajte svoje zistenia s výsledkami externého auditu.
3. Zistite, kto je v súčasnosti zodpovedný za presadzovanie IP. Je možné zúžiť okruh osôb, od ktorých závisí spoľahlivosť tejto ochrany? Zároveň si pamätajte - bezpečnosť nemôže závisieť od jednej osoby! Určite si vymenujte audítorov, napríklad vedúci lekár môže dohliadať na prácu špecialistov na plnenie a presúvanie PD.
4. Buďte kritickí k požiadavkám odborníkov, ak trvajú na inštalácii bezpečnostného hardvéru. Všimnite si tiež, že používanie kryptografických nástrojov je dosť vážna práca. Je dôležité pochopiť: Zasahovalo by udržiavanie šifrovania a digitálnych podpisov do hlavnej činnosti vašej spoločnosti? Upozorňujeme tiež, že nie každý zamestnanec môže a mal by byť zapojený do šifrovania údajov.
5. Vyčistite bezpečnosť svojej kliniky. Nastavte si režim, ktorý zabezpečí požadovanú úroveň informačnej bezpečnosti, no nepreháňajte to. Ľudia by napríklad nemali byť zbavení možnosti používať svoje mobilné telefóny. Nevhodné je aj zákaz kontaktovania zamestnancov e-mail a internet na osobné použitie. Zároveň je celkom vhodné upraviť postup zavádzania flash diskov a vlastných notebookov na územie spoločnosti, prípadne použiť ten dostupný v Secure Pack Funkcia Rus zakázanie jednotiek USB, ktoré nie sú autorizované na používanie správcom
6. Požadovať od IT odborníkov, aby vypracovali jasný pracovný plán na vytvorenie a konfiguráciu bezpečnostného systému. Požiadajte o zdôvodnenie nákupu dodatočného bezpečnostného zariadenia. Trvajte na tom, aby nastavenie zabezpečenia nezasahovalo do základnej prevádzky systému.
7. Monitorujte implementáciu bezpečnostného plánu.
8. Vypočujte si názory lekárov a zamestnancov – zasahujú bezpečnostné opatrenia do ich práce a hlavnej činnosti?
9. Udržiavať a monitorovať stav bezpečnosti PD, ako aj budovať lojalitu bezpečnostného personálu.
10. Upokojte sa s inováciami v oblasti bezpečnosti – zdravý konzervativizmus vám ušetrí peniaze.

9. júna 2011 o 05:20 hod

Prax ochrany osobných údajov

• Informačná bezpečnosť

Miestny GIS NSD

SZI NSD je skratka pre prostriedok ochrany informácií pred neoprávneným prístupom. Používajú sa na zabránenie neoprávnenej činnosti používateľov, ktorí majú prístup k pracovným staniciam ISPD. Zahŕňajú také mechanizmy, ako je kontrola načítania z vymeniteľných médií (CD / DVD disky, flash disky), kontrola zariadení (aby nebolo možné pripojiť ľavý flash disk a vyčerpať informácie), implementácia povinnej kontroly prístupu (pre ISPD sa to nevyžaduje). Uvediem iba tie nástroje, s ktorými som osobne pracoval:
1) Tajná sieť. Môže byť dodaný s alebo bez riadiacej dosky záťaže. Funguje cez secpol.msc, takže nemusí fungovať na verziách Home (na Windows XP Home určite nefunguje, áno, Vistu a Windows 7 som ešte netestoval). Celkom ľahko ovládateľný, má najlepší mechanizmus ovládania zariadenia, aký ste kedy videli. Existuje sieťová verzia určená na integráciu do doménovej štruktúry.
2) Guardian NT. Najlepší mechanizmus pre povinnú kontrolu prístupu. V prevádzke je to náročnejšie (kvôli tomu, že niektoré ochranné mechanizmy sa nedajú vypnúť). Neexistuje sieťová verzia.
3) Zámok Dallas. Stratí všetky parametre diskutované vyššie, s výnimkou možnosti normálneho nasadenia možnosti siete v sieti bez domény.
Ako už názov napovedá, tieto nástroje sa používajú na lokálnych strojoch. Tu niet čo dodať.

Firewally

Cieľ je myslím jasný. Navyše, ak je jedna ISPD rozdelená na dve časti firewallom, potom ich môžeme právom nazývať dve rôzne ISPD. Prečo? Ak spadáte do prvej triedy práve počtom spracúvaných dotknutých osôb, tak rozdelením ISPD na dve časti znížite počet spracúvaných subjektov v každom ISPD a už nebudete dostávať K1, ale K2. V súčasnosti je na trhu niekoľko certifikovaných firewallov:
1) VipNet Personal Firewall. Len osobný firewall, žiadne luxusné veci. Spravované iba lokálne. Neexistuje mechanizmus centralizovaného riadenia. Na spustenie je potrebné heslo, ak ho nezadáte, nespustí sa.
2) VipNet Office Firewall. To isté, ale podporuje niekoľko sieťových kariet, čo vám umožňuje nainštalovať ju na bránu a použiť ju na segmentáciu ISPD.
3) SSPT-2. Hardvérový a softvérový komplex beží na FreeBSD, no k samotnému OS vás nikto nepustí. Funguje rýchlo, podporuje filtrovanie podľa mnohých parametrov. Má nepríjemnú vlastnosť – pravidlá sa aplikujú v zozname zhora nadol a pravidlá umiestnené hore majú vyššiu prioritu. V dokumentácii sa to neodráža, bolo to odhalené empiricky. Ovláda sa z lokálnej konzoly aj cez webové rozhranie.
4) APKSH „Kontinent“. Vo všeobecnosti to nie je firewall, ale krypto router, ale s funkciami ITU. Architektonicky podobný SSPT-2, ale neexistuje žiadne ovládanie z lokálnej konzoly - iba cez špeciálnu administrátorskú konzolu. Okrem toho musíte počas úvodného nastavenia špecifikovať rozhranie, ku ktorému bude pripojený počítač správcu.
Okrem toho vydal „Bezpečnostný kód“ ďalšie dva produkty – ITU + HIPS „Security Studio Endpoint Protection“ a distribuovaný firewall systém Trust Access, ktorý kombinuje firewallovanie a segmentáciu pomocou autentifikácie Kerberos. Keďže som s týmito produktmi nemusel pracovať, uvediem len odkazy na ich popis:
TrustAccess
SSEP
Okrem toho bola certifikovaná výroba ďalšieho produktu Stonegate Firewall / VPN. Produkt fínskej spoločnosti Stonesoft. Dodáva sa aj s naskrutkovaným šifrovacím modulom CryptoPRO, ktorý umožňuje jeho použitie ako certifikované riešenie VPN.

