X Международная студенческая научная конференция Студенческий научный форум - 2018
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОБРАБОТКЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
История развития законодательства о защите персональных данных в мире насчитывает не одно десятилетие. Основным международным документом является Конвенция "О защите физических лиц при автоматизированной обработке персональных данных" ETS-108 (Страсбург, 28 января 1981 г.), которая была принята государствами-членами Совета Европы с целью обеспечения на территории каждой из сторон договора уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой его персональных данных.
Российской Федерацией данная конвенция была ратифицирована только 19 декабря 2005 года Федеральным законом № 160-ФЗ. Именно с этого момента можно говорить о начале развития законодательства о защите персональных данных в РФ. Несмотря на принятие Федерального закона № 152-ФЗ в 2006 году, данный закон в полную силу вступил с 1 июля 2011 года.
В соответствии со ст. 3, п. 1 ФЗ-152 «персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
В соответствии с законом, в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилию, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных.
Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПД должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах персональных данных.
Развитие определенных мер защиты персональных данных вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать:
- идентификацию и аутентификацию субъектов доступа и объектов доступа. Меры должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности);
- управление доступом субъектов доступа к объектам доступа. Меры должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил;
- ограничение программной среды. Меры должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения;
- защиту машинных носителей информации. Меры должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных;
- регистрацию событий безопасности. Меры должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
- антивирусную защиту. Меры должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации;
- обнаружение (предотвращение) вторжений. Меры должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия;
- контроль (анализ) защищенности информации. Меры должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных;
- целостность информационной системы и информации. Меры должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
- доступность информации. Меры должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы;
- защиту среды виртуализации. Меры должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям;
- защиту технических средств. Меры должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей;
- защиту информационной системы, ее средств, систем связи и передачи данных. Меры должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В этом случае в информационных системах 1,2,3 и 4 класса защищенности применяются:
- средства вычислительной техники определенного класса защищенности;
- системы обнаружения вторжений и средства антивирусной защиты определенного класса;
- межсетевые экраны в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена.
На рис. 1 изображен образец технического комплекса защиты персональных данных при обработке в информационной системе.
Рис. 1 – Образец технического комплекса защиты персональных данных при обработке в информационной системе
Для соблюдения минимальных требований и недопущения серьезных претензий со стороны регуляторов (в первую очередь Роскомнадзора) может быть рекомендовано проведение следующего комплекса мероприятий:
1. Создать комиссию по проведению комплекса мероприятий по защите ПДн. Учитывая, что проведение данных работ включает широкий круг вопросов, в состав комиссии целесообразно привлечь лиц, обладающих знаниями в сфере защиты информации, в области юриспруденции, работника кадровой службы, бухгалтера, системного администратора.
2. Начать работу по проведению комплекса мер по защите ПДн следует с проведения категорирования обрабатываемых персональных данных. Проще говоря, задачей данного этапа работы является выявление всех данных персонального характера, обрабатываемых в организации. Также на данном этапе необходимо оценить наличие согласий субъектов ПДн на обработку данных, проанализировать требуется ли для нужд организации хранение всех сведений персонального характера, а также определить перечень ответственных лиц.
3. Определить характеристики ИСПДн. На данном этапе необходимо определить конфигурации и топологии ИСПДн, физические, функциональные и технологические связи как внутри системы, так и с другими системами различного уровня и назначения, определить технические и программные средства, используемые в ИСПДн.
4. Определить перечень угроз в части соблюдения безопасности информации, их актуальность (рекомендуется с привлечением экспертов по информационной безопасности), разработать модель угроз и определить класс ИСПДн.
5. Подготовить и направить уведомление в Роскомнадзор с целью включения в реестр операторов.
6. Разработать порядок работы с ПДн. В случае необходимости разработать и провести комплекс дополнительных мероприятий по защите ПДн, в том числе по технической защите ПДн (приобрести и настроить необходимые технические средства и программное обеспечение). Разработанный порядок должен обеспечивать своевременное предоставление информации в случае получения запросов из Роскомнадзора (7 раб. дней) или непосредственно от физических лиц - субъектов ПДн (10 раб. дней).
7. Подготовить и утвердить комплект организационно-распорядительной документации.
В наличии должны быть:
- приказ о назначении ответственного должностного лица/подразделения;
- положение о защите ПДн;
- приказы о допуске, перечень допущенных сотрудников;
- журналы учета носителей информации.
8. Довести до сотрудников порядок работы со сведениями о персональных данных, в том числе обучение сотрудников.
9. Планирование и проведение контрольных мероприятий по защите ПДн.
Таким образом, рассмотрев способы и средства защиты персональных данных в информационных системах можно сделать следующие выводы:
- личная тайна работника или любого другого человека охраняется законом на самом высшем уровне. На очень многих организациях нет конкретных правил хранения персональных данных, необходимо выделить, что существуют законы, в которых предусмотрены наказания за нарушения в вопросах охраны персональных данных работника. Но все-таки в этих законах прописаны санкции, которые восстанавливают справедливость, но не снижают количество правонарушений.
Большое значение имеет то, как руководитель каждого предприятия относится к правам своих работников. Так как только администрация предприятия или организации может и должна контролировать соблюдение порядка по хранению и защите персональных данных своих работников.
Список источников и литературы:
Баймакова И.А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных. Методическое пособие / И.А. Баймакова. – М.: 1С-Паблишинг, 2010. – 214 с.
Воронова Л.И., Воронов В.И.. Machine Learning: Регрессионные методы интеллектуального анализа данных: учебное пособие – МТУСИ, 2017 – 81 с.
ГОСТ Р 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения [Электронный ресурс]. http://docs.cntd.ru/document/1200108858
Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ [Электронный ресурс]. http://base.garant.ru/12148567/
Чипига, А.Ф. Информационная безопасность автоматизированных систем: учеб. пособие для студентов вузов, обучающихся по специальностям в области информационной безопасности [Текст]/ А.Ф. Чипига. – М.: Гелиос АРМ, 2010. – 336 с.