27 июля 2006 года был принят закон «О персональных данных». Его принятие было связано с ратификацией Россией «Конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Закон этот был призван установить те требования защиты персональных данных, которые были описаны в этой конвенции. По замыслу законодателей, те компьютерные системы, которые были созданы до даты вступления закона в силу, нужно было привести в соответствие с его требованиями к 1 января 2010 года. Однако, по мере приближения этого срока все очевиднее становилось то, что множество компьютеровладельцев с этим не справятся. Поэтому в самом конце 2009 года, когда до «дня икс» оставалось совсем немного, его сдвинули еще, до 1 января 2011 года. А когда и до этого срока тоже оставалось совсем немного, «полноценное» вступление в силу закона отодвинули еще раз, теперь всего на полгода.

Думаю, многие директора кооперативов, уже и так запуганные этим законом, стали искать возможность как-то скрыться от его всевидящего ока. Не исключено, что в июне наши законотворцы проделают еще один подобный маневр, однако, надеяться на это не стоит. Давайте лучше посмотрим, чем нам всем грозит этот закон.

Что такое ПД?

Для начала определимся с терминологией. Под «информационной системой» в законе понимается «совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Под этой запутанной формулировкой скрывается обычный компьютер, на котором обрабатываются персональные данные. Под такими «данными» в законе понимается любая информация, «относящаяся к определенному или определяемому на основании такой информации физическому лицу».

Прямо к персональным данным законом причислены «фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы», однако, перечень информации в законе – не исчерпывающий. проще говоря, «персональные данные» – это любая информация, с помощью которой можно идентифицировать личность. И именно в этом – одна из самых больших проблем закона: фактически, такое определение может толковаться предельно широко. То, можно ли идентифицировать лицо на основании каких-либо данных, определяется не видом этих данных, а, скорее, их объемом. Например, имени и фамилии может быть недостаточно для идентификации в том случае, если необходимо найти человека в достаточно большом массиве других людей: можете попробовать поискать своих тезок-однофамильцев в интернете и убедиться в этом лично. В то же время, если речь идет о школьном классе, то имени и фамилии вполне достаточно. Не бывает «идентификации вообще», она всегда осуществляется на основе конкретного объема данных и в конкретной ситуации. Закон, оперируя абстрактными «персональными данными», этого совершенно не учитывает. Поэтому возможность попасть под санкции за его нарушения сильно зависит от субъективного мнения проверяющего.

На практике можно быть уверенным только в том, что к «персональным данным» будут причисляться те категории информации, которые прямо указаны в законе. Все остальное может считаться ПД, а может и не считаться – по ситуации. Стоит иметь в виду и еще один нюанс: не всякое упомнинание чужих данных нарушает закон о ПД. Сама конвенция говорит об «автоматизированной обработке данных», а в первой статье закона его действие распространяется на действия, которые проводятся «с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации». Это очень важный момент, о котором часто забывают: не любые действия с персональными данными попадают под регулирование закона, а только те, которые связаны с обработкой достаточно больших их массивов.

Что касается обработки без использования средств автоматизации, то она также регулируется законом в тех случаях, когда совершаются действия с данными множества людей. Под регулирование закона в этом случае попадают разного рода картотеки, списки, и тому подобное.

Кто такой «оператор»?

«Оператором» в терминологии закона, называют любое лицо или организацию, которые занимаются обработкой чужих данных. То есть, если вы запустили сайт, на котором есть регистрация с указанием имени пользователя – все, вы, похоже, попали… Под регулирование закона. Кстати, если вы начали обрабатывать персональные данные после принятия закона, то срок «до июля», о котором мы писали в начале – не для вас. Он установлен статьей 25 закона только для тех, кто делал это до его вступления в силу. Вы же должны были соответствовать требованиям с самого начала.

Первое, что должен сделать наш оператор – уведомить уполномоченный орган, который следит за соблюдением требований закона, Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно «Роскомнадзор»). На сайте службы есть специальная интернет-форма для подачи такого уведомления, однако, толку от нее мало, поскольку посылать его обычной почтой придется все равно.

В девятой статье закона предусмотрен ряд ситуаций, когда уведомление можно не подавать. Этого можно не делать, если из всех видов персональных данных обрабатывается только фамилия, имя и отчество, чего может быть достаточно в некоторых случаях. Большинство форумов и сайтов, построенных на основе распространенных CMS, вообще предусматривают хранение только имени пользователя и пароля, которые никакими «персональными данными» не являются вообще. Поэтому рекомендуется ими и ограничиться.