SKZI

Sú tiež prostriedkami kryptografickej ochrany. Okrem už spomínaného Stonegate Firewall / VPN existujú ďalšie dve riešenia VPN:
1) VipNet Custom. Ide o komplex VipNet Administrator - riadiaci program, VipNet Coordinator - VPN server s funkciami ITU a VipNet Client - VPN klient a ITU. Ovládací program slúži len na generovanie kľúčov a certifikátov, nastavenia firewallu je možné spravovať len lokálne. V správe môže pomôcť iba vstavaný RDP. Zahŕňa teda interný messenger a internú poštu. Jediné výhody možno pripísať tomu, že ide o čisto softvérové ​​riešenie, ktoré je možné jednoducho integrovať do existujúcej infraštruktúry.
2) APKSH „Kontinent“. V zásade som už o ňom hovoril. Len dodam, ze v najnovsej verzii klienta ("Continent-AP") su funkcie firewallu a dokonca je tam aj klient pre Linux. Správa samotných krypto brán sa vykonáva iba z administrátorskej konzoly, ale na diaľku. K zvláštnostiam patrí aj to, že prvotné nastavenie (teda prenos konfigurácie siete a kľúčov na kryptobránu) sa vykonáva lokálne, a to tak, že sa do nej vloží flash disk so všetkými potrebnými informáciami. Ak ste sa pri vytváraní konfigurácie pomýlili a už ste krypto bránu odoslali do vzdialeného bodu, potom sa na ňu nemôžete na diaľku pripojiť a niečo opraviť, budete musieť vygenerovať konfiguráciu znova a nejako ju preniesť do vzdialeného bodu.

V podstate tu je krátky popis všetkých certifikovaných ochrán, ktoré poznám. Dúfame, že tieto informácie pomôžu komunite.

27. júla 2006 bol prijatý Federálny zákon č. 152-FZ „O osobných údajoch“ na zabezpečenie ochrany ľudských a občianskych práv a slobôd pri spracúvaní jeho osobných údajov vrátane ochrany práv na súkromie, osobné a rodinné tajomstvo. Jedným z dôvodov prijatia tohto zákona boli početné skutočnosti vykrádania databáz osobných údajov vo vládnych a komerčných štruktúrach, ich rozsiahly predaj.

Čo znamená pojem „osobné údaje“?

Definícia osobných údajov (OÚ) bola pred prijatím zákona splnená napríklad v „Zozname dôverných informácií“, schválenom o. dekrétom prezidenta Ruskej federácie č.188 zo 6. marca 1997:

Dôverné informácie zahŕňajú: informácie o skutočnostiach, udalostiach a okolnostiach súkromného života občana, umožňujúce identifikovať jeho totožnosť (osobné údaje), s výnimkou informácií, ktoré sa majú šíriť v médiách v prípadoch ustanovených federálnymi zákonmi.

Zákon ho však doplnil. Teraz podľa FZ-152, osobné údaje - akékoľvek informácie týkajúce sa konkrétnej alebo na základe takýchto informácií určené fyzickej osoby (subjekt osobných údajov), vrátane jej priezviska, mena, rodného priezviska, roku, mesiaca, dátumu a miesta narodenia, adresy, rodiny. , sociálne, majetkové postavenie, vzdelanie, povolanie, príjem, iné informácie.

Osobné údaje sú teda predovšetkým údaje z pasu, informácie o rodinný stav, údaje o vzdelaní, DIČ, potvrdenie o štátnom dôchodkovom poistení, zdravotné poistenie, údaje o pracovnej činnosti, sociálnom a majetkovom postavení, informácie o príjme. Takmer každá organizácia má takéto údaje.

Pri uchádzaní sa o zamestnanie sú to údaje personálneho útvaru zamestnávateľa, ktoré zamestnanec uvádza vo svojej osobnej karte, životopise a iných dokladoch vyplnených pri uzatváraní pracovnej zmluvy.

Keď vstúpi dieťa Materská škola, škola, ústav, iné vzdelávacie inštitúcie, vypĺňa sa aj množstvo dotazníkov a formulárov, v ktorých sú uvedené údaje o dieťati (napríklad údaje o rodných listoch), ako aj o jeho rodičoch (až po miesto výkonu práce, zastávanú pozíciu ) sú uvedené.

Pri liečbe v zdravotníckych zariadeniach je potrebné uviesť nielen údaje z pasu, ale aj informácie o dávkach, zdravotnom poistení, informácie o predchádzajúcej liečbe a výsledky testov. V mnohých zdravotníckych zariadeniach sú ambulantné / hospitalizačné karty duplikované v elektronickom formáte.

A všetky tieto údaje podľa platnej legislatívy podliehajú ochrane.

Kde začať s ochranou a je vôbec potrebná?

Dôvernosť osobných údajov je povinnou požiadavkou prevádzkovateľa alebo inej osoby, ktorá získala prístup k osobným údajom, aby zabránili ich šíreniu bez súhlasu subjektu osobných údajov alebo iného právneho dôvodu ( FZ-152).

operátor - vládna agentúra, orgán obce, právnická alebo fyzická osoba organizujúca a (alebo) vykonávajúca spracúvanie osobných údajov, ako aj určovanie účelov a obsahu spracúvania osobných údajov ( FZ-152).

Informačný systém osobných údajov (ISPDN) je informačný systém, ktorý je súborom osobných údajov obsiahnutých v databáze, ako aj informačných technológií a technických prostriedkov, ktoré umožňujú spracúvanie týchto osobných údajov pomocou nástrojov automatizácie alebo bez použitia takýchto prostriedkov ( FZ-152).

