Сказка про белого бычка или как оставаться невидимым за стеклом

Человечество в своем развитии идет все дальше — многое из того, что казалось фантастикой ещё 100 лет назад, уже стало реальностью. Если при Иване Грозном достаточно было спросить: «Кто вы родом, сколь вам лет, вы женаты али нет?» — то современные бояре на подобные вопросы уже не отвечают каждому встречному, подобные сведения о себе назвали «персональными данными», а за разглашение если на кол и не посадят, то в острог упечь могут.



Сложно представить компанию, не имеющую каких-либо персональных данных, к которым относят:
телефонные книги, ведомости бухгалтерской отчетности, списки сотрудников и т.п. Все данные классифицируются по степени конфиденциальности. Если компания предоставляет данные о сотрудниках в Пенсионный фонд, значит автоматически располагает данными самой высокой категории – это и ведомости о зарплате с указанием ФИО, сведения о социальном положении сотрудника, наличие инвалидности, семейное положение, количество детей и др.

У каждого человека есть право на неприкосновенность частной жизни, регламентированное «Конвенцией о защите физических лиц при автоматизированной обработке персональных данных», которая утверждена еще в 1981 году европейской комиссией в Страсбурге (закон о ратификации Конвенции в России №160-ФЗ). Однако автоматизированная обработка данных – ведение баз данных, реестров – реалии сегодняшнего дня. Тот, кто владеет персональными данными и обеспечивает их хранение, становится оператором данных. Статус оператора данных для юрлица означает наличие определенной степени ответственности, регламентированной законами и подзаконными актами. Прежде всего, законом 152-ФЗ, а также подзаконными актами ведомств – Минкомсвязи, Роскомнадзора, ФСТЭК, ФСБ.

Все операторы данных вносятся в реестр Роскомнадзора (pd.rsoc.ru), на сайте можно узнать дату проверки, планируемой ведомством.
Государство уже давно озадачено проблемой сведения в единой системе всех личных данных о человеке, включая привязку к банковским счетам. Сейчас, например, нашим государством активно лоббируется проект по созданию универсальной электронной карты – электронного цифрового документа с личными данными владельца, включая возможность хранения на ней денежных средств.

Положение о том, что наши данные закрыты для доступа, весьма условно. Так, по данным агентства Интерфакс со ссылкой на статистику, полученную от InfoWatch, число утечек персональных данных в нашей стране только за один 2013 год выросло в 2 раза и составило 109 случаев. То есть фактически данные 109 компаний просто уплыли в безбрежные дали Интернета, скомпрометировав 3 миллиона записей.
Зачастую вина за потерю персональных данных ложится на руководителей подразделений, отвечающих за хранение данных. Из статистики Интерфакс: в 5 случаях из 10 потеря данных произошла посредством Интернета.

С этого года Минкомсвязи хочет ужесточить санкции за нарушение правил обработки персональных данных. Теперь появление личных данных граждан в открытом доступе обойдется операторам данных в 300 тысяч рублей, для сравнения предыдущий штраф составлял 10 тысяч рублей.
Повышаются штрафы за обработку специальных категорий персональных данных о политических убеждениях, медицинских сведений, сведений о судимости.
Задача юрлица – оператора данных – при создании системы хранения информации сделать первый шаг – организационный, обеспечить документооборот – создать необходимые документы, разрешающие обработку данных. Второй шаг – обеспечить необходимую архитектуру IT-системы. Наиболее важными мерами по предотвращению утери данных являются, конечно, технические меры, которые подразумевают использование сертифицированных средств защиты информации.
Насколько сложной будет архитектура ПО, зависит от степени конфиденциальности данных.

Существует четыре категории персональных данных, по возрастанию уровня конфиденциальности от К4 до К1:
К4 – обезличенные данные. Оператор данных категории К4 вправе выбирать технологические решения самостоятельно, наличие сертификата ФСТЭК не обязательно.
К1 – данные, которые необходимо не только защищать, но и шифровать. ПО должно быть сертифицировано ФСТЭК, системы криптографии (если таковые имеются) утверждены ФСБ.

