Măsuri de protecție pentru a asigura securitatea datelor cu caracter personal. Sistem local de securitate a informațiilor NSD

Serviciile locative și comunale, asociațiile de proprietari și alte companii sunt obligate să protejeze informațiile colectate împotriva modificării și dezvăluirii. Conformitatea cu cerințele de reglementare este monitorizată de Roskomnadzor - Serviciul Federal de Supraveghere a Comunicațiilor, Tehnologiilor Informaționale și comunicatii de masa, ținerea registrului operatorilor de date cu caracter personal. Reglementările FSTEC și FSB impun operatorilor să construiască un sistem de securitate modern folosind soluții antivirus, firewall-uri, sisteme de prevenire a intruziunilor, managementul identității utilizatorilor și controlul accesului, criptare, protecție împotriva scurgerilor, sisteme de management al evenimentelor de securitate și alte mecanisme de protecție enumerate în documentul de orientare FSTEC „Cu privire la aprobarea componenței și conținutului măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal atunci când sunt prelucrate în sisteme de informare date cu caracter personal" din 18 februarie 2013 N 21. Întreprinderile de locuințe și servicii comunale utilizează sisteme informaționale pentru a lucra cu populația, întreprinderile, diverse instituții și servicii. Contabilitatea, managementul și contabilitatea fiscală se mențin, ca și în alte întreprinderi; sunt practic nu diferă de sarcinile similare din alte tipuri de întreprinderi.

Analizând construcția bazelor de date utilizate pentru stocarea și prelucrarea informațiilor în sistemele de locuințe și servicii comunale, se evidențiază două puncte: baza construcției și amplasarea teritorială. Cea mai veche și cea mai utilizată bază de date de date sunt fișierele dbf. Dar pentru complexul de azi sisteme automatizate nu sunt potrivite din două motive principale: numărul limitat de înregistrări dintr-un tabel și lipsa de fiabilitate.

Bazele de date moderne sunt construite pe baza unui client - tehnologii de server. Exista diverse sisteme managementul bazei de date, care are propriile avantaje și dezavantaje. Fiecare dintre ele este utilizat în cel puțin un sistem conceput pentru a automatiza locuințele și serviciile comunale. Cel mai comun este MS SQL 2000. Deoarece este proiectat pentru popularul sistem de operare al computerelor personale - Windows. Următorul ca popularitate este Interbase. Există, de asemenea, implementări ale bazei de date pentru locuințe și servicii comunale care rulează Oracle, unul dintre cele mai dezvoltate, dar costisitoare și greoaie sisteme de gestionare a bazelor de date.

De asemenea, trebuie remarcat faptul că există o tendință în rândul vânzătorilor de sisteme de gestionare a bazelor de date de a-și distribui produse software- oferta versiuni gratuite cu anumite restricții, care nu includ utilizatorii mari și nu bogați, care includ birouri de locuințe și puncte de acceptare a plăților. Exemple de astfel de sisteme sunt MSDE 2000, MSDE 2005 de la Microsoft.

Cea mai simplă topologie a bazei de date este locația tuturor informațiilor pe un singur server. Clienții se conectează prin linii la distanțăși să-și rezolve problemele actuale.

O altă opțiune de implementare este bază distribuită date despre toți sau parțial participanții la locuințe și servicii comunale. Dezavantajul este nevoia de sincronizare a datelor.

Sincronizarea datelor este în curs căi diferite. Cel mai frecvent este exportul/importul. Datele de pe mediile de stocare sau prin e-mail se deplasează între participanții din sectorul locuințelor și serviciilor comunale. Factorul uman are un impact semnificativ asupra performanței sistemului - totul trebuie făcut la timp și foarte atent.

Al doilea nivel de sincronizare este schimbul de date între modulele de sistem prin comunicarea cu servere la distanță. Acest schimb este apelat fie prin comanda utilizatorului, fie printr-un program specificat. Constă în faptul că unele proceduri pe una dintre servere legate„citește pentru sine” sau „îi scrie” datele necesare pentru sincronizare.

Și, în sfârșit, cel mai înalt nivel este sincronizarea bazei de date prin replicare. Aceste instrumente vă permit să schimbați datele atât pe o parte a liniei de comunicație, cât și pe cealaltă. Conform unui program dat sau la comanda utilizatorului, serverele se conectează și sincronizează bazele de date.

Protecția datelor cu caracter personal poate fi asigurată doar într-un sistem informațional în care un atacator nu poate interfera cu funcționarea acestuia. elemente de baza- dispozitive de rețea, sisteme de operare, aplicații și DBMS.

Principalele amenințări la adresa securității datelor cu caracter personal, și anume distrugerea, modificarea, blocarea, copierea, distribuirea datelor cu caracter personal, precum și alte acțiuni neautorizate în timpul prelucrării acestora în sistemul informatic. Scurgerea de informații se poate datora virușilor, programelor malware, atacuri de rețea. Pentru protecție, se folosesc antivirusuri, firewall-uri și sisteme de prevenire a intruziunilor (IPS) (acestea servesc la identificarea semnelor unui atac în traficul care trece și blocarea celui mai popular atac detectat. Spre deosebire de antivirusurile gateway, IPS analizează nu numai conținutul pachetelor IP, dar și protocoalele utilizate și corectitudinea utilizării lor.), scanere de vulnerabilități (Verifică sistemul informațional pentru prezența diferitelor „lacune” în sistemele de operare și software. De regulă, acestea sunt programe individuale sau dispozitive care testează sistemul prin trimitere Cerințe Speciale simulând un atac asupra unui protocol sau aplicaţie.). Setul de instrumente pentru protejarea datelor confidențiale împotriva scurgerilor este format din trei produse: un sistem de control pentru dispozitivele periferice, un sistem de protecție împotriva scurgerilor (Data Leak Prevention, DLP) și instrumente de criptare pentru siguranta deplina are sens să combinați toate cele trei tipuri de produse. Cu ajutorul acestor instrumente, serviciile de locuințe și comunale și alte companii de management pot îndeplini cerințele FSTEC pentru protecția datelor cu caracter personal.

Control asupra dispozitivelor. Scurgerea datelor are loc adesea prin medii de stocare amovibile și canale neautorizate comunicații: memorie flash, unități USB, Bluetooth sau Wi-Fi, astfel încât monitorizarea utilizării porturilor USB și a altor echipamente periferice este, de asemenea, o modalitate de a controla scurgerile.

DLP. Sistemele de protecție împotriva scurgerilor fac posibilă, folosind algoritmi speciali, izolarea datelor confidențiale din fluxul de date și blocarea transmiterii neautorizate a acestuia. Sistemele DLP oferă mecanisme pentru controlul diferitelor canale de transmitere a informațiilor: e-mail, mesaje instantanee, e-mail web, imprimare pe o imprimantă, salvare în Disk detașabil etc. Mai mult decât atât, modulele DLP blochează scurgerea doar a datelor confidențiale, deoarece au mecanisme încorporate pentru a determina cât de secretă este cutare sau cutare informație.

Criptare. Protejarea datelor de scurgeri într-un fel sau altul folosește mecanisme de criptare, iar această industrie a fost întotdeauna controlată de FSB, iar toate cerințele pentru certificarea sistemelor de criptare sunt publicate și verificate de această agenție. Trebuie remarcat faptul că este necesar să se cripteze nu numai bazele de date cu caracter personal în sine, ci și transmisia acestora prin rețea, precum și copii de rezervă baze de date. Criptarea este, de asemenea, utilizată la transmiterea datelor personale printr-o rețea într-un sistem distribuit. În acest scop, puteți utiliza produse de clasă VPN oferite de diverși dezvoltatori, care, de regulă, se bazează pe criptare, dar astfel de sisteme trebuie să fie certificate și strâns integrate cu bazele de date în care sunt stocate datele personale.

De remarcat că statutul FSTEC face distincție între baze de date mici, mijlocii și distribuite, cerințele de protecție pentru care variază foarte mult. Astfel, pentru a proteja bazele de date distribuite, de regulă, aveți nevoie instrumente suplimentare protecție, ceea ce este de înțeles - o bază de date distribuită trebuie să aibă canale de comunicare între părțile sale, care trebuie de asemenea protejate

În sistemul informațional de locuințe și servicii comunale, principala problemă a managerului este organizarea corectă a accesului angajaților la diverse resurse - de la setări corecte Drepturile de acces afectează adesea siguranța datelor confidențiale, așa că un sistem de gestionare a drepturilor de acces ar trebui inclus în sistemul de securitate al unui sistem informațional mare. Sistemul blochează încercările de modificare a drepturilor de acces fără permisiunea operatorului de securitate, care oferă protecție față de operatorii locali.

Un sistem de securitate mare poate genera multe mesaje despre atacuri potențiale care sunt numai potențial capabile să conducă la implementarea unei anumite amenințări. Adesea, aceste mesaje sunt doar avertismente, dar operatorii de securitate ai unui sistem mare trebuie să aibă un instrument care să le permită să ajungă la fundul a ceea ce se întâmplă. Un astfel de instrument de analiză poate fi un sistem de corelare a evenimentelor, care vă permite să legați mai multe mesaje de la dispozitivele de protecție într-un singur lanț de evenimente și să evaluați cuprinzător pericolul întregului lanț. Acest lucru ajută la atragerea atenției operatorilor de securitate asupra celor mai periculoase evenimente.

Sistemele de management centralizat pentru mecanismele de securitate vă permit să controlați pe deplin toate evenimentele legate de securitatea sistemului informațional. Produsele de la acest nivel pot detecta, gestiona și raporta mecanismele de securitate instalate într-o întreprindere. Aceste produse pot automatiza cel mai mult soluția probleme simple sau ajutați administratorii să înțeleagă rapid atacurile complexe.

Toate cele trei produse de mai sus nu sunt obligatorii pentru protejarea sistemelor informatice mari, dar vă permit să automatizați majoritatea sarcinilor efectuate de operatorii de securitate și să minimizați numărul de angajați necesari pentru protejarea unui sistem mare, cum ar fi o locuință și informații despre servicii comunale. sistem.

Responsabilitatea pentru încălcarea cerințelor privind protecția datelor cu caracter personal

Persoanele vinovate de încălcarea cerințelor Legii cu privire la datele cu caracter personal poartă răspunderea prevăzută de legislația Federației Ruse (de exemplu, civilă, penală, administrativă, disciplinară). Acest lucru este indicat de paragraful 1 al articolului 24 din Legea cu privire la datele cu caracter personal.

În prezent, răspunderea administrativă a operatorilor (cu excepția persoanelor pentru care prelucrarea datelor cu caracter personal este o activitate profesională și face obiectul licenței) este prevăzută pentru:

· pentru refuzul ilegal de a furniza informații unui cetățean și (sau) organizație, a căror furnizare este prevăzută de legile federale, furnizarea în timp util a acestora sau furnizarea de informații false cu bună știință (articolul 5.39 din Codul de infracțiuni administrative al Rusiei Federaţie). O excepție de la această regulă sunt cazurile prevăzute la articolul 7.23.1 din Codul contravențiilor administrative al Federației Ruse;

· pentru încălcarea cerințelor legale privind dezvăluirea informațiilor de către organizațiile care operează în domeniul gestionării blocurilor de locuințe (articolul 7.23.1 din Codul de infracțiuni administrative al Federației Ruse);

· pentru încălcarea procedurii stabilite de lege pentru colectarea, stocarea, utilizarea sau distribuirea datelor cu caracter personal (articolul 13.11 din Codul contravențiilor administrative al Federației Ruse);

· pentru dezvăluirea de informații, accesul la care este limitat de legea federală (cu excepția cazurilor în care divulgarea lor implică răspundere penală), de către o persoană care a obținut acces la acestea în legătură cu îndeplinirea îndatoririlor oficiale sau profesionale (articolul 13.14 din Codul contravențiilor administrative al Federației Ruse).

Infracțiunile care implică răspundere penală sunt:

· colectarea sau distribuirea ilegală de informații despre intimitate al unei persoane care constituie secretul său personal sau de familie, fără consimțământul său, sau diseminarea acestor informații într-un discurs public, lucrări sau mijloace afișate public mass media(Articolul 137 din Codul Penal al Federației Ruse);

· refuzul ilegal oficialîn furnizarea de documente și materiale colectate în modul prescris care afectează în mod direct drepturile și libertățile unui cetățean, sau furnizarea unui cetățean de informații incomplete sau cu bună știință false, dacă aceste acțiuni au adus prejudicii drepturilor și intereselor legitime ale cetățenilor (articolul 140 din Codul penal; Codul Federației Ruse);

· acces ilegal la protejate legal informatii de calculator dacă această faptă a presupus distrugerea, blocarea, modificarea sau copierea unor informații (art. 272 ​​din Codul penal)

După publicarea Decretului Guvernului Federației Ruse nr. 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal” din 17 noiembrie 2007 și un ordin comun Serviciul federal pentru controlul tehnic și al exporturilor, FSB al Federației Ruse și Ministerul Tehnologiilor Informaționale și Comunicațiilor din Federația Rusă din 13 februarie 2008 Nr. 55/86/20 „Cu privire la aprobarea procedurii de clasificare a sistemelor informatice de date cu caracter personal” (denumită în continuare „Procedura...”) înainte ca sistemele informatice ale serviciilor de dezvoltare și operare (SI) să prelucreze date cu caracter personal, au apărut două întrebări aproape asemănătoare Hamletului:

• cum se clasifică IP destinată protejării datelor cu caracter personal;
• cum să alegeți instrumentele de securitate a informațiilor pentru a proteja datele personale în aceste sisteme.

„Procedura...” prevede că „clasificarea sistemelor informaționale se realizează de către organele de stat, organele municipale, persoanele juridice și persoanele fizice care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determinarea scopurilor și conținutului a prelucrării datelor cu caracter personal.” Aceasta înseamnă că datele personale (PD) îl clasifică proprietar, care reprezintă un ajutor serios pentru alegerea obiectivă a metodelor și mijloacelor de protejare a datelor cu caracter personal și creează o bază obiectivă pentru dialogul cu autoritățile de control cu ​​privire la caracterul adecvat al măsurilor luate de organizație pentru protejarea datelor cu caracter personal.

La clasificarea IP destinată prelucrării datelor cu caracter personal se iau în considerare următoarele date inițiale: ·

• categorie datele cu caracter personal prelucrate în sistemul informatic; ·
• volum PD prelucrat (numărul de subiecți ale căror date cu caracter personal sunt prelucrate în IS); ·
• caracteristicile de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de proprietarul sistemului informatic; ·
• structura sistemului informatic; ·
• Disponibilitatea conexiunilor IS la rețelele de comunicații uz comunși (sau) rețele internaționale schimb de informatii; ·
• modul de procesare PD; ·
• modul de delimitare a drepturilor de acces ale utilizatorilor sistemului informatic; ·
• amplasarea sistemelor informatice tehnice.

În primul rând, să definim ce reprezintă datele personale. Acestea sunt informații de natură diferită despre anumite persoane. Rețineți că vorbim doar despre informații în formular electronic, introduse, stocate, prelucrate și transmise în sistemul informațional. Aceste informații sunt împărțite în patru categorii principale: ·

• categoria 1 - PD referitoare la rasă, naționalitate, opinii politice, convingeri religioase și filozofice, stare de sănătate, viață intimă; ·
• categoria 2 - PD care vă permite să identificați subiectul datelor cu caracter personal și să obțineți informații suplimentare despre acesta, cu excepția datelor cu caracter personal aferente categoriei 1; ·
• categoria 3 - date cu caracter personal care permit identificarea subiectului datelor cu caracter personal; ·
• categoria 4 - PD anonimizat și (sau) disponibil publicului.

De exemplu, un nume de familie separat este datele din a 4-a categorie, o combinație de nume și adresă este a treia, numele de familie, adresa, numerele de asigurare și cardul sunt a doua, iar dacă la aceste date se adaugă o fișă medicală electronică, atunci rezultatul datele personale aparțin exclusiv primei categorii.

Pe baza acestei clasificări, se poate afirma că orice date medicale, precum și fișele de personal care conțin coloana „naționalitate” (și acestea sunt aproape toate chestionarele și fișele personale existente pentru evidența personalului utilizate în prezent), trebuie încadrate în prima categorie. . De asemenea, este clar că bucățile de date cu caracter personal au aproape întotdeauna o categorie mai mică decât totalitatea lor. Chiar și informații detaliate despre starea de sănătate a unui individ pot fi lipsite de sens dacă numele său de familie sau alte date care leagă în mod clar aceste informații de pacient sunt necunoscute.

Volumul PD procesat poate lua următoarele valori: ·

1. - sistemul informatic prelucrează simultan date cu caracter personal ale a peste 100.000 de entități sau date cu caracter personal ale entităților din regiunea Federației Ruse sau a Federației Ruse în ansamblu; ·
2. - sistemul informațional prelucrează simultan date cu caracter personal de la 1.000 până la 100.000 de subiecți sau date personale ale subiecților care lucrează în sectorul economic al Federației Ruse, într-un organism guvernamental, care locuiește într-o municipalitate; ·
3. - sistemul informatic prelucrează simultan date a mai puțin de 1000 de subiecți sau date cu caracter personal ale subiecților unei anumite organizații.

În funcție de caracteristicile de securitate ale datelor cu caracter personal prelucrate în sistemul informațional, sistemele informatice se împart în standard și speciale. Primele sunt sistemele informatice care necesită doar suport intimitate date personale.

Caracteristica „confidențialitate” înseamnă că numai persoana căreia îi este destinat poate gestiona (introduce, stoca, procesează și transferă) PD în formă electronică. Pentru a asigura confidențialitatea la transmiterea datelor personale prin rețele, inclusiv prin Internet, este necesar să se utilizeze criptarea datelor.

Sistemele informaționale speciale sunt acele sisteme informatice în care, indiferent de necesitatea asigurării confidențialității datelor cu caracter personal, se cere să se asigure cel puțin una dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (de exemplu, integritatea sau disponibilitatea). Caracteristica „integritate” înseamnă că datele cu caracter personal ar trebui modificate doar într-un mod reglementat, de exemplu, doar un medic autorizat poate face modificări la dosarul electronic de fișă medicală, iar în orice alte cazuri informațiile din fișa medicală nu trebuie modificate . Atunci când este transmis prin rețele, integritatea este asigurată prin utilizarea unei semnături digitale electronice.

Caracteristica „disponibilitate” înseamnă că lucrul cu PD trebuie furnizat pentru o anumită cantitate de date și utilizatori în conformitate cu reglementările de timp stabilite. Cu alte cuvinte, „disponibilitatea” este o altă formulare a fiabilității sistemului. Rețineți, de asemenea, că vorbirea despre accesibilitate în rețelele deschise este aproape inutilă - nici un singur furnizor nu va oferi acces garantat la date sau transmiterea lor neîntreruptă.

Sistemele informatice speciale includ: ·

• IP în care sunt prelucrate datele personale referitoare la starea de sănătate a subiecților; ·
• IP care prevede adoptarea, bazată exclusiv pe prelucrarea automată a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în raport cu subiectul sau îi afectează în alt mod drepturile și interesele legitime.

După structura lor, sistemele informatice de prelucrare a datelor cu caracter personal se împart în: ·

• către autonome (neconectate la alte IS) destinate prelucrării datelor cu caracter personal (stații de lucru automate); ·
• la complexe de stații de lucru automatizate unite într-un singur IS prin intermediul comunicațiilor fără utilizarea tehnologiei acces de la distanță(sisteme informaționale locale); ·
• la complexe de stații de lucru automatizate și (sau) sisteme informaționale locale, integrate într-un singur sistem informațional prin mijloace de comunicare folosind tehnologia de acces la distanță (sisteme de informații distribuite).

Pe baza prezenței conexiunilor la rețelele publice de comunicații și (sau) schimbului internațional de informații, sistemele de informații sunt împărțite în sisteme care au conexiuni și cele care nu au conexiuni.

Pe baza faptului că este obligatorie asigurarea confidențialității datelor, putem identifica elementele necesare ale sistemului informațional pentru prelucrarea datelor cu caracter personal.

În primul rând, sistemul informațional trebuie să identifice utilizatorii și să poată stabili autorități individuale pentru accesul utilizatorilor la datele personale, adică să aibă sisteme de identificare, autentificare și control al accesului.

În al doilea rând, este necesar să se asigure protecția datelor cu caracter personal care pot fi înstrăinate din sistem. De exemplu, transferul de informații către suporturi amovibile. Este foarte probabil ca în unele cazuri să fie necesar să se țină cont de posibilitatea de furt și pierdere (pierdere) echipamente informatice cu date personale. În acest caz, criptarea PD stocată pe mediile computerizate este, de asemenea, obligatorie.

Dacă sistemul are conexiuni la rețele deschise sau implică schimb de date, este obligatorie utilizarea criptării datelor și a semnăturii digitale electronice, precum și asigurarea protecției împotriva atacurilor de la rețele externe, inclusiv protecție antivirus.

Pentru criptare și semnături electronice se folosesc chei și certificate, care sunt generate de utilizatori înșiși și înregistrate în așa-numitele autorități de certificare.

Un punct foarte important este înregistrarea acțiunilor cu PD, care, pe de o parte, face posibilă identificarea celor responsabili pentru scurgerea acestora și, pe de altă parte, creează o motivație psihologică pentru a lucra corect cu aceștia.