Однако, в наше время кредитным кооперативам от пайщика требуется оставлять на сайтах все больше и больше данных. А перед дирекцией кооперативов встает следующее препятствие в виде получения согласия от «субъектов». Согласие субъекта данных (то есть, того лица, к которому эти данные относятся) может быть письменным и устным. В письменной форме согласие должно быть получено в определенном перечне случаев: для включения данных в какой-то общедоступный перечень (ст. 8); для обработки специальных категорий данных, например о расовой принадлежности, политических взглядах, и тому подобные сведения (ст. 10); при обработке биометрических данных (ст. 11); при передаче данных за границу (ст. 12); для принятия в отношении субъекта при автоматизированной обработке его данных каких-то решений, затрагивющих его права и свободы (ст. 16). Кроме того, законом могут быть предусмотрены и иные случаи. Причем законом о ПД (ст. 9) установлены дополнительные требования к такой письменной форме: согласие должно содержать собственноручную или электронную подпись лица, которое дает согласие. Поэтому для его получения неприменим обычный порядок письменных сделок, установленный Гражданским кодексом, когда условия договора излагаются в отдельном документе, а согласие с ними можно выразить, совершив какое-то действие.

О том, как необходимо защищать персональные данные, говорится в Положении о методах и способах защиты информации в информационных системах персональных данных. Все компьютерные системы делятся на четыре «класса», из которых только для одного, четвертого, средства защиты применяются по усмотрению собственника. Порядок классификации утвержден приказом ФСТЭК, и то, к какому классу будет отнесена система, зависит от количества обрабатываемых данных, их вида, и других факторов. К «четвертому классу» причисляются системы, в которых происходит только обработка обезличенных или общедоступных персональных данных, утечка которых никак не может повредить их субъектам.

Однако, если вы подумали, что можно избежать мер по защите, просто предупредив пользователя, что введенные им данные будут общедоступны, то сразу же об этом забудьте. На этапе сбора данных, то есть, получения их от пользователя, они общедоступными еще не являются, то есть, любая система, которая собирает данные, к «четвертому классу» отнесена быть не может. Хотя на обезличивании данных основан один из часто используемых способов экономии на защите: сертифицируются только те компьютеры, на которых выполняется ввод данных. Затем каждой записи присваивается идентификатор, с которым и работают все остальные компьютеры: они и будут отнесены к «четвертому классу», для которого не требуется защита.

Как классифицировать информационную систему персональных данных?

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:

I.  Определить категорию обрабатываемых персональных данных:
категория 4 - обезличенные и (или) общедоступные персональные данные;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

II.  Определить объем персональных данных, обрабатываемых в информационной системе:
объем 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;
объем 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
объем 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

III.  По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):
класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.


Объем / Категория

Объем 3
(<1 000,  
организация)

Объем 2
(1 000-100 000, 
отрасль, город)

Объем1
(>100 000, 
субъект Федерации)

Категория 4 (обезличенные, общедоступные)

Класс 4

Класс 4

Класс 4

Категория 3 (идентификационные)

Класс 3

Класс 3

Класс 2

Категория 2 (идентификационные и еще)

Класс 3

Класс 2

Класс 1

Категория 1 (медицинские, социальные)

Класс 1

Класс 1

Класс 1



См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20.

Обязательные требования по защите информационных систем персональных данных

Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:

Для ИСПДн класса 4:

  • Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)

Для ИСПДн класса 3:

  • декларирование соответствия или обязательная аттестация по требованиям безопасности информации
  • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)

Для ИСПДн класса 2:

  • обязательная аттестация по требованиям безопасности информации
  • должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
  • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем

Для ИСПДн класса 1:

Порядок действий по защите информационной системы персональных данных• обязательная аттестация по требованиям безопасности информации

  • должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
  • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Последовательность действий при выполнении требований законодательства по обработке персональных данных:

  1. Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
  2. Предпроектное обследование информационной системы — сбор исходных данных;
  3. Классификация системы обработки персональных данных;
  4. Построение частной модели угроз с целью определения их актуальности для информационной системы;
  5. Разработка частного технического задания на систему защиты персональных данных;
  6. Проектирование системы защиты персональных данных;
  7. Реализация и внедрение системы защиты персональных данных;
  8. Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
  9. Аттестация (сертификация) по требованиям безопасности информации;
  10. Повышение квалификации сотрудников в области защиты персональных данных;
  11. Сопровождение (аутсорсинг) системы защиты персональных данных.