Так если для защиты данных самой низкой категории – К4 – достаточно обеспечить только целостность данных, то для данных категории К1 – полный комплекс защиты данных (зачастую, включая шифрование и борьбу с утечками данных).
Исчерпывающий перечень функций ПО, необходимых оператору баз данных, выглядит следующим образом:
1.Защита от несанкционированного доступа
2.Антивирус
3.Межсетевой экран
4.Криптографические средства (для крупных компаний, где возможна утечка данных)
и другие защитные механизмы (можно смотреть руководящий документ ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»).

Все компьютеры в сети, с которых ведется работа с персональными данными, должны быть аттестованы и содержать сертифицированное ФСТЭКом (Федеральной службой по техническому и экспортному контролю) программное обеспечение, а сама сеть должна быть защищена сертифицированным межсетевым экраном.
Небольшие фирмы, как правило, используют несертифицированное ПО, с которым работает межсетевой экран без сертификата ФСТЭК (Traffic Inspector Gold).

Межсетевые экраны. Корпоративная сеть целиком и каждое отдельное рабочее место должны быть защищены не только от массовых атак с помощью вирусов, но и от целенаправленных сетевых атак. Для этого достаточно поставить систему блокировки неиспользуемых сетевых протоколов и сервисов, что и делает межсетевой экран. Часто к функциональности межсетевых экранов добавляют и средства организации виртуальных частных сетей – VPN.
Для более крупной компании, чтобы уменьшить затраты на аттестацию и закупку сертифицированного ПО, всю работу с персональными данными обычно выносят в отдельную сеть и закрывают ее межсетевым экраном (Traffic Inspector FSTЕС) – системой блокировки неиспользуемых сетевых протоколов и сервисов. Межсетевой экран защищает каждое отдельное рабочее место и корпоративную сеть целиком не только от массовых атак с помощью вирусов, но и от целенаправленных сетевых атак. К функциональности межсетевого экрана добавлены средства организации виртуальных частных сетей – VPN.
Тraffic Inspector обеспечивает доступ в Сеть как через прокси-сервер, так и через NAT («преобразование сетевых процессов»). Преимущества совместного использования NAT и прокси-сервера очевидны: NAT – универсальный способ предоставления доступа в Интернет, также позволяет анонимизировать трафик; прокси-сервер – пропускает через себя веб-запросы, защищая систему от нежелательной информации.
Программное обеспечение, позволяющее настроить IT-архитектуру, способную защитить систему с персональными данными, включает в себя: обеспечение доступа в Сеть; межсетевой экран и антивирус, проверку контрольных сумм IP-пакетов, длины IP-пакетов, фильтрацию «битых» пакетов.

Любое программное обеспечение, установленное в компании, должно быть соответствующим образом утверждено в специальной документации:
1.Перечень средств защиты персональных данных
2.Журнал учета и хранения носителей персональных данных
3.Акт установки средств защиты информации
4.Утвержденная форма акта списания и уничтожения электронных носителей информации
5.Утвержденная форма акта уничтожения документов
6.Подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).

Если же в организации происходит смена ПО или железа, то информация об этом в данных документах обязательно отображается.