Spracúvaním osobných údajov sú úkony (operácie) s osobnými údajmi vrátane zhromažďovania, systematizácie, zhromažďovania, uchovávania, spresňovania (aktualizácie, zmeny), používania, distribúcie (vrátane prenosu), depersonalizácie, blokovania, likvidácie osobných údajov ( FZ-152).

Prevádzkovateľ musí pri spracúvaní OÚ prijať všetky potrebné organizačné a technické opatrenia na ochranu osobných údajov pred neoprávneným alebo náhodným prístupom k nim, zničením, úpravou, blokovaním, kopírovaním, šírením osobných údajov, ako aj pred iným protiprávnym konaním.

Čo je potrebné urobiť na ochranu osobných údajov?

V prvom rade je potrebné určiť, ktoré informačné systémy PD sú a aký typ PD sa v nich spracúva.

Klasifikácia informačného systému osobných údajov

Aby bolo možné pochopiť, aký významný je problém ochrany PD, ako aj vybrať potrebné metódy a metódy ochrany PD, musí prevádzkovateľ klasifikovať PDIS. Poradie klasifikácie definované na objednávku FSTEC Ruska, FSB Ruska a Ministerstva informačných technológií a komunikácií Ruska č. 55/86/20 zo dňa 13. februára 2008.

Prevádzkovateľ teda vytvorí komisiu (na príkaz vedúceho organizácie), ktorá po analýze počiatočných údajov rozhodne o pridelení ISPD príslušnej triedy. Počas klasifikácie sa určujú:

• kategória spracúvaných osobných údajov;
• objem spracúvaných osobných údajov;
• typ informačného systému;
• štruktúra informačného systému a umiestnenie jeho technických prostriedkov;
• režimy spracovania osobných údajov;
• spôsoby diferenciácie prístupových práv používateľov;
• dostupnosť pripojení k verejným sieťam a (alebo) sieťam medzinárodnej výmeny informácií.

Podľa číslo objednávky 55/86/20, sú všetky informačné systémy (IS) rozdelené na štandardné a špeciálne.

Typické informačné systémy sú informačné systémy, v ktorých sa vyžaduje iba dôvernosť osobných údajov.

Osobitné informačné systémy sú informačné systémy, v ktorých sa bez ohľadu na potrebu zabezpečiť dôvernosť osobných údajov vyžaduje zabezpečiť aspoň jednu z bezpečnostných charakteristík osobných údajov, inú ako dôvernosť (ochrana pred zničením, zmenou, blokovaním, napr. ako aj iné neoprávnené úkony).

V praxi sa ukazuje, že prakticky neexistujú žiadne typické IS, keďže vo väčšine prípadov je okrem dôvernosti potrebné zabezpečiť aj integritu a dostupnosť informácií. Okrem toho bezpodmienečne špeciálne systémy treba pripísať:

• informačné systémy, v ktorých sa spracúvajú osobné údaje týkajúce sa zdravotného stavu subjektov osobných údajov;
• informačné systémy, ktoré umožňujú na základe výlučne automatizovaného spracúvania osobných údajov prijímať rozhodnutia, ktoré vyvolávajú právne následky vo vzťahu k dotknutej osobe alebo sa inak dotýkajú jej práv a oprávnených záujmov.

Takže na základe výsledkov analýzy počiatočných údajov komisia priradí systému osobných údajov príslušnú triedu:

trieda 1 (K1) - informačné systémy, pri ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných môže viesť k významným negatívnym dôsledkom pre subjekty osobných údajov;

trieda 2 (K2) - informačné systémy, pri ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných môže viesť k negatívnym dôsledkom pre subjekty osobných údajov;

trieda 3 (K3) - informačné systémy, pri ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných môže viesť k menším negatívnym dôsledkom pre subjekty osobných údajov;

trieda 4 (K4) - informačné systémy, pri ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných nevedie k negatívnym dôsledkom pre subjekty osobných údajov.

Výsledky klasifikácie sú formalizované zákonom o klasifikácii ISPD, ktorý uvádza typ ISPD (typický, špeciálny), triedu priradenú k ISPD a podmienky, na základe ktorých sa rozhodlo.

Ako už bolo spomenuté, klasifikácia je nevyhnutná pre ďalší výber metód a prostriedkov ochrany osobných údajov spracúvaných v ISPD, keďže v dokumentoch FSTEC a FSB si každá trieda stanovuje svoje vlastné požiadavky na ochranu ISPD, o ktorých budeme hovoriť. trochu neskôr.

Súhlas s PD predmetom spracovania

Ďalej je potrebné pristúpiť k spracovaniu týchto údajov, avšak skôr, než bude ich spracovanie zákonné, je potrebné získať súhlas subjektu osobných údajov so spracovaním (zákon tým bráni nezákonnému zhromažďovaniu a používaniu osobných údajov):

Článok 6 FZ-152:

Spracúvanie osobných údajov môže prevádzkovateľ vykonávať so súhlasom subjektov OÚ, s výnimkou prípadov:

1) spracúvanie osobných údajov sa vykonáva na základe federálneho zákona, ktorý ustanovuje účel, podmienky získavania osobných údajov a okruh subjektov, ktorých osobné údaje sú predmetom spracúvania, ako aj oprávnenia prevádzkovateľa;

2) spracúvanie osobných údajov sa vykonáva za účelom plnenia zmluvy, ktorej jedna zo zmluvných strán je predmetom osobných údajov;

3) spracúvanie osobných údajov sa vykonáva na štatistické alebo iné vedecké účely s výhradou povinnej depersonalizácie osobných údajov;

4) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo iných životne dôležitých záujmov subjektu osobných údajov, ak nie je možné získať súhlas subjektu osobných údajov;

5) spracúvanie osobných údajov je nevyhnutné na doručovanie poštových zásielok poštovými organizáciami, pre telekomunikačných operátorov na vykonávanie zúčtovania s užívateľmi komunikačných služieb za poskytované komunikačné služby, ako aj na posudzovanie reklamácií užívateľov komunikačných služieb;

6) spracúvanie osobných údajov sa vykonáva za účelom výkonu odbornej činnosti novinára alebo za účelom vedeckej, literárnej alebo inej tvorivej činnosti, ak tým nie sú porušené práva a slobody subjektu osobných údajov;

7) spracúvanie osobných údajov podliehajúcich zverejneniu v súlade s federálnymi zákonmi vrátane osobných údajov osôb zastávajúcich verejné funkcie, štátnozamestnanecké miesta, osobných údajov kandidátov na volené štátne alebo obecné úrady.