А контролеры кто?

Закон «О персональных данных» оказался слишком требовательным к операторам. На Западе принят совсем другой подход к регулированию в этой сфере: в случае, если у оператора произойдет утечка данных, его накажут, и сильно. Но вот то, как он обрабатывает эти данные – это его проблемы. Российский подход – прямо противоположен: здесь стремятся зарегулировать все, что можно, но вот за нарушение порядка работы с ПД ничего, кроме административной ответственности по статье 13.11 КоАП не грозит (штраф до 10 000 рублей для юридических лиц). Поэтому в России, славной своими традициями неисполнения даже нормальных законов, с такими непродуманными как «О персональных данных», народ тем более борется по-русски: просто игнорирует его, в расчете на то, что всех не накажут, по аналогии с пользователями торрентов.

Но если ваш сервер находится где-то у зарубежного хостера, то до него, скорее всего, руки Роскомнадзора не дойдут. Впрочем, одна недавняя попытка привлечения владельца сайта к ответственности показала, что и сами контролеры закон знают не очень хорошо. В конце января и начале февраля состоялось два судебных процесса по делу, истцами в котором выступали представители Роскомнадзора, а ответчиком – владелец сайта «Всероссийское генеалогическое древо» Сергей Котельников.

Сам иск был подан по жалобе одной из посетительниц сайта, которая нашла на нем личные данные шести человек. Роскомнадзор в процессе выступал в интересах неопределенного круга лиц, и требовал уничтожить те персональные данные, которые к тому моменту были размещены на сайте. Сведения эти публиковались для поиска родственников, а сам сайт представляет собой крупнейший российский генеалогический ресурс. Естественно, пользователи были недовольны. В ходе переговоров с Котельников с Роскомнадзором даже собирались заключить мировое соглашение, которое включало условие о том, что при размещении данных пользователь будет давать свое согласие на то, что они становятся общедоступными.

При теперешнем распространении электронной подписи задача эта была заведомо невыполнимой. Но суд поступил проще: он не стал рассматривать заявление. В определении суда говорится о том, что Роскомнадзор просто не имеет права подавать иски в интересах неопределенного круга лиц: он может защищать интересы только конкретных «субъектов персональных данных», это право ему дано статьей 23 закона о ПД. Ведь если «персональные данные» – это информация, относящаяся к определенному лицу, то „неопределенного круга“ таких лиц существовать не может в принципе. Таким образом, этот «нашумевший» судебный процесс выявил одно из слабых мест контролеров: требовать удалить все данные всех пользователей с сайта они просто не имеют права, закон разрешает им действовать только в интересах конкретных лиц.

В связи с этим, появился повод вспомнить про 1 июля 2011 года — день X, когда в России начнет по-взрослому действовать Закон о персональных данных, точнее действует он уже давно, а к 1 июля всем операторам перс.данных необходимо привести свои ИСПДн в соответствие с требованиями этого закона. Персональные данные – это любая информация относящаяся к физическим лицам: ФИО, дата, место рождения, адрес, семейное положение, доходы, образование и другая информация. Операторы персональных данных – это не всякие мегафоны и эМТээСы, а мы с вами – сетевые инженеры, системные администраторы, специалисты по информатизации, безопасники и прочие айти-братья. Точнее даже не мы, а наши работодатели, но заниматься этим в большинстве случаев придется именно нам.

Итак, если у нас есть сетевая среда, в которой в электронном виде хранятся или обрабатываются персональные данные сотрудников, клиентов, партнеров – в общем физических лиц, значит всё: приговор почти подписан и мы – оператор. Закон называет сегмент нашей сетки с приватными сведениями — «ИСПДн» т.е. «информационная система персональных данных» и требует от нас бережного отношения к этим самым ПДн и, более того, – обеспечения для них режима информационной безопасности.

Правда для самых экстремальных айтишников с 1 июля будет действовать аттракцион невиданной смелости: «забей» на защиту персональных данных и пригласи к себе проверяющие органы. Проверками будут заниматься ФСБ, ФСТЭК и территориальные органы Роскомнадзора. Санкции пока не самые лютые: от одной до десяти (в тысячах рублей). Но в крайних случаях, например, если база наших клиентов появится в публичном доступе, вилка штрафов вырастает до пятизначных значений, появляется опасность возбуждения дел, исправительных работ и прочих толстых намеков регуляторов на тонкие обстоятельства. Сколько таких экстремалов наберется пока неизвестно, но уже ведется точный подсчет тех, кто не планирует получать адреналин подобным образом – на 18 апреля уже более 187 тыс российских организаций направили уведомления об обработке ПДН и были включены в реестр на известном портале pd.rsoc.ru/.