Подведем итоги. Юрлицо, оперирующее персональными данными (обезличенными) или же клиентскими, автоматически становится оператором данных. Сейчас в любой организации существует риск нарушений при обработке и хранении персональных данных как при хранении данных на бумажных или электронных носителях, так и при автоматизированной обработке. Меры, принятые юрлицом по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля. Поэтому, во-первых, определите, данными какого класса вы оперируете (если передаете сведения в ПФ, значит высокого класса К1). Во-вторых, обеспечьте свою систему сертифицированным межсетевым экраном. В-третьих, заглядывайте на сайты Роскомнадзора и ФСТЭК России, где опубликованы списки плановых проверок на соблюдение требований ФЗ 152.
Smart-Soft 53,11
Компания
Поделиться публикацией
Комментарии 13
  • 0
    Мосфильм заблокировал видео с Иван Васильевичем. Ну вот теперь я видел всё.
    • +2
      А если серьёзно, то раньше была, кажется уголовная ответственность для руководителя за то, что организация ПД собирает, но ни как не защищает. Как с этим сейчас?
      Как быть с хранением ФИО и паспортных данных ЧОПом на входе в своих книжицах?
      • 0
        Tel, при работе с персональными данными в организации должны быть обеспечены как технические (в посте выше), так и организационные меры, как то:
        1. Разработка Положения о защите персональных данных, например www.crmdaily.ru/novosti-rynka-crm/515-polozhenie-o-zashhite-personalnyx-dannyx-rabotnikov-obrazec.html, которое определяет права и обязанности руководителей и работников, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных работников. (Такое положение разрабатывается на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников»).
        2. Получение согласия физического лица (работника) на обработку персональных данных.
        3. Разработка обязательства о неразглашении конфиденциальной информации (персональных данных), не содержащих сведений, составляющих государственную тайну.
        • 0
          Вот я прихожу в generic здание с кучей офисов. У меня охрана берёт паспорт и записывает куда-то мои данные. Что мне нужно делать, чтобы знать что всё окей?
          • 0
            Теоретически, вы должны дать согласие на обработку ваших персональных данных, на практике вы даете паспорт — значит согласны. Собственник помещения вправе устанавливать те или иные особенности пропускного режима. Далее он должен обеспечить комплекс мер для того, чтобы ваши данные дальше журнала посещений никуда не пошли. Ну а если есть желание удостовериться в СБ данной организации — то это уже к Роскомнадзору)
    • +1
      Почему ссылки на планы проверок за 2011 год? Копипастили?
      • 0
        Ссылку поправили, теперь можно заглянуть в план на 2014 год, хотя к проверкам стоит быть готовым всегда, часто они идут и не по плану.
        Например, в том же 2010 году количество плановых проверок Роскомнадзора в области персональных данных составило 886, а вот внезапных «внеплановых» — 441, устранено свыше 3000 нарушений в области персональных данных выдано 1 917 предписаний, составлено 1 633 протокола об АП, такие дела…
      • 0
        Ещё вопрос, который, в своё время, нам не давал покоя. Вот стандартная организация на 100+ человек. Кадры используют 1С, где радостно (по идее) заносят когда человек брал больничный и (вероятно) данные этого больничного для учёта. Какая категория ПД это будет? Можно ли как-то отделить конкретно этих сотрудников/сервера/рабочие места и защитится по двум уровням разным?
        Верно ли я понимаю, что любая организация у которой есть кадровая служба, тут же пролетает мимо К4?
        • 0
          Tel, информация о состоянии здоровья человека относится к 1 категории, необходимо обеспечить всю сеть необходимыми техническими мерами.
          категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
          категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
          категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
          категория 4 — обезличенные и (или) общедоступные персональные данные.
          • 0
            Вот и вопрос — получается любая организация у которой есть кадровый учёт автоматом подпадает под категорию 2, а очень может быть и 1? Даже ИП. Мудрилкин, как только в свою палатку с шаурмой берёт кого-то, по идее записывает куда-то его паспорт. И тут же подпадает под действие категории 3, а если прописку записал то сразу и 2. Верно?
            • 0
              По закону да, получается так
              • 0
                А на практике как? На моей прошлой работе, где с физиками работа не велась вообще, т.е. почти всё касалось сотрудников нам разные конторы считали стоимость «защиты по ПД» и оно с ПО и прочим начиналась от 2-3х миллионов. Это было, ну прямо скажем, не бюджетно.
                • 0
                  Реальный пример из личного общения с клиентом-сисадмином: школа покупает интернет-шлюз с сертификатом ФСТЭК за сумму, ГОРАЗДО меньше названной Teloм. Приходит прокурорская проверка — им предъявляют сертификат. Все, вопрос снят, системный администратор школы нагуляй не получает.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое