Обеспечение безопасности персональных данных

Важным моментом при построении СЗПД является пункт 5 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного Постановлением Правительства Российской Федерации от 17.11.2007 № 781, которое гласит, что средства защиты информации, используемые в ИСПД, должны в установленном порядке проходить процедуру соответствия (сертификацию). Порядок сертификации устанавливается уполномоченными органами, которыми в случае защиты ПД являются ФСТЭК и ФСБ России. Сертификации подлежат системы, продукты и услуги защиты информации от ПД. В рамках систем обязательной сертификации организации должны сертифицировать средства и продукты. Например, в руководящих документах Гостехкомиссии России продуктом может выступать средство вычислительной техники (СВТ), средство защиты информации (СЗИ), межсетевой экран (МЭ), программное обеспечение (ПО) и др. Система - это объект информатизации, где обрабатывается реальная информация. По этой причине к системам предъявляются дополнительные требования, касающиеся в том числе организационных мер и физической защиты. Программное обеспечение СЗПД для защиты от угроз конфиденциальности, целостности и доступности, применяемое в ИСПД 1 класса, подлежит сертификации на отсутствие недекларированных возможностей согласно п.2.12 Приказа ФСТЭК России №58. В соответствии с Руководящим документом Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей", утвержденным приказом Председателя Гостехкомиссии от 04.06.1999 № 114, недекларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Порядок классификации по уровню контроля отсутствия недекларированных возможностей определен указанным выше руководящим документом Гостехкомисии. Данное требование обусловлено тем, что большинство современных атак использует уязвимости в программном обеспечении системы. Основной метод нахождения уязвимостей в программе - детальное изучение программного кода. Данное требование может привести к выводу из эксплуатации в ИСПД зарубежных средств защиты информации, так как для сертификации необходимо предоставить код в открытом виде. При просмотре сертификата к средству защиты информации необходимо обратить внимание, на соответствие каким документам проводились сертификационные испытания.

Что касаемо ФСТЭК России, то это может быть:

· руководящие документы Гостехкомиссии России по защите от несанкционированного доступа к информации (для АС, СВТ или МЭ),

· руководящий документ Гостехкомиссии России по контролю отсутствия недекларированных возможностей,

· техническое условие или формуляр,

· задание по безопасности (по требованиям ГОСТ ИСО/МЭК 15408-2002).

Необходимо отметить, что нормативные документы ФСТЭК на настоящее время не охватывают требования ко всем средствам технической защиты информации в области ПД. Рекомендации и требования предусмотрены для межсетевых экранов (МЭ) и систем обнаружения вторжений(IDS).

1. для ИСПД 1 класса - МЭ 3 класса, в IDS должны использоваться аномальные и сигнатурные методы обнаружения вторжений;

2. для ИСПД 2 класса - МЭ 4 класса, в IDS должны использоваться аномальные и сигнатурные методы обнаружения вторжений;

3. для ИСПД 3 класса - МЭ 5 класса, в IDS длжен использоваться сигнатурный метод обнаружения вторжений;

4. для ИСПД 4 класса - МЭ 5 класса, в IDS должен использоваться сигнатурный метод обнаружения вторжений.

Требования к средствам защиты ИСПД частично совпадают с требованиями к автоматизированным системам, которые были разработаны ранее в руководящих документах Гостехкомиссии России, в целях преемственности и совместимости.

Корреляция указанных требований отображена в таблице 1.

Таблица 10.1. Корреляция требований к средствам защиты в ИСПД с документами по АС

В случае если требования нормативных документов ФСТЭК в области защиты ПД и руководящих документов Гостехкомиссии не совпадают, первые должны быть описаны в техническом задании.

1.3 Требования законодательства к ИСПД

Оценка соответствия ИСПД по требованиям безопасности проводится:

· для ИСПД 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации;

· для ИСПД 3 класса - декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);

· для ИСПД 4 класса оценка соответствия проводится по решению оператора.

Аттестация ИСПД предназначена для официального подтверждения эффективности и достаточности мер по обеспечению безопасности ПД в данной ИСПД. Аттестация должна предшествовать началу обработки данных. Порядок проведения аттестации регламентирован "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 г.

Результатом аттестации является документ, называемый "Аттестат соответствия", который подтверждает, что ИСПД удовлетворяет требованиям стандартов и нормативно-технических документов по безопасности ПД ФСТЭК и Гостехкомиссии России.

Этапы аттестации включают в себя:

1. разработка программы и методики аттестационных испытаний.

· подачу и рассмотрение заявки на аттестацию;

· предварительное ознакомление с аттестуемым объектом;

· испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);

· разработка программы и методики аттестационных испытаний;

· заключение договоров на аттестацию;

· проведение аттестационных испытаний объекта информатизации;

· оформление, регистрация и выдача "Аттестата соответствия";

· осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;

· рассмотрение апелляций.

Испытания, в процессе которых производится оценка эффективности защищенности информации от несанкционированного доступа (c применением специализированного программного обеспечения). После окончания испытаний подготавливаются отчетные документы, на основании которых принимается решение об аттестации ИСПД.

Органы по аттестации объектов информатизации аккредитуются Гостехкомиссией России и получают от нее лицензию на право проведения аттестации объектов информатизации. Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры Гостехкомиссии России.

Аттестационные испытания предполагают проведение следующих проверок:

· проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПД;

· проверка ИСПД на соответствие организационно-техническим требованиям по защите информации;

· испытания ИСПД на соответствие требованиям по защите информации от несанкционированного доступа.

Результатом аттестации являются:

· Протокол аттестационных испытаний;

· Заключение по результатам аттестационных испытаний;

· Аттестат соответствия на ИСПД (выдается в случае положительного Заключения);

· Акт о переводе СЗПД в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПД).

Следует указать, что если заявитель пожелает только аттестовать ИСПД как объект информатизации, то пока действуют традиционные нормативные требования по аттестации объектов информатизации (СТР-К), в которых обрабатывается конфиденциальная информация.

1.4 Лицензирование деятельности по защите персональных данных

персональный безопасность роскомнадзор лицензирование

Для проведения деятельности по защите ПД операторы должны получить лицензию в соответствии с Постановлением правительства РФ "Об организации лицензирования отдельных видов деятельности" от 26.01.2006 г. Это требование касается обработки ПД в ИСПД 1, 2 класса и распределенных информационных систем 3 класса. Лицензирование деятельности по технической защите информации осуществляет ФСТЭК России. Порядок лицензирования деятельности определяется "Положением о лицензировании деятельности по технической защите конфиденциальной информации".

Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:

1. наличие в штате соискателя лицензии специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

2. наличие у соискателя лицензии помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

3. наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

4. использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

5. использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

6. наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю[35].

Для получения лицензии соискатель направляет в ФСТЭК следующие документы:

1. заявление на предоставление лицензии;

2. копии документов, подтверждающих квалификацию специалистов;

3. копии документов, подтверждающих право соискателя на помещения (например, свидетельство о собственности или договор аренды);

4. копии аттестатов соответствия защищаемых помещений требованиям безопасности;

5. копия технического паспорта АС;

6. копии документов, подтверждающих право использования программных средств;

7. сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования;

8. сведения о том, что соискатель имеет все нормативно- правовые акты, нормативно-методические и методические документы по вопросам технической защиты информации.

Лицензия выдается на 5 лет и по окончании срока действия может быть продлена.

2. Контроль в области защиты персональных данных

Роскомнадзор осуществляет проверку выполнения требований законодательства в области обеспечения безопасности персональных данных с целью защиты прав субъектов.

В соответствии с ФЗ "О персональных данных" Роскомнадзор имеет право:

1. запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2. осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3. требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4. принимать по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований ФЗ "О персональных данных";

5. обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6. направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7. направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8. вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9. привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

Контроль осуществляется с помощью плановых и внеплановых проверок и в строгом соответствии с установленным порядком проведения данных проверок. Проверки осуществляет Роскомнадзор или его территориальные органы.

Плановые проверки проводятся на основании ежегодного плана проведения проверок:

· в отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных;

· в отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.

Внеплановые проверки проводятся по следующим основаниям:

· истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.

· поступление в Роскомнадзор или его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:

1. возникновение угрозы причинения вреда жизни, здоровью граждан;

2. причинение вреда жизни, здоровью граждан;

3. нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных;

4. нарушение Операторами требований законодательства в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

Обращение гражданина РФ, не позволяющее установить его лицо, либо не содержащее сведения о фактах, указанных выше, не может являться основанием для внеплановой проверки.

О проведении внеплановой выездной проверки оператор уведомляется не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.

Если в результате деятельности оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление оператора о начале проведения внеплановой выездной проверки не требуется.

Срок проведения, как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней.

В исключительных случаях срок проведения проверки может быть продлен, но не более чем на 20 рабочих дней, в отношении малых предприятий и микропредприятий - на 15 часов.

В ходе проверки осуществляется следующее:

1. рассмотрение документов оператора, таких как уведомление об обработке, письменное согласие субъекта, локальных документов, регламентирующих порядок хранения и обработки ПД;

2. исследование ИСПД в части, касающейся субъектов ПД.