Начнем такой эксперимент и мы, не то, чтобы очень хочется всем этим заниматься, но раз уже мы держим в портфеле решений сертифицированный межсетвик для защиты ПДн пора бы уже на своём примере узнать, как готовиться к встрече с приведением, точнее с «приведением ИСПДн в соответствие с требованиями Федерального закона №152 «О защите персональных данных». Попробуем сделать это в семь шагов, не факт, конечно, что получится, но для получения статуса легального оператора этого, наверняка, должно хватить.

Первое, что необходимо помнить: по дефолту, вся ответственность за всё что касается ПДн лежит на председателе кооператива. И если он оттягивается где-нибудь в Бразилии, до летней олимпиады 2016 года, в принципе можно и расслабиться. Он, конечно, потом будет говорить: «а что это я один не в курсе и почему не доложили», но как говорил Иосиф Бродский: «каждый сам себе царь и верблюд», да и «докладывать о законах» не у каждого из нас такое в должностной инструкции прописано. Но с другой стороны, с помощью нехитрой магии, можно, конечно, нашего биг босса избавить от тяжкого бремени ответственности за защиту ПДн. Одевать костюм Гарри Поттерра и махать в сторону директора палочкой не обязательно, а вот составить заклинание и дать ему на подпись вполне годный вариант. Примерный текст заклинания (на бланке организации, с подписью и печатью):

"ПРИКАЗ о создании комиссии по приведению ИСПДн ООО «Белые и пушистые» в соответствие с требованиями ФЗ-152 «О персональных данных». С целью исполнения требований законодательства РФ при обработке персональных данных в КПКГ «Библиотекари России» ПРИКАЗЫВАЮ:

1. Создать комиссию по приведению ИСПДн КПКГ «Библиотекари России» в соответствие с требованиями ФЗ-152 «О персональных данных» в составе:
Председатель КПКН:
Пастушок Р.Б., специалист по информатизации
Члены комиссии:
Цветкова О.Б., ведущий специалист по правовой работе
Яблонская И. С., специалист отдела по работе с персоналом

2. Возложить на созданную комиссию задачу по классификации ИСПДн, а также иные задачи по приведению ИСПДн КПКГ «Библиотекари России» в соответствие с требованиями ФЗ-152 «О персональных данных».
Контроль за исполнением настоящего приказа оставляю за собой.
<Руководитель организации> <подпись> <дата>

Можно, конечно, стать единоначальным ответственным за все вопросы, этаким capo di capo dei dati personali, но все таки лучше в компанию с собой прихватить девушек из HR и/или юриста, у кого ноги длиннее лучше обстоят дела с пониманием всяких процессов по написанию рабочих инструкций, регламентов, правил и прочей бюрократической мануальшины для отвода глаз минимизации юридических рисков. Хотя лично я, понимая, что всё уже написано до нас и www сети уже хранится 100500 готовых шаблонов в приказ вставил одну собственную фамилию и получилась не комиссия, а ответственный. Конечно в комиссии было бы как-то спокойнее, но так ведь и премию на двоих(а то и троих) пришлось бы делить. Итак, начало положено, заводим папку-регистратор, пишем на ней «Комплект документации по приведению ИСПДн КПКГ „Библиотекари России“ в соответствие с требованиями ФЗ-152». Подшиваем в дело первый документ — Приказ о комиссии (или ответственном).

Готовясь стать оператором ПДн, нужно понимать, что каждая легализация – это не просто слова: „теперь мы работаем по белому“, но и дела, и ответственность, и обязанности. Например, у нас, как оператора, появится ответственность реагировать на любые неанонимные запросы по тегу „персональные данные“. И даже когда какой-нибудь Гедеон Эльпидефорович живущий в Алабаме пришлет нам имейл с этаким охлобыстинским вопросом: „А чо это вы мои персональные данные не спросясь у себя обрабатываете?“. Несмотря на некоторую абсурдность ситуации мы просто обязаны будем в течение 10 дней данному физическому лицу направить официальный (на бланке с подписью и печатью) ответ, что-то вроде: „Уважаемый, Гедеон, в жизни о Вас персональных сведений не видели и обрабатывать таковые не планируем“, или наооборот, в зависимости от контекста. Срок ответа по запросам регуляторов и того меньше – 7 календарных дней. Значит, подшиваем в папочку еще 2-3 документа с заголовком „Типовые шаблоны ответов. На втором этапе будем думать как классифицировать персональные данные и как узнать какой наш класс нашей ИСПДн.