Ak teda náš prípad spracovania PD upravuje časť 2 článku 6 FZ-152, získanie súhlasu je nepovinné.

Musíte sa tiež riadiť Zákonník práce, 14. hlava... Zamestnávateľ má napríklad právo prijímať a spracúvať údaje o súkromnom živote zamestnanca len s jeho písomným súhlasom ( § 86 ods. 4 Zákonníka práce).

Podľa článok 9 FZ-152 je potrebné písomne ​​získať súhlas subjektu osobných údajov so spracovaním jeho osobných údajov. Písomný súhlas dotknutej osoby musí obsahovať:

Priezvisko, meno, priezvisko, adresa subjektu osobných údajov, číslo hlavného dokladu preukazujúceho jeho totožnosť, údaj o dátume vydania uvedeného dokladu a orgán, ktorý ho vydal;

Meno (priezvisko, meno, priezvisko) a adresa prevádzkovateľa, ktorý dostane súhlas subjektu osobných údajov;

Účel spracúvania osobných údajov;

Zoznam osobných údajov, na spracovanie ktorých je daný súhlas subjektu osobných údajov;

zoznam úkonov s osobnými údajmi, na vykonanie ktorých sa udeľuje súhlas, všeobecný popis spôsoby, akými prevádzkovateľ spracúva osobné údaje;

Doba platnosti súhlasu, ako aj postup pri jeho odvolaní.

Nariadenia upravujúce postup pri spracúvaní a ochrane osobných údajov

Prevádzkovateľ teda obdržal (v prípade potreby) súhlas so spracovaním osobných údajov – osobné údaje je možné spracovávať. Ale podľa Zákonníka práce a FZ-152 je potrebné vypracovať (ak existuje, upraviť v súlade s federálnym zákonom) nariadenie upravujúce postup uchovávania, spracovania a ochrany osobných údajov. Nazvime to podmienečne Nariadenie o bezpečnosti osobných údajov. Nariadenie o zaistení bezpečnosti osobných údajov je interným (miestnym) dokumentom organizácie. Prísna forma tohto dokumentu nie, ale musí spĺňať požiadavky TC a FZ-152, a preto musí uvádzať:

Nariadenie o zaistení bezpečnosti osobných údajov schvaľuje vedúci organizácie alebo ním poverená osoba a je uvedené do účinnosti príkazom vedúceho. Zamestnávateľ je povinný oboznámiť zamestnanca s Poriadkom pod podpisom.

Zoznam osôb prijatých na spracovanie PD

Okrem toho je potrebné vypracovať zoznam osôb prijatých na spracovanie PD, t.j. zoznam tých (podľa pozície), ktorí potrebujú prístup k osobným údajom na plnenie svojich služobných povinností. V prvom rade ide o zamestnancov personálneho oddelenia, keďže zhromažďujú a tvoria údaje o zamestnancovi, ako aj o zamestnancoch účtovného oddelenia. Okrem toho môžu získať prístup k týmto informáciám vedúci štrukturálnych oddelení (napríklad vedúci oddelení) - a to sa musí prejaviť aj v zozname. Všetci však majú právo požadovať nie akékoľvek údaje, ale iba tie, ktoré sú potrebné na vykonávanie konkrétnych pracovných funkcií (napríklad na výpočet daňových výhod nebude účtovné oddelenie dostávať všetky informácie o zamestnancovi, ale iba údaje o počte jeho vyživovaných osôb). Preto je vhodné predpísať si zoznam informačné zdroje ku ktorým majú používatelia prístup.

Zoznam osôb prijatých na spracúvanie OÚ je možné vypracovať vo forme prílohy k nariadeniu o zaistení bezpečnosti osobných údajov alebo ako samostatný dokument schválený prednostom.

oznámenie Roskomnadzoru

Ďalej v súlade s článok 22 FZ-152 prevádzkovateľ je povinný pred začatím spracúvania osobných údajov oznámiť oprávnenému orgánu ochrany práv subjektov OÚ (dnes je to Federálna služba pre dohľad v oblasti spojov, informačných technológií a masovej komunikácie(Roskomnadzor)) o ich úmysle spracúvať osobné údaje, s výnimkou prípadov, ktoré sú ustanovené časť 2 článku 22 FZ-152:

Prevádzkovateľ má právo spracúvať osobné údaje bez toho, aby to oznámil oprávnenému orgánu na ochranu práv subjektov osobných údajov:

1) týkajúce sa subjektov osobných údajov, ktoré sú s prevádzkovateľom spojené pracovnoprávnymi vzťahmi;

2) obdrží prevádzkovateľ v súvislosti s uzavretím zmluvy, ktorej zmluvnou stranou je subjekt osobných údajov, ak nedochádza k šíreniu osobných údajov a nie sú bez súhlasu subjektu osobných údajov poskytnuté tretím osobám a je prevádzkovateľ využíva výhradne na realizáciu uvedenej zmluvy a uzatváranie zmlúv so subjektom osobných údajov;

3) týkajúce sa členov (účastníkov) verejného združenia alebo náboženskej organizácie a spracované príslušným verejným združením alebo náboženskou organizáciou konajúcou v súlade s právnymi predpismi Ruskej federácie s cieľom dosiahnuť legitímne ciele stanovené v ich zakladajúcich dokumentoch , za predpokladu, že osobné údaje nebudú šírené bez písomného súhlasu subjektov osobných údajov;

4) ktoré sú verejne dostupnými osobnými údajmi;

5) zahŕňajúce iba priezviská, mená a rodné mená subjektov osobných údajov;

6) nevyhnutné na účely jednorazového prechodu dotknutej osoby na územie, na ktorom sa prevádzkovateľ nachádza, alebo na iné obdobné účely;