Sistemului informatic de prelucrare a datelor cu caracter personal i se poate atribui una dintre următoarele clase: ·

• clasa 1 (K1) - IP pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal; ·
• clasa 2 (K2) - IP pentru care o încălcare a caracteristicilor de securitate specificate ale PD prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal; ·
• clasa 3 (K3) - IP pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal; ·
• clasa 4 (K4) - IP pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal.

tabelul 1

În primul rând, din „Ordinea...” urmează existența categorii date personale. Este logic de implementat agregare baza de date din IS care conține PD în părți care nu se suprapun și care conțin date de diferite categorii. De asemenea, IS-ul pentru procesarea PD trebuie să fie împărțit în contururi, care conțin date dintr-o singură categorie. Acest lucru este foarte posibil, deoarece persoanele sunt identificate în mod unic printr-un număr de pașaport sau TIN sau un număr de poliță de asigurări de sănătate, ceea ce permite ca bazele de date medicale și alte matrice să fie indexate fără ambiguitate. Astfel, este necesar să se respecte principiul că în fiecare circuit IS pentru prelucrarea datelor cu caracter personal este necesar să se utilizeze produse certificate dintr-o clasă, iar contururile ar trebui să fie izolat unul de altul.

Se poate afirma că majoritatea sistemelor informatice de prelucrare a datelor cu caracter personal (în special în scopuri medicale) o vor face special, adică trebuie să asigure nu numai confidențialitatea, ci și integritate obligatorii și alte caracteristici de siguranță și fiabilitate.

Când distribuite IP pentru prelucrarea datelor cu caracter personal, chiar dacă este necesar să se asigure numai intimitateîn conformitate cu „Procedura...” este obligatoriu să protecția datelor cu caracter personal transmise și stocate. Acest lucru respectă pe deplin cerințele actuale ale FSB al Federației Ruse pentru sistemele informatice automatizate destinate să protejeze informații confidențiale, care nu constituie secret de stat, și anume prevederea că „toate informațiile confidențiale transmise prin canalele de comunicare trebuie protejate; informațiile transmise prin canalele de comunicare trebuie să fie criptate folosind mijloace protecţie criptografică(CIPF) sau canale de comunicații securizate trebuie utilizate pentru transmiterea acesteia. Informațiile înregistrate pe medii înstrăinate trebuie protejate.”

Ultima cerință este cu siguranță aplicabilă pentru sistemele de informare cu date cu caracter personal izolate care nu au canale de transmitere a datelor cu caracter personal, adică pentru stațiile de lucru individuale care prelucrează date cu caracter personal.

Aceasta înseamnă că, pentru a prelucra datele cu caracter personal, sistemele de informații trebuie să fie certificate la o clasă nu mai mică de AK2 în clasificarea FSB al Federației Ruse. De exemplu, Windows XP protejat cu pachetul de actualizare Secure Pack Rus corespunde acestei clase. Mijloacele de securitate trebuie să includă mijloace de protecție a informațiilor criptografice (CIPF) de clasă nu mai mică de KS2.

Pe baza acestui fapt, pentru orice sistem informatic de procesare a DP categorii de PD mai mari decât a 4-a (care va include cu siguranță toate sistemele de procesare a DP medicale), va fi necesar să se efectueze toate cerințele clasei AK2în clasificarea FSB al Federației Ruse.

Din arhitectura PD IS, cu un număr suficient de mare de PD-uri procesate (indicatorul 1 sau 2), se va remarca clar o componentă de server, care va necesita și protecție. În acest caz, toate informațiile confidențiale stocate pe medii magnetice stații de lucru și servere, care îndeplinește cerințele clasei AK3.

Astfel, putem propune o strategie complet justificată de protecție a datelor cu caracter personal, care constă în următoarele: Tabel. 1 se completează după cum urmează (a se vedea tabelul 2).

masa 2

Notă. „-” înseamnă că nu există cerințe.

Astfel, pentru a proteja datele cu caracter personal din prima categorie, care includ toate datele medicale, este necesar să se utilizeze mijloace de protecție de clase nu mai mici decât AK3 și mijloace de protecție criptografică de clase nu mai mici de KS3.

Pentru dotarea practică a IP cu mijloace de securitate, vă putem recomanda produse special adaptate pentru protecția datelor cu caracter personal și care dispun de avizele necesare (certificate și concluzii). Acesta este în primul rând Secure Pack Rus și instrumente de protecție criptografică din familia CryptoPro.

Să încercăm acum să estimăm costurile de echipare a unui loc de muncă pentru procesarea PD. Fără reduceri, prețul pachetului Secure Pack Rus este de aproximativ 2.000 de ruble, în timp ce instrumentele de protecție criptografică ale familiei CryptoPro sunt deja incluse în acest pachet. În plus, pentru a proteja informațiile personale stocate pe computer, este recomandabil să achiziționați unul dintre pachetele de protecție a datelor CryptoPro EFS, Secure Pack Explorer sau Crypto Explorer. Prețul fiecăruia dintre aceste produse variază de la 600 la 1000 de ruble. În total, protejarea unui loc de muncă fără a lua în considerare instalarea și configurarea va costa aproximativ 3.000 de ruble, iar instalarea și adaptarea programelor vor adăuga în mod tradițional 10-15% la cost.

În mod convențional, putem distinge „zece pași mistici pe calea” către un sistem securizat de prelucrare a datelor cu caracter personal.

1. Determinați acele elemente ale IP-ului dvs. care trebuie protejate mai întâi. Mai întâi, aflați exact ce date personale trebuie protejate și unde se află în prezent în sistemul dvs. Apoi verificați dacă locul de muncă al fiecărui angajat are cu adevărat nevoie de protecție a datelor. Poate că ar fi mai ușor să aloci computere separate pentru a lucra cu informații personale care trebuie protejate în mod deosebit de fiabil? Amintiți-vă că un computer conectat la Internet nu este cel mai bun loc pentru a stoca date personale!
2. Evaluați starea actuală a securității informațiilor. Cât de satisfăcător este? Dacă este posibil, efectuați un audit extern de securitate al sistemului dvs. Clasificați-vă IP-ul conform instrucțiunilor de mai sus. Comparați constatările dvs. cu cele ale auditului extern.
3. Determinați cine este în prezent responsabil pentru asigurarea protecției IP. Este posibil să restrângem cercul persoanelor de care depinde fiabilitatea acestei protecții? În același timp, rețineți - siguranța nu poate depinde de o singură persoană! Asigurați-vă că numiți auditori, de exemplu, medicul șef poate supraveghea activitatea specialiștilor în completarea și mutarea PD.
4. Fiți critic cu cerințele specialiștilor dacă insistă să instaleze hardware de securitate. De asemenea, vă rugăm să rețineți că utilizarea instrumentelor criptografice este o muncă destul de serioasă. Este important să înțelegeți: întreținerea instrumentelor de criptare și utilizarea unei semnături digitale vor interfera cu activitatea de bază a companiei dvs.? Vă rugăm să rețineți că nu orice angajat poate sau ar trebui să cripteze datele.
5. Pune în ordine securitatea clinicii tale. Stabiliți un regim care să asigure nivelul necesar de securitate a informațiilor, dar nu mergeți prea departe. De exemplu, oamenii nu ar trebui să fie privați de capacitatea de a folosi telefoanele mobile. De asemenea, este nepotrivit să interziceți angajaților să acceseze e-mailul și internetul în scopuri personale. În același timp, este destul de recomandabil să reglementați procedura de aducere a suporturilor flash și propriilor laptopuri pe teritoriul companiei sau să utilizați funcția disponibilă în Secure Pack Rus pentru a dezactiva unitățile USB neautorizate pentru utilizare de către administrator.
6. Solicitați specialiștilor IT să întocmească un plan de lucru clar pentru crearea și configurarea unui sistem de securitate. Cereți să justificați necesitatea achizițiilor fonduri suplimentare asigurarea securitatii. Insistați asupra garanțiilor că ajustările de securitate nu vor afecta funcționarea de bază a sistemului.
7. Monitorizează implementarea planului de creare a unui sistem de securitate.
8. Ascultați opiniile medicilor și angajaților - interferează măsurile de siguranță cu munca și activitățile lor de bază?
9. Menține și verifică starea securității PD și, de asemenea, întărește loialitatea angajaților de securitate.
10. Fii calm cu privire la inovațiile din domeniul securității - conservatorismul sănătos te va economisi bani.

Adoptată la 27 iulie 2006 Legea federală nr. 152-FZ „Cu privire la datele cu caracter personal” să asigure protecția drepturilor și libertăților omului și cetățeanului atunci când prelucrează datele sale cu caracter personal, inclusiv protecția drepturilor la viață privată, a secretelor personale și de familie. Unul dintre motivele pentru adoptarea acestei legi a fost numeroasele cazuri de furt de baze de date cu caracter personal în structuri guvernamentale și comerciale și vânzarea lor pe scară largă.

Ce înseamnă termenul „date cu caracter personal”?

Definiția datelor cu caracter personal (PD) a fost găsită și înainte de adoptarea legii, de exemplu, în „Lista informațiilor confidențiale” aprobată. Decretul președintelui Federației Ruse nr. 188 din 6 martie 1997:

Informațiile confidențiale includ: informații despre faptele, evenimentele și circumstanțele vieții private a unui cetățean, care să permită identificarea identității acestuia (date cu caracter personal), cu excepția informațiilor care sunt supuse difuzării în mass-media în cazurile stabilite de legile federale.

Cu toate acestea, legea a completat-o. Acum, conform FZ-152, date personale - orice informație referitoare la o persoană identificată sau determinată pe baza unor astfel de informații (subiectul datelor cu caracter personal), inclusiv numele de familie, prenumele, patronimul, anul, luna, data și locul nașterii, adresa, familia, social, poziție de proprietate, educație, profesie, venituri, alte informații.

Astfel, datele personale sunt, în primul rând, date de pașapoarte, informații despre starea civilă, informatii despre studii, TIN, certificat de asigurare de asigurare de pensie de stat, asigurari medicale, informatii despre activitatea de munca, stare sociala si patrimoniala, informatii despre venituri. Aproape fiecare organizație are astfel de date.

Atunci când aplică pentru un loc de muncă, acestea sunt date de la departamentul de resurse umane al angajatorului, pe care angajatul le indică în cardul personal, autobiografie și alte documente completate la încheierea unui contract de muncă.

Când intră un copil grădiniţă, scoala, facultate, altele institutii de invatamant De asemenea, sunt completate multe chestionare și formulare, care indică atât datele copilului (de exemplu, datele certificatului de naștere), cât și ale părinților acestuia (până la locul de muncă, postul ocupat).

În timpul tratamentului în institutii medicale Este necesar să se indice nu numai datele din pașaport, ci și informații despre beneficii, asigurări medicale, informații despre tratamentele anterioare și rezultatele testelor. În multe instituții medicale, înregistrările ambulatoriului/pacientului internat sunt duplicate în format electronic.

Și toate aceste date, conform legislației în vigoare, sunt supuse protecției.

De unde să începem protecția și este necesar?

Confidențialitatea datelor cu caracter personal este o cerință obligatorie pentru operatorul sau altă persoană care are acces la datele cu caracter personal să nu permită distribuirea acestora fără acordul subiectului datelor cu caracter personal sau prezența unui alt temei legal ( FZ-152).

operator - agenție guvernamentală, organ municipal, persoană juridică sau persoană fizică care organizează și/sau realizează prelucrarea datelor cu caracter personal, precum și determinarea scopurilor și conținutului prelucrării datelor cu caracter personal ( FZ-152).

Sistemul de informații cu date cu caracter personal (PDIS) este un sistem informatic care reprezintă un set de date cu caracter personal conținut într-o bază de date, precum și tehnologii informaționale și mijloace tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare sau fără utilizarea unor astfel de instrumente ( FZ-152).

Prelucrarea datelor cu caracter personal reprezintă acțiuni (operațiuni) cu date personale, inclusiv colectarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), utilizarea, distribuirea (inclusiv transferul), depersonalizarea, blocarea, distrugerea datelor cu caracter personal ( FZ-152).

La procesarea PD, operatorul trebuie să ia toate cele necesare organizatorice și masuri tehnice pentru a proteja datele personale împotriva accesului neautorizat sau accidental, distrugerii, modificării, blocării, copierii, distribuirii datelor cu caracter personal, precum și împotriva altor acțiuni ilegale.

Ce trebuie făcut pentru a proteja datele personale?

În primul rând, este necesar să se determine ce sisteme de informare cu date cu caracter personal există și ce tip de date cu caracter personal sunt prelucrate în acestea.

Clasificarea sistemului informatic al datelor cu caracter personal

Pentru a înțelege cât de semnificativă este problema protecției PD, precum și pentru a selecta metodele și metodele necesare pentru protejarea PD, operatorul trebuie să clasifice ISPD. Se stabilește ordinea de clasificare prin ordinul FSTEC al Rusiei, al FSB al Rusiei și al Ministerului Informațiilor și Comunicațiilor al Rusiei nr. 55/86/20 din 13 februarie 2008.

Deci, operatorul formează o comisie (din ordinul șefului organizației), care, după analizarea datelor inițiale, ia o decizie privind atribuirea ISPD-ului clasei corespunzătoare. În timpul clasificării se determină următoarele:

• categoria datelor cu caracter personal prelucrate;
• volumul datelor cu caracter personal prelucrate;
• tip de sistem informatic;
• structura sistemului informatic și amplasarea mijloacelor tehnice ale acestuia;
• moduri de prelucrare a datelor cu caracter personal;
• moduri de delimitare a drepturilor de acces ale utilizatorilor;
• disponibilitatea conexiunilor la rețele publice și (sau) rețele internaționale de schimb de informații.

Conform ordinul nr. 55/86/20, toate sistemele informatice (IS) sunt împărțite în standard și speciale.

Sistemele informaționale tipice sunt sistemele informaționale care necesită doar asigurarea confidențialității datelor cu caracter personal.

Sistemele informatice speciale sunt sisteme informatice în care, indiferent de necesitatea asigurării confidențialității datelor cu caracter personal, este necesară asigurarea a cel puțin uneia dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (protecția împotriva distrugerii, modificării, blocării, precum și ca și alte acțiuni neautorizate).

În practică, se dovedește că practic nu există sisteme informaționale standard, deoarece în majoritatea cazurilor, pe lângă confidențialitate, este și necesar să se asigure integritatea și disponibilitatea informațiilor. În plus, este obligatoriu să sisteme speciale ar trebui atribuite:

• sisteme informatice în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților datelor cu caracter personal;
• sisteme informatice care prevăd adoptarea, bazată exclusiv pe prelucrarea automată a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime.

Deci, pe baza rezultatelor analizei datelor inițiale, comisia atribuie clasa corespunzătoare sistemului de date cu caracter personal:

clasa 1 (K1) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal;

clasa 2 (K2) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;

clasa 3 (K3) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;

clasa 4 (K4) - sisteme informatice pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal.

Rezultatele clasificării sunt documentate în Act Clasificare ISPDn, care indică tipul de ISPD (standard, special), clasa atribuită ISPD și condițiile în baza cărora s-a luat decizia.

După cum sa menționat deja, clasificarea este necesară pentru alegere suplimentară metode și mijloace de protecție a datelor cu caracter personal prelucrate în ISPD, întrucât documentele FSTEC și FSB stabilesc fiecărei clase propriile cerințe pentru protejarea ISPD, despre care vom vorbi puțin mai târziu.

Consimțământul PD supus prelucrării

În continuare, trebuie să procedați la prelucrarea acestor date, dar înainte ca prelucrarea lor să fie legală, este necesar să obțineți consimțământul subiectului datelor cu caracter personal pentru prelucrare (legea împiedică astfel colectarea și utilizarea ilegală a datelor cu caracter personal):

Articolul 6 din Legea federală-152:

Prelucrarea datelor cu caracter personal poate fi efectuată de către operator cu acordul subiecților datelor cu caracter personal, cu excepția următoarelor cazuri:

1) prelucrarea datelor cu caracter personal se realizează pe baza unei legi federale care stabilește scopul acesteia, condițiile de obținere a datelor cu caracter personal și gama de subiecți ale căror date cu caracter personal fac obiectul prelucrării, precum și definirea puterilor operatorului;

2) prelucrarea datelor cu caracter personal se realizează în scopul îndeplinirii unui contract, una dintre părți la care face obiectul datelor cu caracter personal;

3) prelucrarea datelor cu caracter personal se realizează în scopuri statistice sau alte scopuri științifice, sub rezerva anonimizării obligatorii a datelor cu caracter personal;

4) prelucrarea datelor cu caracter personal este necesară pentru a proteja viața, sănătatea sau alte interese vitale ale subiectului datelor cu caracter personal, dacă obținerea consimțământului subiectului datelor cu caracter personal este imposibilă;

5) prelucrarea datelor cu caracter personal este necesară pentru livrarea trimiterilor poștale de către organizațiile poștale, pentru ca operatorii de telecomunicații să efectueze plăți către utilizatorii serviciilor de comunicații pentru serviciile prestate, precum și pentru luarea în considerare a pretențiilor utilizatorilor serviciilor de comunicații;

6) prelucrarea datelor cu caracter personal se realizează în scopul activităților profesionale ale unui jurnalist sau în scopul activităților științifice, literare sau de altă natură creativă, cu condiția ca drepturile și libertățile subiectului datelor cu caracter personal să nu fie încălcate;

7) sunt prelucrate datele cu caracter personal care fac obiectul publicării în conformitate cu legile federale, inclusiv datele personale ale persoanelor care ocupă funcții guvernamentale, funcții în serviciul public de stat, datele personale ale candidaților pentru funcții alese de stat sau municipale.

Deci, dacă cazul nostru de prelucrare a datelor cu caracter personal este prevăzut în partea 2 a articolului 6 din Legea federală nr. 152, atunci obținerea consimțământului nu este necesară.

De asemenea, este necesar să fii ghidat Codul Muncii, capitolul 14. De exemplu, un angajator are dreptul de a primi și prelucra date despre viața privată a unui angajat numai cu acordul scris al acestuia ( Articolul 86 partea 4 din Codul Muncii).

Conform Articolul 9 din Legea federală-152 Este necesar să obțineți în scris consimțământul subiectului datelor cu caracter personal pentru prelucrarea datelor sale personale. Consimțământul scris al persoanei vizate trebuie să includă:

Nume, prenume, patronimic, adresa subiectului datelor cu caracter personal, numărul documentului principal care dovedește identitatea acestuia, informații despre data emiterii documentul specificatși autoritatea emitentă;

Numele (nume, prenume, patronim) și adresa operatorului care primește consimțământul subiectului datelor cu caracter personal;

Scopul prelucrării datelor cu caracter personal;

Lista datelor cu caracter personal pentru prelucrarea cărora este dat consimțământul subiectului datelor cu caracter personal;

O listă a acțiunilor cu date personale pentru care este dat consimțământul, o descriere generală a metodelor utilizate de operator pentru prelucrarea datelor cu caracter personal;

Perioada în care consimțământul este valabil, precum și procedura de retragere a acestuia.

Reglementări care reglementează procedura de prelucrare și protecție a datelor cu caracter personal

Deci, operatorul a primit (dacă este necesar) consimțământul pentru prelucrarea datelor cu caracter personal – datele cu caracter personal pot fi prelucrate. Dar, conform Codul MunciiȘi FZ-152 este necesar să se elaboreze (dacă există, să se finalizeze în conformitate cu Legea federală) un regulament care să reglementeze procedura de stocare, prelucrare și protejare a datelor cu caracter personal. Să-l numim Regulamentul privind asigurarea securității datelor cu caracter personal. Regulamentul privind asigurarea securității datelor cu caracter personal este un document intern (local) al organizației. Nu există o formă strictă pentru acest document, dar trebuie să îndeplinească cerințele TKȘi FZ-152și, prin urmare, ar trebui să indice:

Regulamentul privind asigurarea securității datelor cu caracter personal este aprobat de șeful organizației sau de o persoană împuternicită de acesta și pus în aplicare prin ordin al șefului. Angajatorul este obligat să familiarizeze angajatul cu Regulamentul împotriva semnării.

Lista persoanelor autorizate să prelucreze date cu caracter personal

În plus, este necesar să se întocmească o listă a persoanelor autorizate să prelucreze date cu caracter personal, i.e. o listă a celor (pe funcție) care au nevoie de acces la datele personale pentru a-și îndeplini atribuțiile oficiale. În primul rând, aceștia sunt angajați din serviciul de personal, deoarece colectează și generează date despre angajat, precum și angajații contabili. În plus, șefii diviziilor structurale (de exemplu, șefii de departamente) pot avea acces la aceste informații - și acest lucru trebuie reflectat și în listă. Cu toate acestea, toți au dreptul să solicite nu orice date, ci doar acelea care sunt necesare pentru îndeplinirea unor funcții specifice postului (de exemplu, pentru calcularea beneficiilor fiscale, departamentul de contabilitate nu va primi toate informațiile despre angajat, ci doar date despre numărul persoanelor aflate în întreținerea acestuia). Prin urmare, este recomandabil să scrieți o listă cu resursele informaționale la care utilizatorii au voie.

Lista persoanelor autorizate să prelucreze date cu caracter personal poate fi întocmită ca anexă la Regulamentul privind asigurarea securității datelor cu caracter personal sau ca document separat aprobat de administrator.

