RSS
Комплексная информационная защита персональных данных
Принятый в июле 2006 г. Федеральный закон N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) по-прежнему вызывает множество споров и вопросов у юристов, сотрудников служб безопасности, сотрудников ИТ-подразделений и особенно у руководства компаний. Главный вопрос: надо ли что-то делать нашей компании? И если делать, то что?
Закон N 152-ФЗ определил, что оператором персональных данных является, по сути, любая компания, так как в каждой компании есть как минимум персональные данные ее учредителей и руководства. Помимо этого, как правило, всегда есть штат сотрудников, которые при оформлении на работу также представляют свои персональные данные. Впоследствии постоянно ведется их обработка, эти данные используются при передаче информации в налоговые органы, фонды медицинского и пенсионного страхования, при расчете заработной платы и т.д. Таким образом, каждая компания на территории Российской Федерации обязана выполнить ряд мер по обеспечению защиты обрабатываемых персональных данных.
С чего же начать? В соответствии с требованиями Закона N 152-ФЗ все информационные системы персональных данных, введенные в эксплуатацию до 1 января 2010 г., должны быть приведены в соответствие с действующими требованиями по обеспечению безопасности к 1 января 2011 г. На сегодняшний день требования по обеспечению безопасности персональных данных устанавливаются следующими основными документами:
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями);
Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности Российской Федерации (ФСБ), Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных";
Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Указ Президента Российской Федерации от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера";
Трудовой кодекс Российской Федерации. Глава 14. "Защита персональных данных работника".
Также ведутся разработки отраслевых требований (например, банковская, медицинская, страховая сферы), и пока что не принято решение, смогут ли коммерческие структуры руководствоваться именно отраслевыми требованиями, а устанавливаемые государством останутся обязательными только для госструктур, для остальных организаций будут носить рекомендательный характер. Тем не менее этот вопрос касается в основном детальных технических требований, обязанность же по обеспечению защиты персональных данных не снимается, и выполнять ее необходимо уже сегодня.
В первую очередь в компании должен быть выполнен ряд организационных мер, направленных на защиту персональных данных. Обязательно должно быть введено в действие положение, регламентирующее основные вопросы обработки и защиты персональных данных, а также устанавливающее ответственность сотрудников за несоблюдение требований. Помимо этого, необходимо определить перечень обрабатываемых персональных данных и цели их обработки, а также персонал, допущенный согласно своим должностным обязанностям к этой обработке. При этом целесообразно определить, всем ли сотрудникам, на данный момент допущенным к персональным данным, действительно для выполнения работы необходим такой доступ или же можно сузить этот круг лиц. Для документов, содержащих персональные данные на бумажных носителях, также необходимо выполнить ряд мер, направленных на обеспечение безопасной обработки и хранения персональных данных. В целом для персональных данных, обрабатываемых в компании, обязательно должна быть разработана модель угроз, оценивающая, какие из существующих угроз актуальны для каждой отдельной компании и как эти угрозы могут быть реализованы. Также должны быть определены цели, средства и методы по созданию системы защиты персональных данных, охватывающие как организационные, так и технические требования.
Выполнение организационных мер по защите персональных данных не влечет за собой чрезмерно высоких затрат, однако позволяет организации проконтролировать и несколько упорядочить бизнес-процессы, регламентировать работу сотрудников, выполнить требования законодательства и улучшить свою производительность.
Но хочется отметить, что даже для выполнения только организационных мер компаниям желательно обращаться в организации, специализирующиеся на предоставлении услуг в области информационной безопасности, в частности на защите персональных данных. Это гарантирует руководителям компаний, что работа будет выполнена профессионалами, в срок, с надлежащим качеством, более того, немаловажно, что работы будут выполняться сторонними людьми, что позволит получить непредвзятую оценку текущего состояния дел в компании.
Одним из основных вопросов для руководителей компании всегда было, как обеспечить защиту стратегически важной информации от своих же сотрудников, как не допустить утечки информации к конкурентам. Ответ на вопрос на самом деле очевиден: необходимо обеспечить сотрудникам условия, исключающие желание ненадлежащего использования информации. На этапе приема человека к себе в команду желательно удостовериться в его надежности, запросить рекомендации с прежних мест работы, оценить причины предыдущих увольнений, а также целеустремленность человека и его потенциальную пользу для компании. В дальнейшем же для минимизации угрозы инсайда необходим постоянный контроль за настроением и качеством работы персонала, необходимо проводить корпоративные тренинги и беседы, позволяющие лучше оценить отношение сотрудников к своим задачам, выявить возможные факторы, вызывающие недовольство сотрудников, и устранить конфликты еще до момента их возникновения. Также для решения описанных задач и повышения безопасности информации, обрабатываемой в компании, необходимо использование соответствующего программного обеспечения, позволяющего вести контроль за деятельностью сотрудников. В данном случае рекомендуется использовать системы мониторинга, позволяющие проконтролировать использование информационных ресурсов сотрудниками компании, а также желательно внедрение систем, позволяющих исключить (либо сильно усложнить) несанкционированное хищение информации, передачу информации за пределы компании, использование информационных ресурсов не по назначению. В данном случае желательно применение в совокупности организационных и технических мер по защите информации.
Никогда нельзя забывать о необходимости обеспечения надежной защиты информации, утрата которой может нанести вред компании, как финансовый, так и репутационный. Как уже было сказано ранее, необходимо минимизировать угрозы инсайда, но также нельзя забывать и о возможных угрозах с внешней стороны (конкуренты, партнеры и т.д.). Особенно этот вопрос актуален сегодня, когда все больше информации для повышения работы передается в публичные сети, все более распространенной становится работа посредством публичных ресурсов. Согласно проводимым исследованиям ежегодно растет количество DDoS-атак (Denial of Service, отказ в обслуживании), совершаемых на различные сайты в сети, атак, направленных на выведение из строя вычислительной системы, когда пользователи системы не смогут получить доступ к ресурсам системы. При этом растет не только частота атак, но и увеличивается их мощность.
Для обеспечения защиты информации возможно использование средств обнаружения и блокировки атак, построение многоуровневой защиты. В компании для обеспечения надежной защиты информации должна быть разработана и внедрена определенная политика информационной безопасности, регламентирующая основные вопросы использования информации, мер по защите, а также ответственности персонала за ненадлежащее использование данных. Для выполнения устанавливаемых политикой требований необходимо также применение технических мер защиты, о которых говорилось ранее.
Одним из вариантов обеспечения безопасности информации возможно применение решений компании Arbor, которые позволят:
- обеспечить доступность бизнес-приложений;
- повысить эффективность функционирования сети путем моделирования и оптимизации транспортных потоков, мониторинга состояния и загрузки сетевых узлов и интерфейсов.
Однако независимо от выбора тех или иных мер защиты информации, от затрат на организационные и технические меры необходимо помнить, что обязателен контроль за выполнением установленных в компании требований, а также регулярная оценка актуальности используемых средств и методов по защите информации, представляющей для компании ценность.
К.Засецкая
Инженер
направления информационной безопасности
департамента системной интеграции
Закон N 152-ФЗ определил, что оператором персональных данных является, по сути, любая компания, так как в каждой компании есть как минимум персональные данные ее учредителей и руководства. Помимо этого, как правило, всегда есть штат сотрудников, которые при оформлении на работу также представляют свои персональные данные. Впоследствии постоянно ведется их обработка, эти данные используются при передаче информации в налоговые органы, фонды медицинского и пенсионного страхования, при расчете заработной платы и т.д. Таким образом, каждая компания на территории Российской Федерации обязана выполнить ряд мер по обеспечению защиты обрабатываемых персональных данных.
С чего же начать? В соответствии с требованиями Закона N 152-ФЗ все информационные системы персональных данных, введенные в эксплуатацию до 1 января 2010 г., должны быть приведены в соответствие с действующими требованиями по обеспечению безопасности к 1 января 2011 г. На сегодняшний день требования по обеспечению безопасности персональных данных устанавливаются следующими основными документами:
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями);
Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности Российской Федерации (ФСБ), Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных";
Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Указ Президента Российской Федерации от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера";
Трудовой кодекс Российской Федерации. Глава 14. "Защита персональных данных работника".
Также ведутся разработки отраслевых требований (например, банковская, медицинская, страховая сферы), и пока что не принято решение, смогут ли коммерческие структуры руководствоваться именно отраслевыми требованиями, а устанавливаемые государством останутся обязательными только для госструктур, для остальных организаций будут носить рекомендательный характер. Тем не менее этот вопрос касается в основном детальных технических требований, обязанность же по обеспечению защиты персональных данных не снимается, и выполнять ее необходимо уже сегодня.
В первую очередь в компании должен быть выполнен ряд организационных мер, направленных на защиту персональных данных. Обязательно должно быть введено в действие положение, регламентирующее основные вопросы обработки и защиты персональных данных, а также устанавливающее ответственность сотрудников за несоблюдение требований. Помимо этого, необходимо определить перечень обрабатываемых персональных данных и цели их обработки, а также персонал, допущенный согласно своим должностным обязанностям к этой обработке. При этом целесообразно определить, всем ли сотрудникам, на данный момент допущенным к персональным данным, действительно для выполнения работы необходим такой доступ или же можно сузить этот круг лиц. Для документов, содержащих персональные данные на бумажных носителях, также необходимо выполнить ряд мер, направленных на обеспечение безопасной обработки и хранения персональных данных. В целом для персональных данных, обрабатываемых в компании, обязательно должна быть разработана модель угроз, оценивающая, какие из существующих угроз актуальны для каждой отдельной компании и как эти угрозы могут быть реализованы. Также должны быть определены цели, средства и методы по созданию системы защиты персональных данных, охватывающие как организационные, так и технические требования.
Выполнение организационных мер по защите персональных данных не влечет за собой чрезмерно высоких затрат, однако позволяет организации проконтролировать и несколько упорядочить бизнес-процессы, регламентировать работу сотрудников, выполнить требования законодательства и улучшить свою производительность.
Но хочется отметить, что даже для выполнения только организационных мер компаниям желательно обращаться в организации, специализирующиеся на предоставлении услуг в области информационной безопасности, в частности на защите персональных данных. Это гарантирует руководителям компаний, что работа будет выполнена профессионалами, в срок, с надлежащим качеством, более того, немаловажно, что работы будут выполняться сторонними людьми, что позволит получить непредвзятую оценку текущего состояния дел в компании.
Одним из основных вопросов для руководителей компании всегда было, как обеспечить защиту стратегически важной информации от своих же сотрудников, как не допустить утечки информации к конкурентам. Ответ на вопрос на самом деле очевиден: необходимо обеспечить сотрудникам условия, исключающие желание ненадлежащего использования информации. На этапе приема человека к себе в команду желательно удостовериться в его надежности, запросить рекомендации с прежних мест работы, оценить причины предыдущих увольнений, а также целеустремленность человека и его потенциальную пользу для компании. В дальнейшем же для минимизации угрозы инсайда необходим постоянный контроль за настроением и качеством работы персонала, необходимо проводить корпоративные тренинги и беседы, позволяющие лучше оценить отношение сотрудников к своим задачам, выявить возможные факторы, вызывающие недовольство сотрудников, и устранить конфликты еще до момента их возникновения. Также для решения описанных задач и повышения безопасности информации, обрабатываемой в компании, необходимо использование соответствующего программного обеспечения, позволяющего вести контроль за деятельностью сотрудников. В данном случае рекомендуется использовать системы мониторинга, позволяющие проконтролировать использование информационных ресурсов сотрудниками компании, а также желательно внедрение систем, позволяющих исключить (либо сильно усложнить) несанкционированное хищение информации, передачу информации за пределы компании, использование информационных ресурсов не по назначению. В данном случае желательно применение в совокупности организационных и технических мер по защите информации.
Никогда нельзя забывать о необходимости обеспечения надежной защиты информации, утрата которой может нанести вред компании, как финансовый, так и репутационный. Как уже было сказано ранее, необходимо минимизировать угрозы инсайда, но также нельзя забывать и о возможных угрозах с внешней стороны (конкуренты, партнеры и т.д.). Особенно этот вопрос актуален сегодня, когда все больше информации для повышения работы передается в публичные сети, все более распространенной становится работа посредством публичных ресурсов. Согласно проводимым исследованиям ежегодно растет количество DDoS-атак (Denial of Service, отказ в обслуживании), совершаемых на различные сайты в сети, атак, направленных на выведение из строя вычислительной системы, когда пользователи системы не смогут получить доступ к ресурсам системы. При этом растет не только частота атак, но и увеличивается их мощность.
Для обеспечения защиты информации возможно использование средств обнаружения и блокировки атак, построение многоуровневой защиты. В компании для обеспечения надежной защиты информации должна быть разработана и внедрена определенная политика информационной безопасности, регламентирующая основные вопросы использования информации, мер по защите, а также ответственности персонала за ненадлежащее использование данных. Для выполнения устанавливаемых политикой требований необходимо также применение технических мер защиты, о которых говорилось ранее.
Одним из вариантов обеспечения безопасности информации возможно применение решений компании Arbor, которые позволят:
- обеспечить доступность бизнес-приложений;
- повысить эффективность функционирования сети путем моделирования и оптимизации транспортных потоков, мониторинга состояния и загрузки сетевых узлов и интерфейсов.
Однако независимо от выбора тех или иных мер защиты информации, от затрат на организационные и технические меры необходимо помнить, что обязателен контроль за выполнением установленных в компании требований, а также регулярная оценка актуальности используемых средств и методов по защите информации, представляющей для компании ценность.
К.Засецкая
Инженер
направления информационной безопасности
департамента системной интеграции
Другие новости по теме:
Вступление в силу закона "О защите персональных данных": надо ли что дела ... Какие законы регулируют порядок работы с персональными данными работников? Федеральный закон от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в с ... Федеральный закон от 23 декабря 2010 г. N 359-ФЗ "О внесении изменения в с ... Закон "О защите персональных данных": ответы на вопросы Особенности регулирования персональных данных для банков и страховщиков