Первое, что необходимо держать в памяти — средствами защиты информации у нас являются только те средства, которые имеют действующий сертификат ФСТЭК (по защите от НСД — несанкционированного доступа) и ФСБ (по криптографии и межсетевому экранированию). К сожалению, сертификаты периодически кончаются, и если компания-производитель не озаботится продлением сертификата, то при проверке могут возникнуть проблемы. Избежать их можно двумя способами:

  1. Перед закупкой средств защиты проконсультироваться с производителем, или с поставщиком, когда заканчивается текущий сертификат, и собирается ли производитель его продлевать. Так же стоит заглянуть на сайт производителя — есть есть более новая версия, то старую могут и не продлить.
  2. Если техника уже закуплена, и производитель не собирается продлевать сертификат — можно самому обратиться в орган по сертификации и получить сертификат на свой экземпляр (только свой). За некоторую сумму денег, как вы понимаете.

Кроме того, необходимо определиться, какие, собственно, средства защиты нам нужны? Если ваша ИСПДн — типовая, то требования по защите персональных данных описаны в приложении к приказу ФСТЭК № 58, которое может найти тут. Если же ваша ИСПДн — специальная, то требования по защите описаны в «Частной модели угроз...», которая составляется по результатам обследования ИСПДн. Поясню сразу — типовой ИСПДн является информационная система, к которой предъявляются требования только по конфиденциальности персональных данных, а доступность и целостность оставлены в стороне. Для чего можно сделать ИСПДн специальной? Актуально это, на мой взгляд, только для ИСПДн 1-го класса (К1), так как предъявляемые требования включают в себя в том числе и защиту от ПЭМИН (побочные электромагнитные излучения и наводки). Создание «Частной модели угроз...» помогает уйти от ПЭМИН и значительно облегчить жизнь. Суть же защиты сводится к установке генератора электромагнитного шума и фиксации расположения и состава как технических средств ИСПДн, так и вообще всех технических средств, расположенных в тех же помещениях. То есть, вносить изменения вы сможете только по согласованию с органом, производившим аттестационные испытания. Изменения же в составе ИСПДн могут вылиться в контрольную проверку или переаттестацию.

От ПЭМИН мы, будем считать, ушли, теперь давайте рассмотрим средства защиты информации и типовые варианты их применения. В общем и целом, все средства защиты можно разделить на несколько групп:

Локальные СЗИ НСД

СЗИ НСД — это аббревиатура от средства защиты информации от несанкционированного доступа. Используются для предотвращения несанкционированных действий пользователей, имеющих доступ к рабочим станциям ИСПДн. Включают в себя такие механизмы, как контроль загрузки со сменных носителей (CD/DVD-диски, флешки), контроль устройств (что бы нельзя было подключить левую флешку и слить информацию), реализация мандатного разграничения доступа (для ИСПДн не требуется). Приведу только те средства, с которыми я работал лично:

  1. Secret Net. Может поставляться как с платой контроля загрузки, так и без оной. Работает через secpol.msc, так что на Home-версиях может и не заработать (на Windows XP Home не работает точно, да Vista и Windows 7 еще не проверял). Довольно прост в эксплуатации, имеет наилучший, из виденного, механизм контроля устройств. Есть сетевая версия, предназначенная для интеграции в доменную структуру.
  2. Страж NT. Наилучший механизм мандатного разграничения доступа. В эксплуатации сложнее (из-за того, что часть защитных механизмов нельзя отключить). Сетевой версии нет.
  3. Dallas Lock. Проигрывает по всем параметрам рассмотренным ранее, кроме возможности нормального развертывания сетевого варианта в бездоменной сети.

Как ясно из названия, данные средства используются на локальных машинах. Добавить тут нечего.