Notificare Roskomnadzor

Mai departe în conformitate cu Articolul 22 FZ-152 Operatorul, înainte de a începe prelucrarea datelor cu caracter personal, este obligat să notifice organismul autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal (astazi este Serviciul Federal de Supraveghere a Comunicațiilor, Tehnologiilor Informației și Comunicațiilor de Masă (Roskomnadzor)) despre intenția sa de a prelucra date cu caracter personal, cu excepția cazurilor prevăzute Partea 2 a articolului 22 din Legea federală-152:

Operatorul are dreptul de a prelucra datele cu caracter personal fără a anunța organismul autorizat pentru protecția drepturilor persoanelor vizate:

1) referitoare la subiecții datelor cu caracter personal care au un raport de muncă cu operatorul;

2) primite de operator în legătură cu încheierea unui acord la care subiectul datelor cu caracter personal este parte, dacă datele cu caracter personal nu sunt distribuite sau furnizate unor terți fără acordul subiectului datelor cu caracter personal și sunt utilizate de către operator exclusiv pentru executarea acordului specificat și încheierea de contracte cu subiectul datelor cu caracter personal;

3) referitoare la membrii (participanții) unei asociații publice sau organizații religioase și procesate de asociația publică sau organizația religioasă relevantă, care funcționează în conformitate cu legislația Federației Ruse, pentru a atinge obiectivele legitime prevăzute de acestea; acte constitutive, cu condiția ca datele cu caracter personal să nu fie difuzate fără acordul scris al subiecților datelor cu caracter personal;

4) care sunt date cu caracter personal disponibile publicului;

5) includerea numai a numelor de familie, prenumelor și patronimilor subiecților datelor cu caracter personal;

6) necesare în scopul introducerii unice a subiectului datelor cu caracter personal pe teritoriul pe care se află operatorul sau în alte scopuri similare;

7) incluse în sistemele informaționale cu date cu caracter personal care, în conformitate cu legile federale, au statut de sisteme informatice automate federale, precum și în sistemele informaționale cu date cu caracter personal de stat create pentru a proteja securitatea statului și ordinea publică;

8) prelucrate fără utilizarea instrumentelor de automatizare în conformitate cu legile federale sau cu alte acte juridice de reglementare ale Federației Ruse care stabilesc cerințe pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora și pentru respectarea drepturilor persoanelor vizate de date cu caracter personal

Cerințele de notificare sunt specificate în Partea 3 Articolul 22 FZ-152. Formularul de notificare pentru prelucrarea (intenția de prelucrare) a datelor cu caracter personal poate fi completat electronic pe site-ul Roskomnadzor: http://rsoc.ru/personal-data/p181/

Acum puteți începe prelucrarea datelor cu caracter personal, rezolvând în același timp cea mai dificilă și problematică problemă - asigurând securitatea datelor cu caracter personal în timpul prelucrării acestora.

Asigurarea securității datelor cu caracter personal în timpul prelucrării acestora

Măsurile de protecție a informațiilor necesită forță de muncă intensă și pot duce la costuri financiare semnificative, datorită necesității de a:

Obțineți (dacă este necesar) o licență de funcționare protectie tehnica confidenţial Informații FSTEC Rusia;

Implicați un titular de licență al FSTEC din Rusia pentru a implementa măsuri pentru crearea unui sistem de protecție ISPD și/sau certificarea acestuia în conformitate cu cerințele de securitate a informațiilor;

Trimite angajații responsabili cu asigurarea securității informațiilor la cursuri de pregătire avansată pe probleme de securitate a informațiilor și/sau angajează specialiști în securitatea informațiilor;

Instalați mijloace de protecție a informațiilor (IPI) certificate conform cerințelor FSTEC, mijloace de protecție a informațiilor criptografice (CIPF) certificate de FSB, în funcție de clasa ISPDn.

Unele lucruri le poți face singur, dar în altele este mai bine să ai încredere în experți. Dar este necesar să protejăm datele personale, într-un fel sau altul.

Articolul 19, Legea federală-152:

La prelucrarea datelor cu caracter personal, operatorul este obligat să ia măsurile organizatorice și tehnice necesare pentru a proteja datele cu caracter personal împotriva accesului neautorizat sau accidental, distrugerii, modificării, blocării, copierii, distribuirii datelor cu caracter personal, precum și împotriva altor acțiuni ilegale.

• „Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal” a fost aprobat prin Decretul Guvernului Federației Ruse nr. 781 din 17 noiembrie 2007.
• „Regulamentele privind particularitățile prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare” au fost aprobate prin Decretul Guvernului Federației Ruse nr. 687 din 15 septembrie 2008.
• „Cerințele pentru mediile materiale de date cu caracter personal biometrice și tehnologii pentru stocarea acestor date în afara sistemelor de informații cu date cu caracter personal” au fost aprobate prin Decretul Guvernului Federației Ruse nr. 512 din 6 iulie 2008.
• Cerințe și recomandări speciale pentru protecția tehnică a informațiilor confidențiale (STR-K), aprobate prin ordinul Comisiei Tehnice de Stat a Rusiei nr. 282 din 30 august 2002 (DSP)
• Model de bază de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din data de 15 februarie 2008 (Extract, atunci când se iau în considerare amenințările de scurgere de informații prin canale secundare radiatie electromagneticași interferențe (PEMIN) este necesar să folosiți versiunea completă a acestui document - DSP)
• Metodologia de determinare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din 15 februarie 2008 (Marca „pentru uz oficial” a fost eliminată prin Hotărârea FSTEC din 16 noiembrie 2009)
• Recomandări pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din 15 februarie 2008 (Marca „pentru uz oficial” a fost eliminată prin Hotărârea FSTEC din 11 noiembrie 2009)
• Principalele măsuri de organizare și asigurare tehnică a securității datelor cu caracter personal prelucrate în sistemele informatice de date cu caracter personal din 15 februarie 2008 (Marca „pentru uz oficial” a fost eliminată prin Hotărârea FSTEC din 11 noiembrie 2009)
• Recomandări metodologice pentru asigurarea securității datelor cu caracter personal folosind instrumente criptografice la prelucrarea acestora în sistemele informatice de date cu caracter personal folosind instrumente de automatizare. FSB, 21 februarie 2008
• Cerințe standard pentru organizarea și asigurarea funcționării mijloacelor de criptare (criptografice) destinate să protejeze informațiile care nu conțin informații care constituie secret de statîn cazul utilizării acestora pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal. FSB, 21 februarie 2008

Nu vom lua în considerare în detaliu toate cerințele care trebuie îndeplinite pentru a asigura securitatea datelor cu caracter personal atunci când sunt prelucrate într-un ISPD - sunt multe dintre ele și depind foarte mult de ISPD-ul specific. Să ne oprim asupra principalelor puncte care cauzează adesea dificultăți operatorilor.

Licență - a obține sau a nu obține?

Legislația, precum și documentele FSTEC, ne spun următoarele:

Articolul 16, partea 6 din Legea federală-149„Cu privire la informație, tehnologii informaționale și protecția informațiilor” din 27 iulie 2006:

Legile federale pot stabili restricții privind utilizarea anumitor instrumente de securitate a informațiilor și implementarea anumitor tipuri de activități în domeniul securității informațiilor.

Articolul 17, partea 1, clauza 11 din Legea federală-128„Cu privire la acordarea de licențe pentru anumite tipuri de activități” din 8 august 2001:

În conformitate cu această lege federală, următoarele tipuri de activități sunt supuse licenței: activități pentru protecția tehnică a informațiilor confidențiale.

Decretul Guvernului Federației Ruse nr. 504„Cu privire la activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale” din 15 august 2006.

Protecția tehnică a informațiilor confidențiale este înțeleasă ca un set de măsuri și (sau) servicii pentru a le proteja împotriva accesului neautorizat, inclusiv canale tehnice, precum și din influențele speciale asupra unor astfel de informații în scopul distrugerii, denaturarii sau blocării accesului la acestea.

Principalele evenimente ale FSTEC

Clauza 3.14

În conformitate cu prevederile Legii federale nr. 128 „Cu privire la acordarea de licențe pentru anumite tipuri de activități” și cu cerințele Decretului Guvernului nr. 504 „Cu privire la activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale”, operatorii ISPDn iau măsuri pentru a asigura securitatea datelor cu caracter personal (informații confidențiale) în timpul prelucrării acestora în clasele ISPDn 1, 2 și 3 (sisteme distribuite) trebuie să obțină o licență pentru a desfășura activități de protecție tehnică a informațiilor confidențiale în modul prescris.

De asemenea, șeful departamentului FSTEC al Rusiei NAZAROV Igor Grigorievich a răspuns la întrebarea despre necesitatea unei licențe la masa rotunda, realizat de revista „Conectează-te! Lumea comunicării” (http://www.connect.ru/article.asp?id=9406):

Întrebare: Operatorii care prelucrează date cu caracter personal în ISPD trebuie să obțină o licență pentru protecția tehnică a informațiilor confidențiale?

Igor Nazarov:În conformitate cu documentele FSTEC, este necesară o licență pentru operatorii de date cu caracter personal care desfășoară în mod independent astfel de activități pe sistemele informatice clasa 1, clasa 2 și sistemele distribuite geografic clasa 3, de regulă, acestea sunt sisteme informatice mari de stat. Totodată, pentru clinici, grădinițe, farmacii etc., cu ISPD clasele 3 și 4, nu este necesară obținerea unor astfel de licențe.

În conformitate cu Decretul Guvernului Federației Ruse din 17 noiembrie 2007 nr. 781, dacă un operator ISPDn încheie un acord pentru a efectua măsuri relevante în ceea ce privește protecția informațiilor (PD) cu o persoană autorizată - un titular de licență al FSTEC din Rusia, nu trebuie să aibă licență.

Deci, pentru organizațiile mici, în loc să obțină o licență FSTEC TZKI pentru a desfășura măsuri de asigurare a securității datelor cu caracter personal (crearea unui sistem de protecție ISPD, certificare), va fi mai rentabil să atragă un licențiat FSTEC, care va efectua toate lucrările necesare.

Pentru organizațiile mari (cum ar fi operatorii de telecomunicații, băncile mari etc.) este mai profitabil să obțineți singur o licență și să efectuați toate lucrările necesare.