Основанием для приостановления проверки является:

· необходимость получения заключений экспертов по вопросам обработки персональных данных, связанным с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований;

· мотивированное решение руководителя контролирующего органа, принятое по причине изъятия документов, являющихся объектами контроля, проведенного ранее сотрудниками прокуратуры, правоохранительных органов, болезни должностных лиц, проводящих проверку. Оператору представляется копия приказа, в котором указываются причины приостановления проверки и период, на который данная проверка приостановлена.

Основанием для принятия решения об исключении Оператора из плана проведения плановых проверок является:

· ликвидация или реорганизация Оператора;

· прекращение Оператором деятельности по обработке персональных данных.

Проверка за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных завершается:

· составлением и вручением Оператору акта проверки;

· выдачей Оператору предписания об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных;

· составлением протокола об административном правонарушении в отношении Оператора;

· подготовкой и направлением материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

2.3 Проверки ФСБ

Проверка ФСБ проводится на основании распоряжения или приказа начальника 8 Центра ФСБ России либо лица его замещающего. Проверка осуществляется должностными лицами, указанными в данном приказе. В приказе указывается следующее:

1. наименование органа государственного контроля (надзора);

2. фамилии, имена, отчества, должности должностного лица или должностных лиц, уполномоченных на проведение проверки, а также привлекаемых к проведению проверки экспертов, представителей экспертных организаций;

3. наименование юридического лица или фамилия, имя, отчество индивидуального предпринимателя, проверка которых проводится;

4. цели, задачи и предмет проверки;

5. правовые основания проведения проверки;

6. перечень мероприятий по контролю (надзору), необходимых для достижения целей и задач проведения проверки;

7. даты начала и окончания проведения проверки[43].

Общий срок проверки не может превышать 20 рабочих дней, для малого предпринимательства - не более 50 часов, для микропредприятия - 15 часов.

При проведении проверки на ФСБ не вправе:

1. проверять выполнение требований, не относящихся к компетенции ФСБ России;

2. осуществлять плановую или внеплановую проверку в случае отсутствия при ее проведении руководителя или уполномоченного представителя юридического лица, индивидуального предпринимателя, его уполномоченного представителя;

3. требовать представления документов, информации, если они не являются объектами проверки и не относятся к предмету проверки, а также изымать оригиналы документов, относящихся к предмету проверки;

4. распространять информацию, составляющую охраняемую законом тайну и полученную в результате проведения проверок, за исключением случаев, предусмотренных законодательством Российской Федерации;

5. превышать установленные сроки проведения проверки;

6. осуществлять выдачу юридическим лицам, индивидуальным предпринимателям предписаний или предложений о проведении за их счет мероприятий по контролю.

Ниже приведен перечень проверяемых в рамках проверки требований:

1. Организация системы организационных мер защиты персональных данных:

o область применения средств криптографической защиты информации (далее - СКЗИ) в информационных системах персональных данных;

o наличие ведомственных документов и приказов по организации криптографической защиты информации;

o выполнение рекомендаций и указаний ФСБ России (при их наличии) по вопросам организации связи с использованием криптосредств.

2. Организация системы криптографических мер защиты информации:

o наличие модели угроз нарушителя;

o соответствие модели угроз исходным данным;

o соответствие требуемого уровня криптографической защиты полученной модели нарушителя;

o соответствие используемых СКЗИ полученному уровню криптографической защиты;

o наличие документов по поставке СКЗИ оператору.

3. Разрешительная и эксплуатационная документация:

o наличие необходимых лицензий для использования СКЗИ в информационных системах персональных данных;

o наличие сертификатов соответствия на используемые СКЗИ;

o наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководств оператора и т.п.);

o порядок учета СКЗИ, эксплуатационной и технической документации к ним;

o выявление несертифицированных ФСБ России (ФАПСИ) СКЗИ.

4. Требования к обслуживающему персоналу:

o порядок учета лиц, допущенных к работе с СКЗИ, предназначенными для обеспечения безопасности персональных данных в информационной системе;

o наличие функциональных обязанностей ответственных пользователей СКЗИ;

o укомплектованность штатных должностей личным составом, а также достаточность имеющегося личного состава для решения задач по организации криптографической защиты информации;

o организация процесса обучения лиц, использующих СКЗИ, применяемых в информационных системах, правилам работы с ними и другим нормативным документам по организации работ (связи) с использованием СКЗИ.