Межсетевые экраны

Назначение, я думаю, ясно. Кроме того, если одну ИСПДн разделить межсетевым экраном на две части, то можно с полным право назвать их двумя разными ИСПДн. Для чего? Если вы попадаете в первый класс именно по количеству обрабатываемых субъектов персональных данных, то, разделив ИСПДн на две части, вы уменьшите количество обрабатываемых в каждой ИСПДн субъектов и получите уже не К1, а К2. Сейчас на рынке представлено несколько сертифицированных межсетевых экранов:

  1. VipNet Personal Firewall. Просто персональных межсетевой экран, без особых изысков. Управляется только локально. Механизма централизованного управления нет. Для запуска требует пароль, если его не ввести — не запускается.
  2. VipNet Office Firewall. То же самое, но поддерживает несколько сетевых карт, что позволяет устанавливать его на шлюзе, и использовать для сегментирования ИСПДн.
  3. ССПТ-2. Программно-аппаратный комплекс, работает на FreeBSD, однако добраться до самой ОС вам никто не даст. Работает быстро, поддерживает фильтрацию по многим параметрам. Имеет неприятную особенность — правила применяются по списку сверху-вниз, и правила, расположенные вверху, имеют больший приоритет. В документации это не отражено, было выявлено опытным путем. Управляется как с локальной консоли, так и через веб-интерфейс.
  4. АПКШ «Континент». Вообще, это не межсетевой экран, а криптомаршрутизатор, но с функциями МСЭ. Архитектурно похож на ССПТ-2, но управления с локальной консоли нет — только через специальную консоль администратора. При чем, при начальной настройке необходимо указать интерфейс, к которому будет подключен компьютер администратора.

Кроме того, «Код безопасности» выпустил еще два продукта — МСЭ+ HIPS «Security Studio Endpoint Protection» и систему распределенных межсетевых экранов Trust Access, объединяющую межсетевое экранирование и сегментацию с использованием аутентификации по протоколу Kerberos. По скольку работать с данными продуктами мне не приходилось, предоставлю только ссылки на их описание:
TrustAccess
SSEP

Кроме того, было сертифицировано производство еще одного продукта — Stonegate Firewall/VPN. Продукт финской компании Stonesoft. Так же он поставляется к прикрученным к нему модулем шифрования КриптоПРО, что позволяет использовать его в качестве сертифицированного VPN-решения.

СКЗИ

Они же средства криптографической защиты. Помимо уже указанного Stonegate Firewall/VPN, есть еще два VPN-решения:

1) VipNet Custom. Представляет из себя комплекс из VipNet Administrator — программа управления, VipNet Coordinator — VPN-сервер, с функциями МСЭ, и VipNet Client — VPN-клиент и МСЭ. Программа управления используется только для генерации ключей и сертификатов, управление настройками межсетевых экранов возможно только локально. Помочь в администрировании может только встроенный RDP. Так включает в себя внутренний мессенджер и внутреннюю почту. К достоинствам можно отнести только то, что это чисто программное решение, которое легко встраивается в уже существующую инфраструктуру.
2) АПКШ «Континент». Про него я, в принципе, уже говорил. Добавлю только то, что в последней версии клиента («Континент-АП») появились функции межсетевого экрана, и даже есть клиент под Linux. Управление самими криптошлюзами производится только с консоли администратора, но удаленно. К особенностям так же стоит отнести то, что стартовая настройка (то есть передача криптошлюзу конфигурации сети и ключей) производится локально, путем скармливания ему флешки со всей необходимой информацией. Если вы ошиблись при создании конфигурации и уже отправили криптошлюз на удаленную точку — то удаленно подцепиться на него и что-то исправить вы не сможете, придется генерировать конфигурацию заново и каким-то образом передавать на удаленную точку.

Теперь необходимо внести запись о своей ИСПДн в реестр операторов персональных данных, в котором уже числятся 197 487 компаний и организаций… упс, уже 197 646. Инвайтом для вступления, точнее пропуском в реестр станет заполненная на портале Роскомнадзора форма «Уведомления об обработке персональных данных». Важно понимать, что с момента отжатия кнопки «Отправить» мы по своей доброй воле объявим свою организацию оператором персональных и будем вынуждены соответствовать букве закона. С одной стороны, в этом есть некоторые риски, авось про нас никто и никогда бы не вспомнил? Может и так, но с другой стороны, если, не имея уважительных причин не направим уведомление до 30 июня исключительно, то уже с первого июля наша компания станет нарушителем 152-ФЗ и эта дата станет точкой невозврата.

Как, например, 1 апреля для налогоплательщиков. Многие, наверное, в курсе, что если кто не успел подать декларацию в ФНС о своих нетрудовых, то с первого рабочего дня апреля появится как минимум штраф – 1000 рублей за просрочку, а часто получается, что чем дальше по скользкой, тем сильнее вязнешь в нелегальной тине. Поэтому, как советуют здравый смысл и старшие товарищи, уведомление лучше подать. Например, вдруг станется в 2012-м, что «наибольший интерес для включения в план проверок вызовут операторы, не включенные в реестр». Конечно, кто-то сразу вспомнит, что по данным SETI, в 2012 на землю приземлится армада инопланетных звездолетов, но ведь и далеко не факт, что они летят спасать нас от регуляторов. Нам и так по линии защиты ПДн регулярно упрощали задачи, например, отменяли обязательные требования по криптографии или необходимость получения лицензий на защиту информации.

Первое о чем нужно помнить при заполнении, что формулировка «электронное уведомление» — это некоторый фейк. Электронную форму уведомления придется пренепременно распечатать и проставив номер исходящего отправить в территориальный орган Роскомнадзора по месту юридической регистрации оператора. Т.е. отправляем и электронно, и физически, естественно, не допуская разночтений, что уже стало основной ошибкой операторов. Например, когда в электронной форме говорится о двух ИСПДН, а в печатной появляется ИСПДн №3. Вторая распространенная ошибка: пропуски данных, например, забывают про почтовый индекс или наименование муниципального района для районных организаций. Важно лишний раз проверить полное соответствие всех полей в электронной форме и бланке уведомления. Честно говоря, на этом этапе, я бы полностью положился на помощь юридического друга или подруги, даже если они не входят в состав нашей комиссии.

Все вводные формы уведомления до вопроса: «Правовое основание обработки персональных данных» необычайно просты. В данном поле желательно постатейно перечислить все федеральные законы и нормативные акты, в рамках которых мы обрабатываем ПДн. Например, Трудовой кодекс, для процессов накопления сведений о сотрудниках, или ФЗ «Об акционерных обществах» для данных по собственникам и акционерам. В большинстве случаев хватает перечня из 4-5 документов, в первую очередь, конечно, с указанием «ст. 5, 6, 7, 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Нужно 100-500 раз подумать, прежде чем отмечать параметр «Биометрические персональные данные», тем более, что далеко не каждая фотография сотрудника – это сразу биометрия, а вот защита биометрии почти всегда потребует отдельного согласия субъектов, дополнительных технических средств и юридического мужества.

Дальнейшие вопросы проходятся на пятой передаче и заполняются в соответствии с нашим актом классификации ИСПДн. Но на спецучастке «Осуществляется ли трансграничная передача персональных данных» лучше сделать остановку и пока еще не поздно хорошенько взвесить все за и против. Если в явном виде мы не отправляем персональные данные на домены и ресурсы не в зоне RU, лучше однозначно и уверенно ответить «не осуществляется». Если по распоряжению боссов кому-то из сотрудников приходится иногда отправлять списки акционеров куда-нибудь на Каймановы острова, то придется ответить на трансграничный вопрос положительно и указать страны, в которую передаются ПДн. Дальнейшее развитие событий предугадать сложно, в некоторые страны, где защита ПДн находится на «любительском» уровне нам могут вообще запретить любые транзакции приватных данных. Кстати, этот же пункт придется обязательно отметить, если наш 1С сервер хостится в солнечном Амстердаме.

Для поля «Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке» нужно хотя бы общее представление о тех способах и механизмах защиты, которые мы будем использовать. Хорошо, что если не юзаем криптографию, то указание точных наименований программных продуктов и технических устройств не потребуется.

Двигаемся дальше. Выбрав, класс информационной системы, указываем дату начала обработки ПДн, крайне желательно, чтобы она была не позднее 31.12.2010 (см. ФЗ-359 от 23.12.2010).

Указываем срок или условие прекращения обработки ПДн, например, «ликвидация организации», указываем контакты контакты исполнителя, проходим капчу и нажав, «отправить». Бескомпромиссно делаем еще один шаг в сторону легализации нашей ИСПДн. На всякий случай перед прохождением этого этапа стоит почитать как можно больше хинтов и солюшенов от регуляторов. Не забудем и про отправку распечатанной бумажной формы с номером исходящего и ключом электронной формы уведомления, который «генерится» после нажатия кнопки отправить.

Обследование ИСПДн

Построение защиты информационной системы персональных данных (ИСПДн) начинается с обследования ИСПДн, ее классификации и составления конкретных требований к защите.