7) zahrnuté v informačných systémoch osobných údajov, ktoré majú v súlade s federálnymi zákonmi postavenie federálnych automatizovaných informačných systémov, ako aj v štátnych informačných systémoch osobných údajov vytvorených za účelom ochrany bezpečnosti štátu a verejného poriadku;

8) spracúvané bez použitia nástrojov automatizácie v súlade s federálnymi zákonmi alebo inými regulačnými právnymi aktmi Ruskej federácie, ktoré ustanovujú požiadavky na zaistenie bezpečnosti osobných údajov pri ich spracúvaní a na dodržiavanie práv subjektov osobných údajov

Požiadavky na oznámenie sú uvedené v časť 3 článku 22 FZ-152... Formulár oznámenia o spracovaní (zámere spracovania) osobných údajov je možné vyplniť elektronicky na webovej stránke Roskomnadzor: http://rsoc.ru/personal-data/p181/

Teraz môžete začať spracúvať osobné údaje a zároveň riešiť najťažšiu a najproblematickejší problém - zaistenie bezpečnosti osobných údajov pri ich spracúvaní.

Zaistenie bezpečnosti osobných údajov pri ich spracúvaní

Opatrenia na ochranu údajov sú časovo náročné a môžu viesť k významným finančné náklady, z dôvodu potreby:

Získajte (ak je to potrebné) licenciu na prevádzku technická ochrana dôverné informácie FSTEC Ruska;

Zaangažovať držiteľa licencie FSTEC Ruska na implementáciu opatrení na vytvorenie systému na ochranu ISPD a / alebo jeho certifikáciu pre požiadavky informačnej bezpečnosti;

posielať zamestnancov zodpovedných za zaistenie informačnej bezpečnosti na pokročilé školenia o informačnej bezpečnosti a/alebo si najať špecialistov na informačnú bezpečnosť;

Nainštalujte prostriedky informačnej bezpečnosti certifikované podľa požiadaviek FSTEC (SRZI), kryptografické prostriedky informačnej bezpečnosti (CIPF) certifikované FSB v závislosti od triedy ISPD.

Niečo, čo môžete urobiť sami, ale niekde je lepšie dôverovať odborníkom. Ale je potrebné chrániť osobné údaje, tak či onak.

Článok 19, FZ-152:

Pri spracúvaní osobných údajov je prevádzkovateľ povinný prijať nevyhnutné organizačné a technické opatrenia na ochranu osobných údajov pred neoprávneným alebo náhodným prístupom k nim, zničením, úpravou, blokovaním, kopírovaním, šírením osobných údajov, ako aj pred iným protiprávnym konaním.

• "Nariadenia na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov", schválené nariadením vlády Ruskej federácie č.781 zo dňa 17.11.2007.
• "Nariadenia o špecifikách spracúvania osobných údajov vykonávané bez použitia nástrojov automatizácie", schválené nariadením vlády Ruskej federácie č.687 z 15.9.2008.
• "Požiadavky na hmotné nosiče biometrických osobných údajov a technológie na uchovávanie takýchto údajov mimo informačných systémov osobných údajov", schválené nariadením vlády Ruskej federácie č.512 zo dňa 6.7.2008.
• Špeciálne požiadavky a odporúčania na technickú ochranu dôverných informácií (STR-K), schválené nariadením Štátnej technickej komisie Ruska č. 282 z 30. augusta 2002 (ДСП)
• Základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008 (Výňatok, pri zvažovaní hrozieb úniku informácií kanálmi falošného elektromagnetického žiarenia a rušení (PEMIN) je potrebné použiť plnú verziu tohto dokumentu - EAF)
• Metodika zisťovania aktuálnych ohrození bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008 (značka „na úradné použitie“ bola odstránená Rozhodnutím FSTEC zo dňa 16.11.2009)
• Odporúčania na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008 (Označenie „na úradné použitie“ bolo odstránené Rozhodnutím FSTEC zo dňa 11.11.2009)
• Hlavné opatrenia na organizáciu a technickú podporu bezpečnosti osobných údajov spracúvaných v informačných systémoch osobných údajov zo dňa 15.02.2008 (Označenie „na úradné použitie“ bolo zrušené Rozhodnutím FSTEC zo dňa 11.11.2009)
• Metodické odporúčania na zaistenie bezpečnosti osobných údajov pomocou kryptografických prostriedkov pri ich spracúvaní v informačných systémoch osobných údajov s využitím nástrojov automatizácie. FSB, 21. február 2008
• Typické požiadavky na organizáciu a prevádzku šifrovacích (kryptografických) prostriedkov určených na ochranu informácií, ktoré neobsahujú informácie predstavujúce štátne tajomstvo, ak sa používajú na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov. FSB, 21. február 2008

Nebudeme sa podrobne zaoberať všetkými požiadavkami, ktoré musia byť splnené na zabezpečenie bezpečnosti PD pri ich spracovaní v ISPD - je ich veľa a silne závisia od konkrétneho ISPD. Zastavme sa pri hlavných bodoch, ktoré operátorom často spôsobujú ťažkosti.

Licencia – prijímať či neprijímať?

Legislatíva, ako aj dokumenty FSTEC nám hovoria nasledovné:

Článok 16, časť 6 FZ-149„O informáciách, informačných technológiách a ochrane informácií“ zo dňa 27.07.2006:

Obmedzenia používania môžu byť uložené federálnymi zákonmi určité prostriedky ochrana informácií a vykonávanie určitých druhov činností v oblasti ochrany informácií.

Článok 17, časť 1, odsek 11 federálneho zákona-128„O udeľovaní licencií na určité druhy činností“ z 8. augusta 2001:

V súlade s týmto federálnym zákonom podliehajú licencovaniu tieto druhy činností: činnosť v oblasti technickej ochrany dôverných informácií.

Uznesenie vlády Ruskej federácie č. 504„O licenčnej činnosti na technickú ochranu dôverných informácií“ zo dňa 15.08.2006

Technickou ochranou dôverných informácií sa rozumie súbor opatrení a (alebo) služieb na ich ochranu pred neoprávneným prístupom, a to aj prostredníctvom technických kanálov, ako aj pred osobitnými vplyvmi na takéto informácie s cieľom ich zničenia, skreslenia alebo zablokovania prístupu k nim. .

Hlavné udalosti FSTEC

Ustanovenie 3.14

V súlade s ustanoveniami federálneho zákona č. 128 "O udeľovaní povolení na niektoré druhy činností" a požiadavkami nariadenia vlády č. 504 "O povoľovaní činností na technickú ochranu dôverných informácií" prevádzkovatelia ISPD pri vykonávaní opatrení na zabezpečenie zabezpečenia PD (dôverné informácie) pri ich spracúvaní v ISPDN 1 , 2 a 3 (distribuované systémy) tried musí získať licenciu na vykonávanie činností na technickú ochranu dôverných informácií predpísaným spôsobom.

Vedúci oddelenia FSTEC Ruska Igor Grigorievich NAZAROV tiež odpovedal na otázku o potrebe licencie na okrúhlom stole Connect! World of Communications "(http://www.connect.ru/article.asp?id=9406):

Otázka: Musia prevádzkovatelia spracúvajúci osobné údaje v ISPDN získať licenciu na technickú ochranu dôverných informácií?

Igor Nazarov: V súlade s dokumentmi FSTEC je potrebná licencia pre prevádzkovateľov PD, ktorí samostatne vykonávajú takúto činnosť na informačných systémoch 1, 2 tried a geograficky distribuované systémy 3. ročníky sú spravidla veľké štátne informačné systémy. Zároveň pre polikliniky, materské školy, lekárne atď., ktoré majú ISPD 3. a 4. stupňa, sa takéto licencie nevyžadujú.

V súlade s nariadením vlády Ruskej federácie zo dňa 17.11.2007 č.781, ak prevádzkovateľ ISPD uzatvorí dohodu o vykonaní vhodných opatrení z hľadiska ochrany informácií (PD) s oprávnenou osobou - držiteľom licencie z FSTEC Ruska, nemusí mať licenciu.

Takže pre malé organizácie je to nákladovo efektívnejšie namiesto získavania FSTEC licencie o TZKI na vykonávanie opatrení na zaistenie bezpečnosti PD (vytvorenie systému ochrany ISPD, certifikácia) zapojí držiteľ povolenia FSTEC, ktorý vykoná všetky potrebné práce.

Pre veľké organizácie (ako sú telekomunikační operátori, veľké banky atď.) je výhodnejšie získať licenciu a vykonávať všetky potrebné práce sami.

Určuje sa postup udeľovania povolenia na vykonávanie činností na technickú ochranu dôverných informácií „Predpisy o povoľovaní činnosti na technickú ochranu dôverných informácií“ (Schválené nariadením vlády Ruskej federácie z 15. augusta 2006 č. 504). Požiadavky na získanie licencie:

a) prítomnosť v zamestnaní žiadateľa o licenciu (držiteľa licencie) špecialistov, ktorí majú vyššie odborné vzdelanie v odbore technická ochrana informácií alebo vyššie alebo stredné odborné (technické) vzdelanie a absolvovali rekvalifikáciu alebo zdokonaľovacie školenie v technickej ochrane informácií, ;

b) žiadateľ o licenciu (držiteľ licencie) disponuje priestormi na vykonávanie licencovaných činností, ktoré spĺňajú technické normy a požiadavky na technickú ochranu informácií ustanovené regulačnými právnymi aktmi Ruskej federácie a ktoré mu patria na základe vlastníctva alebo iný právny základ;

c) dostupnosť výrobných, testovacích a kontrolných a meracích zariadení na akomkoľvek právnom základe, ktoré prešli metrologickým overením (kalibráciou), označením a certifikáciou v súlade s právnymi predpismi Ruskej federácie;

d) použitie automatizované systémy spracúvanie dôverných informácií, ako aj prostriedkov na ochranu takých informácií, ktoré prešli postupom posudzovania zhody (certifikované a (alebo) certifikované pre požiadavky na bezpečnosť informácií) v súlade s právnymi predpismi Ruskej federácie;

e) používanie programov pre elektronické počítače a databázy určené na vykonávanie licencovaných činností na základe zmluvy s ich nositeľom práv;

f) dostupnosť regulačných právnych aktov, regulačných a metodických a metodických dokumentov o technickej ochrane informácií v súlade so zoznamom vytvoreným Federálnou službou pre technickú a exportnú kontrolu.

Etapy tvorby PDSD

Podľa Hlavné udalosti o organizácii a technickom zabezpečení ochrany osobných údajov spracúvaných v informačných systémoch osobných údajov vydaných FSTEC tvorba systému ochrany osobných údajov (SZPDn) pozostáva z týchto etáp:

1 Fáza predbežného návrhu

1.1 obhliadka objektu informatizácie:

• stanovenie potreby spracovania PD v ISPD;
• určenie zoznamu osobných údajov, ktoré sú predmetom ochrany;
• určenie podmienok pre umiestnenie ISPD vzhľadom na hranice kontrolovaného pásma (KZ);
• určenie konfigurácie a topológie ISPD ako celku a jeho jednotlivých komponentov; fyzické, funkčné a technologické prepojenia tak v rámci ISPD, ako aj s inými systémami rôznych úrovní a účelov;
• určenie technických prostriedkov a systémov používaných v chránenom ISPD, podmienky ich umiestnenia;
• definícia celosystémového, špeciálneho a aplikovaného softvérové ​​nástroje používané v chránenom ISPDN;
• určenie režimu spracovania informácií v ISPD ako celku a v jednotlivých komponentoch;
• klasifikácia ISPD;
• určenie miery účasti personálu na spracovaní (diskusia, prenos, uchovávanie) informácií, povaha ich vzájomnej interakcie;
• definovanie a zostavenie zoznamu slabých miest a ohrození informačnej bezpečnosti, posúdenie relevantnosti hrozieb pre informačnú bezpečnosť;
• vývoj modelu súkromných hrozieb.

1.2 vývoj referenčné podmienky na vytvorenie PDSD, ktorý by mal obsahovať:

• zdôvodnenie potreby vypracovať PDPD;
• originálny Údaje ISPDN po technickej, softvérovej, informačnej a organizačnej stránke;
• trieda ISPDN;
• odkaz na normatívne dokumenty, berúc do úvahy, ktorý PDIS bude vyvinutý a prijatý do prevádzky PDIS;
• konkretizácia činností a požiadaviek na SZPDn;
• zoznam certifikovaných nástrojov informačnej bezpečnosti určených na použitie;
• zdôvodnenie vývoja vlastných prostriedkov informačnej bezpečnosti, ak nie je možné alebo účelné použiť certifikované prostriedky informačnej bezpečnosti dostupné na trhu;
• skladba, obsah a načasovanie prác na etapách vývoja a realizácie SZPDn.

2. Etapa návrhu a realizácie SZPD

2.1 vypracovanie projektu na vytvorenie SZPDn;

2.2 vypracovanie organizačných a technických opatrení na ochranu informácií v súlade s požiadavkami;

2.3 nákup certifikovaných nástrojov informačnej bezpečnosti;

2.4 vývoj a implementácia systému povoľovania prístupu používateľov a personálu k informáciám spracovávaným v ISPD;

2.5 inštalácia a konfigurácia SRZI;

2.6 určenie odborov a osôb zodpovedných za prevádzku prostriedkov informačnej bezpečnosti, školenie určených osôb v špecifikách práce pri ochrane osobných údajov;

2.7 vypracovanie prevádzkovej dokumentácie ISPDN a nástrojov informačnej bezpečnosti, ako aj organizačnej a administratívnej dokumentácie na ochranu informácií (predpisy, príkazy, pokyny a iné dokumenty);

2.8 vykonávanie ďalších opatrení zameraných na ochranu informácií.

3. Etapa uvádzania PDSD do prevádzky

3.1 skúšobná prevádzka nástrojov informačnej bezpečnosti v kombinácii s inými technickými a softvérovými nástrojmi za účelom kontroly ich výkonu ako súčasti ISPD;

3.2 akceptačné testy nástrojov informačnej bezpečnosti na základe výsledkov skúšobnej prevádzky s vydaním akceptačného certifikátu;

3.3 Hodnotenie súladu ISPD s požiadavkami informačnej bezpečnosti - certifikácia (deklarácia) pre požiadavky informačnej bezpečnosti.

4. Údržba a údržbu systému informačnej bezpečnosti

Organizačná a administratívna dokumentácia na ochranu osobných údajov

Okrem tohoto technické riešenia systém, ktorý sa vytvára ochrany osobných údajov musí prevádzkovateľ zabezpečiť vypracovanie organizačných a administratívnych dokumentov, ktoré budú upravovať všetky vznikajúce otázky zaistenia bezpečnosti osobných údajov pri ich spracúvaní v ISPD a prevádzke PDS. Existuje veľa takýchto dokumentov, hlavné sú:

1. Predpisy o zaistení bezpečnosti osobných údajov – v úvode článku sme sa už dotkli účelu a zloženia tohto dokumentu. Pre každý prípad zopakujeme - malo by to znamenať:

Účel a ciele v oblasti ochrany osobných údajov;

Pojem a zloženie osobných údajov;

V akých štrukturálnych členeniach a na akom médiu (papier, elektronika) sa tieto údaje hromadia a ukladajú;

Ako prebieha zhromažďovanie a uchovávanie osobných údajov;

Ako sa spracúvajú a používajú;

Kto (podľa pozície) v rámci firmy k nim má prístup;

Zásady ochrany PD vrátane pred neoprávneným prístupom;

Práva zamestnancov s cieľom zabezpečiť ochranu ich osobných údajov;

Zodpovednosť za sprístupnenie dôverných informácií súvisiacich s osobnými údajmi zamestnancov.

2. Organizovať systém prijímania a evidencie osôb prijatých na prácu s PZP v ISPD, - Zoznam osôb prijatých na spracovanie PZ (zoznam pozícií tých, ktorí potrebujú prístup k PZ na výkon služobných povinností) a Prístupovú maticu ( by mala odrážať oprávnenie používateľov na implementáciu konkrétnych akcií vo vzťahu ku konkrétnym informačným zdrojom ISPD – čítanie, písanie, opravovanie, mazanie). Oba dokumenty schvaľuje prednosta.

3. Model súkromnej hrozby (ak existuje niekoľko ISPD, potom sa pre každú z nich vypracuje model hrozby) – je vyvinutý na základe výsledkov predbežného prieskumu. FSTEC Ruska ponúka Základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, podľa ktorých je pri vytváraní súkromného modelu potrebné zvážiť:

Hrozby úniku informácií cez technické kanály;

Hrozby neoprávneného prístupu spojené s konaním porušovateľov, ktorí majú prístup k ISPD, realizujúcich hrozby priamo v ISPD. Zároveň je potrebné považovať legálnych používateľov ISPD za potenciálnych porušovateľov;

Hrozby neoprávneného prístupu spojené s konaním porušovateľov, ktorí nemajú prístup k ISPD, realizujú hrozby z vonkajších verejných komunikačných sietí a (alebo) medzinárodných sietí na výmenu informácií.

Vyvinutý model hrozby schvaľuje vedúci.

4. Na základe schváleného modelu vyhrážky ISPD je potrebné vypracovať požiadavky na zabezpečenie bezpečnosti PD pri ich spracovaní v ISPD. Požiadavky, ako je model hrozby, sú nezávislým dokumentom, ktorý musí schváliť vedúci organizácie.

Na vypracovanie modelu hrozieb a požiadaviek je vhodné, aby prevádzkovateľ zapojil špecialistov z držiteľov licencií FSTEC.

5. Pokyny z hľadiska zaistenia bezpečnosti PD pri ich spracovaní v ISPD.

Okrem toho pred prijatím všetkých opatrení na ochranu PD musí prevádzkovateľ vymenovať úradníka alebo (ak je PDIS dostatočne veľký) štrukturálne členenie zodpovedný za zabezpečenie bezpečnosti PD. Rozhodnutie o vymenovaní je formalizované príkazom vedúceho. Úlohy, funkcie a právomoci úradníka (útvaru) zodpovedného za zabezpečenie bezpečnosti PD určujú vnútroorganizačné a administratívne dokumenty (náplň práce, predpisy).