Se stabilește procedura de acordare a licenței de desfășurare a activităților de protecție tehnică a informațiilor confidențiale „Reglementări privind activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale„(aprobat prin Decretul Guvernului Federației Ruse din 15 august 2006 nr. 504). Cerințe pentru obținerea licenței:

a) prezența în personalul solicitantului de licență (titularul de licență) a specialiștilor care au studii profesionale superioare în domeniul securității tehnice a informațiilor sau studii superioare sau medii profesionale (tehnice) și au urmat cursuri de recalificare sau pregătire avansată în probleme de securitate tehnică a informațiilor; ;

b) prezența spațiilor pentru solicitantul de licență (titularul de licență) pentru desfășurarea activităților licențiate care respectă standardele tehnice și cerințele de protecție tehnică a informațiilor stabilite prin actele juridice de reglementare ale Federației Ruse și deținute de acesta cu drept de proprietate sau pe un alt temei juridic;

c) prezența, pe orice bază legală, a echipamentelor de producție, testare și control care au suferit verificări metrologice (calibrare), marcare și certificare în conformitate cu legislația Federației Ruse;

d) utilizarea sistemelor automate care prelucrează informații confidențiale, precum și a mijloacelor de protecție a acestor informații care au trecut procedura de evaluare a conformității (certificate și (sau) certificate conform cerințelor de securitate a informațiilor) în conformitate cu legislația Federației Ruse;

e) utilizarea de programe pentru calculatoare electronice și baze de date destinate desfășurării activităților licențiate în baza unui acord cu deținătorul drepturilor de autor;

f) disponibilitatea actelor juridice de reglementare, a documentelor de reglementare, metodologice și metodologice privind problemele de protecție a informațiilor tehnice în conformitate cu lista stabilită de Serviciul Federal de Control Tehnic și Export.

Etapele creării unui SZPDn

Conform Evenimente principale pentru organizarea și suportul tehnic al securității datelor cu caracter personal prelucrate în sistemele informatice de date cu caracter personal emise de FSTEC, realizarea unui sistem de protecție a datelor cu caracter personal (PDPS) constă în următoarele etape:

1 Etapa pre-proiect

1.1 inspectia obiectului de informatizare:

• stabilirea necesității procesării PD în ISPD;
• stabilirea listei de date cu caracter personal supuse protecției;
• determinarea condițiilor de amplasare a ISPD față de limitele zonei controlate (CA);
• determinarea configurației și topologiei ISPD în ansamblu și a acestuia componente individuale; conexiuni fizice, funcționale și tehnologice atât în ​​cadrul ISPD, cât și cu alte sisteme de diferite niveluri și scopuri;
• determinarea mijloacelor și sistemelor tehnice utilizate în ISPD protejat, a condițiilor de amplasare a acestora;
• definiție la nivel de sistem, special și aplicat software, utilizat în ISPD protejat;
• determinarea modului de prelucrare a informațiilor în ISPD în ansamblu și în componente individuale;
• realizarea clasificării ISPD;
• determinarea gradului de participare a personalului la prelucrarea (discuție, transmitere, stocare) a informațiilor, natura interacțiunii acestora între ele;
• identificarea și compilarea unei liste de vulnerabilități și amenințări la adresa securității informațiilor, evaluarea relevanței amenințărilor la adresa securității informațiilor;
• dezvoltarea unui model de amenințare privată.

1.2 elaborarea specificațiilor tehnice pentru crearea SZPD, care să cuprindă:

• fundamentarea necesității dezvoltării SPDn;
• date sursă ale ISPD în aspecte tehnice, de program, informaționale și organizatorice;
• clasa ISPDn;
• o legătură către documentele de reglementare, ținând cont de care va fi elaborat SPPD și ISPD-ul acceptat în exploatare;
• specificarea activităților și cerințelor pentru SPDn;
• o listă de instrumente de securitate a informațiilor certificate destinate utilizării;
• justificarea dezvoltării propriilor instrumente de securitate a informațiilor în cazul în care este imposibil sau imposibil să folosim instrumente certificate de securitate a informațiilor disponibile pe piață;
• compoziția, conținutul și calendarul de lucru în etapele de dezvoltare și implementare a SPDn.

2. Etapa de proiectare și implementare a SZPDn

2.1 elaborarea unui proiect de creare a SZPDn;

2.2 elaborarea de măsuri organizatorice și tehnice pentru protejarea informațiilor în conformitate cu cerințele;

2.3 achiziționarea de instrumente certificate de securitate a informațiilor;

2.4 dezvoltarea și implementarea unui sistem de autorizare pentru accesul utilizatorilor și personalului la informațiile prelucrate în ISPD;

2.5 instalarea și configurarea dispozitivelor de informații și informații;

2.6 identificarea departamentelor și a persoanelor responsabile cu operarea mijloacelor de securitate a informațiilor, instruirea persoanelor desemnate în specificul muncii pentru protecția datelor cu caracter personal;

2.7 elaborarea documentației operaționale pentru ISPD și instrumente de securitate a informațiilor, precum și a documentației organizatorice și administrative pentru securitatea informațiilor (regulamente, ordine, instrucțiuni și alte documente);

2.8 implementarea altor măsuri care vizează protecția informațiilor.

3. Etapa punerii în aplicare a SZPDn

3.1 operarea de probă a instrumentelor de securitate a informațiilor în combinație cu alte hardware și software pentru a testa performanța acestora ca parte a ISPD;

3.2 teste de recepție a echipamentelor de securitate a informațiilor pe baza rezultatelor operațiunii de probă cu executarea unui certificat de acceptare;

3.3 evaluarea conformității ISPD cu cerințele de securitate a informațiilor - certificare (declarație) conform cerințelor de securitate a informațiilor.

4. întreținereși sprijinirea sistemului de securitate a informațiilor

Documentatie organizatorica si administrativa pentru protectia datelor cu caracter personal

Pe lângă soluțiile tehnice sistem creat protecția datelor cu caracter personal, operatorul trebuie să asigure elaborarea documentelor organizatorice și administrative care să reglementeze toate aspectele emergente legate de asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în ISPD și funcționării SPD. Există destul de multe astfel de documente, principalele sunt:

1. Reglementări privind asigurarea securității datelor cu caracter personal – la începutul articolului am atins deja scopul și componența acestui document. Pentru orice eventualitate, repetăm ​​- ar trebui să indice:

Scopul și obiectivele în domeniul protecției datelor cu caracter personal;

Conceptul și componența datelor cu caracter personal;

În ce unități structurale și pe ce suporturi (hârtie, electronice) sunt acumulate și stocate aceste date;

Cum sunt colectate și stocate datele personale;

Cum sunt procesate și utilizate;

Cine (după poziție) în cadrul companiei are acces la acestea;

Principii de protecție a datelor cu caracter personal, inclusiv împotriva accesului neautorizat;

Drepturile angajaților de a asigura protecția datelor lor personale;

Responsabilitatea pentru dezvăluirea informațiilor confidențiale legate de datele personale ale angajaților.

2. Să organizeze un sistem de admitere și înregistrare a persoanelor autorizate să lucreze cu PD în ISPD, - o Listă de persoane autorizate să prelucreze PD (lista după poziție a celor care au nevoie de acces la PD pentru îndeplinirea atribuțiilor oficiale) și o Matrice de Acces (ar trebui să reflecte puterile utilizatorilor de a efectua acțiuni specifice în legătură cu anumite resurse de informații ISPD - citire, scriere, ajustare, ștergere). Ambele documente sunt aprobate de manager.

3. Un model de amenințare privat (dacă există mai multe ISDN-uri, atunci este dezvoltat un model de amenințare pentru fiecare dintre ele) - dezvoltat pe baza rezultatelor unui sondaj preliminar. Oferă FSTEC din Rusia Model de bază amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, conform cărora la crearea unui model privat ar trebui să se țină cont de următoarele:

Amenințări de scurgere de informații prin canale tehnice;

Amenințările de acces neautorizat asociate cu acțiunile infractorilor care au acces la ISPD și implementează amenințări direct în ISPD. În acest caz, este necesar să se considere utilizatorii ISPD legali drept potențiali contravenienți;

Amenințările de acces neautorizat asociate cu acțiunile contravenienților care nu au acces la ISPD, implementarea amenințărilor din rețelele publice externe de comunicații și (sau) rețelele internaționale de schimb de informații.

Modelul de amenințare dezvoltat este aprobat de manager.

4. Pe baza modelului de amenințare ISPD aprobat, este necesar să se elaboreze cerințe pentru a asigura securitatea datelor cu caracter personal atunci când sunt prelucrate în ISPD. Cerințele, precum modelul de amenințare, sunt un document independent care trebuie aprobat de șeful organizației.

Pentru a dezvolta un model de amenințări și cerințe, este recomandabil ca operatorul să implice specialiști din organizațiile licențiate FSTEC.

5. Instrucțiuni privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în ISPD.

În plus, înainte de a întreprinde toate măsurile de protecție a datelor cu caracter personal, operatorul trebuie să numească un funcționar sau (dacă sistemul informațional este suficient de mare) o unitate structurală responsabilă cu asigurarea securității datelor cu caracter personal. Decizia privind numirea se formalizează prin ordin al șefului. Sarcinile, funcțiile și atribuțiile funcționarului (unității) responsabil cu asigurarea securității PD sunt determinate de documente interne organizatorice și administrative (fișe de post, regulamente).

Ce este necesar pentru a fi certificat și ce nu?

Există adesea o concepție greșită conform căreia toate programele software utilizate trebuie să fie certificate, iar certificarea este costisitoare și necesită timp.

Cu toate acestea, niciunul dintre documentele care reglementează problemele de protecție a datelor cu caracter personal nu precizează că toate programele software trebuie să fie certificate. Instrumentele de securitate a informațiilor trebuie să fie certificate conform cerințelor FSTEC din Rusia, dar nu sistemul, aplicația sau software-ul special care nu este implicat în protecția ISPD.

Igor Nazarov:...certificarea pentru monitorizarea absenței materialelor de neconformitate se referă la funcționalitatea de siguranță, în special echipamentul de protecție și nu totul software, care este utilizat în sistemul informațional (http://www.connect.ru/article.asp?id=9406).

Astăzi, documentele FSTEC, care pot fi vizualizate pe site-ul Serviciului Federal pentru Control Tehnic și Export, ne spun următoarele despre această problemă:

ISPD trebuie să utilizeze numai mijloace tehnice și sisteme de protecție certificate conform cerințelor de securitate a informațiilor.

Evenimente principale…

Clauza 4.2:...ISPD trebuie să monitorizeze prezența capacităților nedeclarate în software și hardware și să analizeze securitatea sistemului și a aplicațiilor software.

Clauza 4.3: Pentru software-ul utilizat pentru a proteja informațiile din ISPD (instrumente de securitate a informațiilor, inclusiv cele integrate în software-ul de aplicație și la nivelul întregului sistem), trebuie asigurat un nivel adecvat de control asupra absenței datelor de neconformitate din acesta.

Astfel, nu este nevoie să certificați software-ul de sistem și aplicație dacă acesta nu este implicat în procesul de securitate a informațiilor - acest lucru se poate face la discreția operatorului.