Обследование проводит специальная комиссия, состоящая из специалиста по защите информации*, администратора ИС и оператора ИС. Соответственно, предварительно нужно издать приказ о назначении комиссии и проведении обследования.

Перед тем, как начинать какие-либо действия, необходимо установить перечень хранящихся и обрабатываемых на предприятии персональных данных.

Здесь у нас получится документ с таблицей из трех колонок: № п\п; наименование (файла, БД, таблицы); содержание файла (ФИО, серия\номер паспорта и т.д).

Во время обследования нужно установить следующее:

1. Доступ на территорию организации. Кто и в какое время может туда пройти. По пропускам или без, записывается ли он в журнал посещений и т.д. Имеют ли сотрудники возможность пройти на территорию организации в нерабочее время.

2. Контролируемая зона (КЗ) организации.
Контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.
Итак, границами контролируемой зоны будут являться ограждающие конструкции помещений, принадлежащих Организации (стены, двери, окна, потолок).

Возможно, вашей организации принадлежит весь этаж или какое-то его крыло. В этом случае холл и коридор между офисами будут являться контролируемой зоной только при наличии там злой старушки с шваброй охранника/администратора или камеры видеонаблюдения.
В контролируемой зоне возможны некоторые особенности. Например, в ней может вестись постоянный прием третьих лиц (клиентов) – это тоже необходимо отметить.

3. Электропитание здания. Здесь требуется указать на какой территории находится трансформаторная подстанция и какой организацией обслуживается. Все очень просто, никаких ООО «Мосгорсвет» знать не нужно (это никого не интересует) — ответа может быть всего два: подстанция находится в пределах КЗ, либо за ее пределами и соответственно обслуживаться она может либо собственным подразделением организации, либо сторонней организацией (название и адрес организации не требуются).

Также, требуется указать по какой схеме сделано заземление трансформатора и где оно находится (в пределах КЗ или за пределами). Знаний из Википедии здесь больее, чем достаточно ru.wikipedia.org/wiki/%D0%A2N-S

4. Телефонная связь. Организована через собственную АТС или общую. Выходят ли кабели телефонной связи за пределы КЗ.

5. Пожарная и охранная сигнализация. Где установлена, куда подключена. Если подключена на пульт охраны, то указать где находится этот пульт. Выходят ли кабели этих систем за пределы КЗ.

6. Вычислительная сеть организации. По какой технологии построена, какая схема, структура, имеются ли подсети и т.д.

7. Обработка информации.
— Ввод информации: осуществляется в ручном/автоматическом режиме на всех компьютерах (АРМ) с помощью манипулятора типа «мышь», клавиатуры, сканера и т.д.
Под ручным обычно понимается ввод с бумажных носителей, а под автоматическим – с флэшек, дисков и пр.
— Отображение информации: информация отображается на мониторе во время ввода и вывода информации пользователем и работы с ПО.
— Обработка информации: производится на компьютере при помощи такого-то ПО. Не нужно писать про все ПО на компьютере, а только про то, в котором обрабатываются персональные данные.
— Хранение информации: информация остается на жестком диске компьютера или автоматически передается на сервер.
— Передача информации: между АРМ пользователей, между компьютером и сканером\принтером, между АРМ и сервером.
— Вывод информации: на бумажные\электронные носители при помощи таких-то устройств.

8. Компоненты процесса обработки информации:
— Субъекты доступа: персонал, который в силу должностных обязанностей должен взаимодействовать с ПДн; процессы, происходящие в прикладном и системном ПО компьютера.
— Объекты доступа: информационные ресурсы (пример: файлы, таблицы, массивы, документы, базы данных и т.д.); элементы системы (флэшки, принтеры, ПО, сам компьютер).

Доступ субъектов к объектам должен быть как-то разграничен или регламентирован (пароли к учетным записям на ПК, флэшки только под роспись, доступ к файлам).

9. Группы субъектов доступа: администраторы (описание кто такие и какие функции выполняют), пользователи (аналогично), обслуживающий персонал (аналогично). Желательно также отдельно в этом пункте описать, какие функции по администрированию ОС и защите информации выполняет администратор (резервное копирование, создание учетных записей и пр.)

10. Система резервного копирования: как часто, куда и где\у кого\как это потом хранится.

11. Дополнительно… Здесь можно указать другие важные моменты, характерные для вашей информационной системы.

По результатам всего этого мы составили Акт обследования ИСПДн.

ru.wikipedia.org/wiki/Контролируемая_зона


Источник: Информационная безопасность