5. Эксплуатация СКЗИ:

o проверка правильности ввода СКЗИ в эксплуатацию и соответствие условий эксплуатации технических средств удостоверяющего центра (при наличии) требованиям эксплуатационной документации и сертификатов соответствия;

o оценка технического состояния СКЗИ, соблюдения сроков и полноты проведения технического обслуживания, а также проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним.

6. Оценка соответствия применяемых СКЗИ:

o соответствие программного обеспечения, реализующего криптографические алгоритмы используемых СКЗИ, эталонным версиям, проходивших сертификацию в ФСБ России;

o проведение (при необходимости) на местах осуществления проверки оперативных тематических исследований используемых СКЗИ.

7. Организационные меры:

o выполнения требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, а также соответствия режима хранения СКЗИ и ключевой документации предъявляемым требованиям;

o оценка степени обеспечения оператора криптоключами и организации их доставки.

o проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ.

o порядок проведения разбирательств и составления заключений по фактам нарушения условий хранения носителей персональных данных или использования СКЗИ.

По результатам проверки составляется акт проверки в двух экземплярах. В акте указываются результаты проверки, в том числе нарушения, если они есть.

2.4 Проверка ФСТЭК

ФСТЭК осуществляет плановые и внеплановые проверки лицензиатов (тех, кто имеет лицензии ФСТЭК). Плановая проверка в отношении одной организации может проводиться не чаще 1 раза в год. Предметом плановой проверки является соблюдение лицензиатом лицензионных требований и условий в процессе осуществления деятельности по технической защите конфиденциальной информации. Плановые проверки осуществляются согласно ежегодному плану.

Основанием для включения лицензиата в план является истечение трех лет со дня:

1. государственная регистрации;

2. последней плановой проверки.

Плановая проверка проводится в документарной или выездной форме. Порядок проведения проверок регламентируется Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

О проведении проверки лицензиата уведомляют не позднее, чем за 3 дня до проведения.

Основанием для проведения внеплановой проверки является:

1. истечение срока действия предписания об устранении нарушений;

2. поступление обращений и заявлений в ФСТЭК о фактах:

o возникновения угрозы причинения вреда безопасности государства;

o причинение вреда безопасности государства.

Если обращение или заявление не позволяет идентифицировать заявителя, а также не содержат фактов, перечисленных выше, оно не может быть основанием для внеплановой проверки.

В ходе документарной проверки проверяются сведения, содержащиеся в документах лицензиата, устанавливающих его организационно-правовую форму, права и обязанности, документы, используемые при осуществлении его деятельности и связанные с исполнением им лицензионных требований и условий, исполнением предписаний ФСТЭК России.

Документарная проверка (как плановая, так и внеплановая) проводится по месту нахождения ФСТЭК России (управления ФСТЭК России по федеральному округу).

Предметом выездной проверки являются содержащиеся в документах лицензиата сведения, а также соответствие лицензиата лицензионным требованиям и условиям.

Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения лицензиата -юридического лица, месту осуществления деятельности лицензиата - индивидуального предпринимателя и (или) месту фактического осуществления их деятельности[44].

Выездная проверка проводится в случае, если при документарной проверке не представляется возможным:

· удостовериться в полноте и достоверности сведений, содержащихся в имеющихся в распоряжении ФСТЭК России (управления ФСТЭК России по федеральному округу) документах лицензиата;

· оценить соответствие деятельности лицензиата лицензионным требованиям и условиям без проведения соответствующего мероприятия по контролю.

Срок проведения каждой из проверок не может превышать двадцать рабочих дней.

Проверка проводится на основании приказа ФСТЭК России.

При проведении проверки проверяющие не вправе:

1. требовать представления документов, информации, если они не являются объектами проверки или не относятся к предмету проверки, а также изымать оригиналы таких документов;

2. распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации;

3. превышать установленные сроки проведения проверки;

4. осуществлять выдачу юридическим лицам, индивидуальным предпринимателям предписаний или предложений о проведении за их счет мероприятий по контролю[44].

В результате проверки составляется акт в двух экземплярах. В случае выявления нарушений, проверяющие должны выдать предписание об их устранении и проконтролировать его выполнение.

Общая схема взаимодействия регуляторов и операторов персональных данных представлена на рисунке 1.

В случае выявления в ходе плановых и внеплановых проверок нарушений в области обеспечения безопасности персональных данных, предусмотрена гражданская, уголовная, административная, дисциплинарная ответственность, которая может применяться в отношении руководителя организации, подразделения или виновному в разглашении работнику. Наказанием за нарушение требований Федерального закона "О персональных данных" могут стать исправительные работы до 1 года или лишение свободы на срок до 2-х лет.

Размещено на Allbest.ru