Practica creării de sisteme de protecție a datelor cu caracter personal arată că este necesar să se utilizeze software licențiat (sistem, aplicație și software special) și instrumente de securitate a informațiilor certificate și protectie antivirus(acesta poate fi SRZI de la NSD, produse antivirus, firewall-uri, instrumente de detectare a intruziunilor, instrumente de analiză a securității, relevante o anumită clasă). Dacă ISPDn este instalat mijloace criptografice protecția informațiilor (CIPF), atunci trebuie să fie, de asemenea, certificate conform cerințelor FSB al Rusiei.

Trebuie remarcat faptul că doar un licențiat FSTEC are dreptul de a instala informații certificate de securitate a informațiilor, iar un licențiat FSB are dreptul de a instala un CIPF.

Certificare

Etapa finală a creării unui sistem de protecție ISPD ar trebui să fie certificarea (declarația de conformitate) - un set de măsuri organizatorice și tehnice, în urma cărora, prin document special— Certificatul de conformitate (Concluzie) confirmă că ISPD respectă cerințele standardelor sau altor documente de reglementare și metodologice privind securitatea informațiilor. Deținerea unui Certificat de Conformitate valid oferă dreptul de a procesa informațiile cu un nivel adecvat de confidențialitate pentru perioada de timp stabilită în Certificatul de Conformitate.

Întrebare: Cine poate certifica locurile de muncă pentru conformitatea cu cerințele legislației și ale documentelor de reglementare în domeniul datelor cu caracter personal?

Igor Nazarov: Licențiații FSTEC care au o licență pentru a opera în protecția tehnică a informațiilor confidențiale au dreptul de a certifica ISPDn pentru conformitatea cu cerințele de securitate a informațiilor (http://www.connect.ru/article.asp?id=9406).

Certificarea prevede o verificare cuprinzătoare (teste de certificare) a sursei de date informaționale în condiții reale de funcționare pentru a evalua conformitatea setului de măsuri de protecție adoptat cu nivelul necesar de securitate a datelor cu caracter personal.

ÎN vedere generala Certificarea ISPD conform cerințelor de securitate a informațiilor include următoarele etape:

Analiza datelor inițiale privind ISPD certificat;

Efectuarea unei expertize a sistemelor informatice și a analizei documentației elaborate pentru a asigura securitatea datelor cu caracter personal pentru conformitatea cu cerințele documentelor normative și metodologice;

Efectuarea de teste cuprinzătoare de certificare a ISPD în condiții reale de funcționare folosind echipamente speciale de monitorizare și software pentru monitorizarea securității împotriva accesului neautorizat;

Analiza rezultatelor testelor complexe de certificare, intocmirea si aprobarea Incheierii si a Certificatului de Conformitate pe baza rezultatelor certificarii.

Un punct important este că, în cazul unei modificări a condițiilor și tehnologiei de prelucrare a PD, operatorul este obligat să notifice organizația titulară de licență care a efectuat certificarea ISPD. După care organizația licențiată decide asupra necesității de a conduce verificare suplimentară eficacitatea sistemului de protecție ISPD.

Responsabilitatea și riscurile pentru nerespectarea cerințelor legale

Dacă nu sunt îndeplinite cerințele pentru asigurarea securității datelor cu caracter personal, operatorul se poate confrunta cu riscul unor pretenții civile din partea clienților sau angajaților.

Ceea ce, la rândul său, poate afecta reputația companiei, precum și poate duce la suspendarea (încetarea) forțată a prelucrării PD, aducând societatea și (sau) managerul acesteia la răspundere administrativă sau de altă natură și, în anumite condiții, la suspendarea sau revocarea licențelor. În plus, conform Legii Federale, persoanele vinovate de încălcarea cerințelor poartă răspundere civilă, penală, administrativă, disciplinară și de altă natură prevăzute de legislația Federației Ruse ( Articolul 24 FZ-152):

Disciplinare (Codul Muncii al Federației Ruse, articolele 81, 90, 195, 237, 391);

Administrativ (Codul Federației Ruse privind contravențiile administrative, articolele 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Penal (Codul penal al Federației Ruse, articolele 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

Un set de măsuri de altă natură, realizate pentru a contracara în mod activ posibilul acces neautorizat la datele cu caracter personal, constând în măsuri de management, protecție efectivă a hardware-ului, formează baza unui Sistem de protecție a datelor cu caracter personal (PDPS) care funcționează eficient.

Scopul introducerii unui set de măsuri care funcționează în mod fiabil este:

Respectarea exactă a cerințelor autorităților de reglementare pentru respectarea prevederilor Legii federale „Cu privire la protecția datelor cu caracter personal”, a prevederilor regulamentelor aprobate care asigură nivelul adecvat de securitate pentru datele cu caracter personal utilizate;

Elaborarea instrucțiunilor care prescriu implementarea anumite reguli la conversia datelor cu caracter personal utilizate, asigurând protecția acestora.

• Probleme de rezolvat
• Echipamentul folosit
• Domenii de aplicare

Dezvoltarea și implementarea unui sistem de protecție a datelor cu caracter personal (PDS) reprezintă o serie de măsuri tehnice și manageriale menite să asigure o protecție cuprinzătoare a informațiilor, care este recunoscută de Legea federală din 27 iulie. 2006 N 152-FZ date personale.

Operatorul, care sunt agențiile guvernamentale și întreprinderile comerciale care efectuează operațiuni cu date personale, sunt interesați de prelucrarea lor în siguranță, recunoscând astfel necesitatea implementării unui sistem de protecție.

Ținând cont de experiența acumulată în timpul implementării proiectelor de creare a SZPD, pare posibil să se determine un număr de avantaje importante din implementarea sistemului:

În primul rând, este o reducere radicală atât a riscurilor legale, cât și a riscurilor reputaționale care decurg din neconformitate legislatia actuala privind siguranța datelor cu caracter personal.

Al doilea punct important este faptul că construcția bazată științific a sistemului de protecție vă permite să procesați datele personale ale angajaților și clienților fără teamă pentru siguranța acestora. Acest lucru poate deveni un avantaj competitiv puternic atunci când lucrați cu informații confidențiale ale persoanelor și informații destinate doar utilizării oficiale (interne). Un sistem de protecție a securității bine construit face față cu ușurință celor mai comune amenințări - blochează impactul malware-ului, previne furtul bazelor de date de clienți, care este adesea practicat de angajații concediați.

Al treilea factor care motivează implementarea unui PPSD eficient este crearea imaginii companiei de partener de încredere în care se poate avea încredere pentru a asigura confidențialitatea datelor cu caracter personal.

După cum subliniază analiștii, scandalurile frecvente legate de scurgerea de informații confidențiale obligă să acorde atenție sistemului de securitate atunci când alege o contrapartidă. Acordurile de parteneriat sau condițiile de licitație devin deja obișnuite, necesitând conformitatea documentată de către DOCUP cu reglementările în vigoare.

Nu trebuie să uităm că un PPSD eficient asigură continuitatea tuturor proceselor de afaceri din cadrul companiei în sine, elimină probabilitatea plângerilor clienților, plângerilor justificate ale angajaților și ordinelor amenințătoare din partea autorităților de reglementare de supraveghere.

Etape de lucru pentru a aduce în conformitate cu 152-FZ

1. Inventar, o analiză completă a stării structurilor informaționale implicate în prelucrarea datelor cu caracter personal.

Un astfel de audit pre-proiect oferă informații obiective despre procesele implicate în prelucrarea datelor cu caracter personal în cadrul companiei și măsurile de protecție a acestora. Specialiștii Open Vision sunt obligați să verifice toată documentația oficială, regularitatea activităților desfășurate, menite să respecte cerințele cadrului legal privind securitatea datelor cu acces restricționat utilizate în activitatea lor.

2. Crearea unui concept pentru un sistem de securitate utilizat pentru protejarea datelor cu caracter personal, oferind clientului recomandări temeinice pentru optimizarea procesării datelor cu caracter personal și asigurarea securității informațiilor confidențiale.

În această etapă de lucru, specialiști calificați evaluează opțiuni posibile implementarea proiectului, stabilirea punctelor de plecare pentru implementarea acestuia și stabilirea anumitor restricții privind amploarea proiectului pus în practică. Se identifică principalele probleme și se creează rațiunea soluțiilor propuse. Clienții primesc o listă a elementelor software și hardware ale sistemului de securitate a informațiilor în curs de dezvoltare, cu indicarea obligatorie a costului pentru fiecare articol.

3. Clarificare nivel real securitate PD

În procesul de lucru, se determină tipul posibil de amenințări la adresa datelor cu caracter personal protejate, cu referire la un sistem informațional specific, se precizează compoziția așteptată a datelor cu caracter personal și numărul posibil de subiecți. Luând în considerare întregul volum de informații primite, se determină starea reală a sistemului de securitate a datelor cu caracter personal.

4. Dezvoltarea unui model de posibile amenințări la adresa sistemului de securitate a datelor cu caracter personal, crearea unui model de atacator

Documentul furnizat clientului este o listă sistematică a posibilelor amenințări la adresa securității datelor cu caracter personal atunci când se lucrează cu acestea în sistemele de informații cu date personale (PDIS). Amenințările la adresa securității datelor cu caracter personal (PDS) pot apărea ca urmare a acțiunilor rău intenționate sau accidentale ale unor persoane, activităților serviciilor de informații străine sau organizațiilor specializate în spionaj, grupurilor criminale specializate care pregătesc un hack de securitate PD care va afecta drepturile și libertăţile atât ale societăţii cât şi ale statului sau ale cetăţenilor .

5. Elaborarea Termenilor de Referință pentru construirea SZPDn

O specificație tehnică specială pentru construirea unei structuri de informații specifice a SZPDn determină scopul acesteia, scopurile urmărite, cerințele tehnice și suport organizatoric, plan de dezvoltare și creare directă a SZPDn.

6. Crearea proiectului SZPDn

Creat în această etapă de implementare a SZPDn documentatia proiectului prevede lucrări care țin cont de standardele de securitate pentru datele cu acces limitat prevăzute de reglementări.

7. Elaborarea documentatiei organizatorice si administrative

Setul de documente care prescriu regulile de prelucrare și protecție a datelor cu caracter personal este format din zeci de reglementări organizatorice și administrative care sunt necesare pentru a aduce toate procesele pentru funcționarea și siguranța datelor cu caracter personal în conformitate cu standardele legislației în vigoare.

8. Furnizare de instrumente software și hardware de securitate a informațiilor

Clientului i se furnizează elemente software și hardware pentru implementarea SPDn, care au fost testate și respectă cerințele legilor Federației Ruse privind măsurile de securitate a informațiilor.