Čo musí byť certifikované a čo nie?

Často existuje mylná predstava, že všetok používaný softvér (softvér) musí byť certifikovaný a certifikácia je drahá a časovo náročná.

V žiadnom z dokumentov o regulácii problematiky ochrany osobných údajov sa však nehovorí, že všetok softvér musí byť certifikovaný. Prostriedky informačnej bezpečnosti musia byť certifikované podľa požiadaviek FSTEC Ruska, v žiadnom prípade však systém, aplikácia alebo špeciálny softvér, ktorý sa nepodieľa na ochrane ISPD.

Igor Nazarov:... certifikácia na kontrolu neprítomnosti NDV sa týka bezpečnostnej funkcionality, konkrétne prostriedkov ochrany, a nie všetkého softvéru, ktorý sa používa v informačnom systéme (http://www.connect.ru/article.asp ?id=9406).

Dnes nám o tom hovoria dokumenty FSTEC, ktoré si môžete pozrieť na webovej stránke Federálnej služby pre technickú a exportnú kontrolu:

V ISPDN by sa mali používať iba tie, ktoré sú certifikované v súlade s požiadavkami na bezpečnosť informácií. technické prostriedky a ochranné systémy.

Hlavné udalosti ...

Ustanovenie 4.2:... v ISPD by sa mala vykonať kontrola na prítomnosť nedeklarovaných schopností v softvéri a firmvéri a analýza bezpečnosti systémového a aplikačného softvéru.

Ustanovenie 4.3: Pre softvér používaný na ochranu informácií v ISPD (nástroje informačnej bezpečnosti vrátane nástrojov zabudovaných do všeobecného systému a aplikačného softvéru) by mala byť zabezpečená primeraná úroveň kontroly neprítomnosti NDV v ňom.

Nie je teda potrebné certifikovať systém a aplikačný softvér, ak sa nezúčastňuje procesu ochrany informácií – to je možné vykonať na žiadosť prevádzkovateľa.

Prax tvorby systémov ochrany osobných údajov ukazuje, že je potrebné využívať licencovaný softvér (systémový, aplikačný a špeciálny softvér) a certifikovanú informačnú bezpečnosť a antivírusová ochrana(môže to byť SRI od NSD, antivírusové produkty firewally, nástroje na detekciu narušenia, nástroje bezpečnostnej analýzy zodpovedajúce určitej triede). Ak je nastavený ISPD kryptografickými prostriedkami ochrany informácií (CIP), potom musia byť certifikované aj podľa požiadaviek FSB Ruska.

Je potrebné poznamenať, že iba držiteľ licencie FSTEC má právo inštalovať certifikované SRZI a držiteľ licencie FSB má právo inštalovať ICZI.

Atestácia

Záverečnou fázou vytvorenia systému ochrany ISPD by mala byť atestácia (vyhlásenie o zhode) - súbor organizačných a technických opatrení, v dôsledku ktorých sa prostredníctvom osobitného dokumentu - Certifikátu zhody (Záver) potvrdzuje, že ISPD spĺňa požiadavky noriem alebo iných regulačných a metodických dokumentov o informačnej bezpečnosti. Prítomnosť platného osvedčenia o zhode dáva právo spracúvať informácie s primeranou úrovňou dôvernosti počas obdobia uvedeného v osvedčení o zhode.

Otázka: Kto môže certifikovať pracoviská na dodržiavanie požiadaviek právnych predpisov a regulačných dokumentov v oblasti osobných údajov?

Igor Nazarov: Držitelia licencie FSTEC, ktorí majú licenciu na technickú ochranu dôverných informácií (http://www.connect.ru/article.asp?id=9406), majú právo certifikovať ISPD z hľadiska súladu s požiadavkami na bezpečnosť informácií.

Certifikácia zabezpečuje komplexnú kontrolu (certifikačné skúšky) ISPD v reálnych prevádzkových podmienkach s cieľom posúdiť súlad prijatého súboru ochranných opatrení s požadovanou úrovňou bezpečnosti PD.

Vo všeobecnosti certifikácia ISPD podľa požiadaviek informačnej bezpečnosti zahŕňa tieto fázy:

Analýza počiatočných údajov o overenom ISPD;

Uskutočnenie odborného prieskumu ISPD a analýzy vypracovanej dokumentácie na zaistenie bezpečnosti PD pre súlad s požiadavkami regulačných a metodických dokumentov;

Vykonávanie komplexných certifikačných testov ISPD v reálnych prevádzkových podmienkach s využitím špeciálnych kontrolných zariadení a softvéru na monitorovanie bezpečnosti proti neoprávnenému prístupu;

Analýza výsledkov komplexných atestačných skúšok, vyhotovenie a schválenie Záveru a Certifikátu zhody na základe výsledkov atestácie.

Dôležitým bodom je, že v prípade zmeny podmienok a technológie spracovania PD je prevádzkovateľ povinný oznámiť držiteľovi povolenia, ktorá certifikáciu PDIS vykonala. Potom licenčná organizácia rozhodne o potrebe dodatočné overenie efektívnosť systému ochrany ISPDN.

Zodpovednosť a riziká za nedodržanie požiadaviek zákona

V prípade nesplnenia požiadaviek na zaistenie bezpečnosti osobných údajov môže prevádzkovateľovi hroziť občianskoprávne súdne spory zo strany zákazníkov alebo zamestnancov.

To môže následne ovplyvniť povesť spoločnosti, ako aj viesť k nútenému pozastaveniu (ukončeniu) spracovania PD, čím sa spoločnosť a (alebo) jej vedúci dostanú k administratívnej alebo inej zodpovednosti a za určitých podmienok - k pozastaveniu alebo odňatiu licencií. Okrem toho podľa federálneho zákona osoby vinné z porušenia požiadaviek nesú občiansku, trestnoprávnu, administratívnu, disciplinárnu a inú zodpovednosť stanovenú právnymi predpismi Ruskej federácie ( článok 24 FZ-152):

Disciplinárne (Zákonník práce Ruskej federácie, články 81, 90, 195, 237, 391);

správnych (Zákon o správnych deliktoch, články 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Trestný (Trestný zákon Ruskej federácie, články 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).