9. Instalarea, configurarea informatiei si tehnologiei informatiei

În această etapă de implementare a SZPDn, echipamentele sunt instalate, software-ul este instalat, cu setările corespunzătoare. În urma muncii depuse, clientul primește un set de informații de securitate a informațiilor care este compatibil cu structura informațională utilizată pentru lucrul cu datele personale.

10. Evaluarea eficacității măsurilor luate pentru a crea o protecție eficientă a datelor cu caracter personal

Determinarea eficacității măsurilor de securitate dezvoltate pentru datele restricționate se realizează înainte de lansarea în funcțiune a sistemului de protecție a datelor. Testarea de control a unui sistem care funcționează în structuri comerciale este necesar să fie efectuată la fiecare 3 ani.

11. Certificarea ISPD utilizat pentru conformitatea cu cerințele moderne de securitate a informațiilor

Certificarea ISPD include un set de verificări organizatorice și tehnice (teste de certificare) care vizează confirmarea conformității cu cerințele de securitate a informațiilor. Destinat organizațiilor guvernamentale.

Unul dintre segmentele care se dezvoltă rapid ale pieței IT interne este comerțul online, care se datorează ușurinței tehnice de implementare a acestui proiect, transparența proceselor de afaceri. Comerțul electronic este recunoscut ca un tip de antreprenoriat eficient și promițător.

Problemele de securitate a informațiilor pentru afaceri pe Internet nu își pierd relevanța, dimpotrivă, o creștere a numărului atacurile hackerilor pe cele mai mari instituții financiare, investirea sumelor uriașe de bani în sisteme de securitate necesită acțiuni în timp util. Iată cum se poate realiza acest lucru și la un nivel acceptabil de costuri.

Multe, mai ales pe stadiul inițial, nu au posibilitatea de a smulge din circulație sume importante investindu-le în sisteme de securitate a informațiilor. Afacerea este nouă, posibilele capcane sunt necunoscute, iar specificul afacerilor pe Internet necesită schimbări constante.

Ca urmare, se creează un sistem de securitate, dar este dezvoltat „din cunoștințe” sau se plasează o comandă la un freelancer, în cel mai bun caz un studio web înregistrat oficial. De asemenea, achiziționarea unei soluții gata făcute nu poate fi considerată ca oferind un nivel serios de securitate, deoarece apar întrebări cu privire la integrarea acesteia într-o infrastructură IT existentă.

Sau poate ar trebui să ne gândim dacă astfel de sisteme oferă într-adevăr nivelul adecvat de securitate? Are antreprenorul însuși calificările necesare pentru a determina nivelul de pregătire al „hack-urilor pe internet”? O astfel de muncă poate minimiza? riscuri posibile? Din păcate, în cele mai multe cazuri, răspunsul este nu.

Deși din partea consumatorului nu există prea multe cerințe stricte in ceea ce priveste siguranta datelor personale pe care le transfera catre magazinul online in momentul efectuarii unei achizitii, acesta nu poate servi drept indicator principal pentru alegerea modalitatilor de organizare a prelucrarii si stocarii unor astfel de informatii confidentiale. În general, cumpărătorul nu are posibilitatea de a evalua cât de eficient funcționează protecția datelor sale personale. Da, deocamdată, acest lucru nu este o preocupare deosebită, deoarece prețurile atractive, o descriere frumos scrisă a produsului și livrarea preferențială își ating scopul.

Majoritatea publicului cumpărător nici măcar nu se întreabă unde își trimit datele personale. Fie este un antreprenor individual, fie un antreprenor privat care își dezvoltă propria afacere pe internet. Sau aceasta este divizia web a unui mare comerciant de electronice de larg consum. Desigur, atitudinea față de securitatea informațiilor într-un lanț mare de retail este mai strictă decât cea a unui antreprenor, care uneori trebuie să livreze în mod independent bunuri clienților.

Este de remarcat faptul că, în ciuda amenințării tot mai mari de furt de informații confidențiale, încrederea în comerțul online este în continuă creștere. Cumpărătorul introduce informații despre sine completând formularul de comandă, uneori fără să-și facă griji măcar cu privire la modul în care angajații magazinului îl vor gestiona. Sau poate că nu este atât de solicitat pentru procesele de afaceri existente?

Redundanța rezultată a datelor solicitate face obiectul exact Legii federale-152, deoarece există o discrepanță în natura și volumul informațiilor primite. sarcinile existente prelucrarea acesteia pentru procesele de afaceri prevăzute în magazinul online.

Nivelul tehnic de dezvoltare al comerțului modern pe internet face posibilă asumarea utilizării sistemelor CRM, datorită cărora este posibilă salvarea datelor despre client pentru interacțiunea ulterioară cu acesta și oferirea unui nou produs. Dar este acest lucru necesar pentru nivelul de interacțiune post-vânzare cu cumpărătorul?

Conform Legii Federale-152 Informații personale pot fi stocate doar pentru perioada de timp necesară procesării acestuia. După efectuarea unei achiziții sau a unui refuz, toate datele personale trebuie distruse, deoarece stocarea lor nu corespunde specificului proceselor de afaceri care se desfășoară. Există vreo îndoială că practic nimeni nu face asta.

Legea federală 152 conține prevederi care amenință însăși existența comerțului online. Orice organism de inspecție poate solicita proprietarului unui magazin online să furnizeze permisiunea scrisă a cetățeanului de a folosi datele sale personale în activitatea sa. Nimeni nu oferă cel mult o astfel de permisiune în scris, se limitează la o notă despre familiarizarea cu regulile magazinului.

Deoarece nu este de așteptat contactul direct în comerțul online, cu excepția întâlnirii cumpărătorului cu curierul pentru a livra mărfurile, conformitatea cu Legea federală 152 poate fi realizată numai prin depersonalizarea datelor personale ale consumatorilor, iar acest lucru necesită ajustări la procesele de afaceri existente.

Fara indoiala instrument convenabil Portalurile corporative sunt recunoscute pe bună dreptate ca simplificând accesul la diverse servicii de informații ale companiei. Cu o rețea dezvoltată de sucursale și birouri situate la mare distanță de sediul central și un număr semnificativ de parteneri de afaceri, mijlocul optim de comunicare este o conexiune prin canale VPN care au nivelul corespunzător de securitate. Alegerea unei astfel de soluții de înaltă tehnologie este însă destul de costisitoare și nu este disponibilă pentru fiecare companie. În absența fondurilor gratuite pentru o conexiune sigură, mai mult într-un mod simplu munca este un punct de acces de la Internet.

O caracteristică specială a portalului corporativ, chiar și luând în considerare diferite niveluri infrastructura, este stocarea informațiilor confidențiale ale angajaților, clienților companiei și partenerilor de afaceri entitate legală, precum și plasarea informațiilor financiare ale companiei însăși, a căror dezvăluire ar putea cauza prejudicii. Organizarea eficientă a tuturor proceselor de lucru cu date cu caracter personal trebuie să țină cont de faptul că scopurile și metodele de prelucrare a datelor pentru fiecare subgrup de subiecți sunt diferite. Este o abordare diferențiată a transformării datelor cu acces restricționat care ar trebui inclusă în conceptul de securitate corporativă.

Nu există nicio îndoială că poziția financiară a companiei creează portal corporativ, face posibilă angajarea de programatori cu experiență sau achiziționarea unei soluții gata făcute care a fost testată de mai multe ori. Totuși, nu trebuie să uităm că securitatea codului nu este singurul parametru care trebuie luat în considerare la dezvoltarea unui sistem eficient de securitate a informațiilor. De în general, securitatea informațiilor trebuie să fie recunoscută de conducerea companiei ca parte integrantă sistem comun Securitate.

În ultimii ani, numărul utilizatorilor rețelelor sociale populare de pe RuNet a crescut într-un ritm fără precedent, depășind pragul de 50 de milioane. Cantitatea colosală de date cu caracter personal acumulată pe rețelele de socializare necesită un control adecvat, ceea ce cer normele Legii Federale-152.

În ciuda primei impresii că informațiile disponibile pe rețelele sociale pot fi considerate „disponibile publicului”, în fiecare an o cantitate tot mai mare de date este clasificată de lege drept „date cu caracter personal confidențiale”.

Faptele de furt de conturi de pe rețelele sociale nu sunt neobișnuite în străinătate și în Rusia. Sute de mii de conturi devin disponibile atacatorilor. Numărul atacurilor hackerilor asupra rețelelor sociale nu este în scădere;

Schemele frauduloase cu orientare socială au un potențial mare, folosind atacuri pharming, spamming și phishing în scopurile lor. Acest întreg set de instrumente de criminalitate cibernetică modernă poate duce la furtul de date confidențiale, care este facilitat de credulitatea și lipsa de experiență a oamenilor. Administratorii rețelelor sociale trebuie să efectueze o monitorizare constantă, identificând incidentele și eliminând consecințele acestora.

Serviciul de internet banking devine din ce în ce mai popular în industria bancară rusă oferă pe deplin câteva zeci de instituții financiare serviciu similar. Acest lucru se datorează atât lipsei unei platforme unificate de integrare, cât și nivelului insuficient de automatizare a multor instituții.

La fel ca aplicațiile web obișnuite, serviciile bancare prin internet și sistemele de plată electronică se bazează pe o arhitectură comună client-server. Este recunoscut că „veriga slabă” a unei astfel de interacțiuni este tocmai utilizatorul și acele dispozitive cu care își gestionează propriul cont.

Din păcate, consumatorul nu are posibilitatea de a evalua în mod obiectiv toate riscurile care apar inevitabil la gestionarea cont bancar pe distanta. Ca să nu mai vorbim de luarea măsurilor de siguranță corespunzătoare. Prin urmare, băncile trebuie să îmbunătățească cunoștințele clienților cu privire la aceste aspecte.

Este de remarcat faptul că atacatorii își acordă atenția la internet banking de cele mai multe ori nu în scopul de a fura fonduri, deoarece instituțiile financiare oferă securitate maximă pentru tranzacții, ci pentru a obține acces la datele personale ale clientului. Datorită acestui fapt, schemele frauduloase cu carduri bancare, alte metode de furt financiar. Mulți experți sunt siguri că pe piața „neagră”. simpla intrare despre conturile clientului are propria sa valoare.

Statisticile arată clar că crearea și funcționarea serviciului de internet banking în multe structuri nu respectă normele și regulile industriei. Cel mai adesea, fiecare instituție financiară l-a dezvoltat în mod independent, iar standardele existente erau doar de natură consultativă.

Intrarea în vigoare a Legii federale 152 a creat probleme semnificative pentru multe bănci, deoarece controlul autorităților de reglementare asupra siguranței datelor cu caracter personal este înăsprit, ceea ce necesită îmbunătățirea sistemelor de securitate existente. Indiferent de modul în care asociația băncilor a încercat să întârzie începerea Legii federale 152, a devenit totuși necesar să se respecte prevederile acesteia.