Donlegion.com — : «Защита персональных данных в ИС» Информационная безопасность

Реферат

В январе 1986 года Россия подписала Конвенцию Совета Европы о защите личности в связи с автоматической обработкой персональных данных, принятую в Страсбурге за 25 лет до этого. В 1997 году началось обсуждение Федерального закона Российской Федерации «О персональных данных», он был принят 27 июля 2006 года (№ 152-ФЗ «О персональных данных») и вступает в силу 1 января 2010 года.

В 2008 г. в Федеральной службе по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) было создано Управление по защите прав субъектов персональных данных в Российской Федерации. В его состав включено три отдела: отдел организации ведения реестра операторов, осуществляющих обработку персональных данных (ПД), отдел организации контроля и надзора за соответствием обработки ПД и отдел анализа и методологического обеспечения в области ПД. Дополнительно организованы специальные отделы в 78 территориальных органах Россвязькомнадзора.

Ранее принятые законы «Об информации, информационных технологиях и защите информации» (№149-ФЗ от 27 июля 2006 г.), «О коммерческой тайне» (№98-ФЗ от 29 июля 2004 г.), а также Постановление Правительства РФ «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (№781 от 17 ноября 2007 г.) и совместный Приказ ФСТЭК, ФСБ и Мининформсвязи «Об утверждении порядка проведения классификации информационных систем персональных данных» (№55/86/20 от 13.02.2008) образуют нормативную базу для построения систем защиты ПД.

ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ И ЗАДАЧИ .

Определение персональных данных дано в Законе №152-ФЗ: «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Оператор персональных данных: «государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Согласно статье 19 ФЗ-№152, «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Деятельность операторов ПД считается законной при наличии регистрации этих операторов в реестре.

7 стр., 3173 слов

Персональные данные как информация ограниченного доступа

... неотъемлемые права человека. Прогресс информационных технологий только усилил степень этой опасности. В России впервые персональные данные как вид документированной информации ограниченного доступа были определены в Федеральном ... (Закон РФ от 21 июля 1993 г. № 5485-1 "О государственной тайне"). Обработка специальных категорий персональных данных, касающихся национальной принадлежности, политических ...

Прежде чем приступить к обработке ПД, оператор обязан уведомить Уполномоченный орган по защите прав субъектов ПД (Управление Россвязькомнадзора) о своем намерении. В свою очередь Управление ведет реестр операторов ПД и имеет право на контроль их деятельности, вплоть до приостановления или прекращения работ, если они производятся с нарушением требований, установленных Правительством РФ.

Субъект ПД самостоятельно решает вопрос передачи кому-либо своих ПД, документально оформляя свое намерение. В соответствии со статьей 9 ФЗ-№152 обработка персональных данных осуществляется только при условии согласия в письменной форме с указанием следующих данных:

  • фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Лица, виновные в нарушении требований обработки и хранения ПД, несут гражданскую, уголовную, дисциплинарную и иную, предусмотренную законодательством РФ, ответственность. Субъект ПД имеет право на получение сведений об операторе и информации, касающейся обработки его ПД, на доступ к своим ПД, а также на обжалование действий или бездействия оператора. Кроме того, субъект ПД может обратиться за защитой своих прав и законных интересов, в том числе за возмещением убытков и (или) компенсацией морального вреда в судебном порядке.

В Постановлении Правительства №781 содержится определение информационной системы персональных данных (ИСПДн): «информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств».

КЛАССИФИКАЦИЯ ТИПОВЫХ ИСПДн.

Один из основных этапов — классификация создаваемых ИСПДн по категориям, которая выполняется в процессе создания ИС или в ходе их эксплуатации (для ранее реализованных и/или модернизируемых ИС) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности ПД.

Установлены четыре основные категории ПД:

  • категория 1 — ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • категория 2 — ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1;
  • категория 3 — персональные данные, позволяющие идентифицировать субъекта ПД;
  • категория 4 — обезличенные и (или) общедоступные ПД.

Информационные системы, обрабатывающие ПД, делятся на типовые и специальные. В типовых ИС требуется обеспечить только конфиденциальность ПД, а в специальных — хотя бы одну из дополнительных функций безопасности ПД (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

15 стр., 7189 слов

Правовая защита персональных данных в России

... сохранение безопасности персональных данных, о методах и способах защиты, о типах угроз, о видах ответственности за нарушение работы с персональными данными. Обилие такой информации способствует увеличению степени и качества защиты персональных данных. Глава 1 Понятие «персональные данные» ...

По мнению экспертов, сегодня большинство ИСПДн можно отнести к категории специальных, и только некоторые из них можно считать типовыми. Для специальных ИСПДн требуется провести работу по моделированию возможных угроз и отработки способов защиты. В зависимости от объема ИСПДн делятся на три группы: предназначенные для обработки ПД менее чем о 1000 субъектах ПД; от 1000 до 100 000 субъектах ПД; о 100 000 субъектах ПД и более.

СПЕЦИАЛЬНЫЕ ИСПДн.

Класс специальной ИСПДн определяется на основе модели угроз. Утвержденная ФСТЭК базовая модель угроз безопасности ПД при их обработке в ИСПДн содержит единые исходные данные по угрозам безопасности ПД, связанным, во-первых, «с перехватом (съемом) ПД по техническим каналам с целью их копирования или неправомерного распространения» и, во-вторых — «с несанкционированным, в том числе случайным доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПД или деструктивных воздействий на элементы ИСПДн и обрабатываемых ПД с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПД».

Исходные данные для определения актуальных угроз формируются на основе перечней источников угроз (опрос), уязвимых звеньев ИС (опрос и сканирование сети) и, наконец, перечня технических каналов утечки (обследование ИС).

Порядок определения актуальных угроз безопасности ПД в ИСПДн предусматривает следующие этапы:

  • оценка (на основе опроса и анализа) уровня исходной защищенности ИСПДн (высокий, средний, низкий);
  • экспертная оценка частоты (вероятности) реализации угрозы (маловероятная, низкая, средняя, высокая);
  • определение актуальных угроз (путем исключения неактуальных угроз по определенному алгоритму).

Инструментальный анализ защищенности ИСПДн включает анализ средств защиты информации: шлюзов VPN, антивирусных средств защиты, средств обнаружения атак IDP/IPS, межсетевых экранов и систем защиты от утечки конфиденциальной информации. Дополнительно проводится анализ безопасности сетевой инфраструктуры: коммутаторов, маршрутизаторов, сетей SAN и WLAN. Тест на проникновение позволяет получить независимую оценку безопасности ИСПДн по отношению к внешнему нарушителю.

Таким образом, основные мероприятия по обеспечению безопасности специальных ИСПДн включают:

  • определение угроз безопасности ПД и формирование модели угроз;
  • разработка на основе модели угроз системы защиты ПД;
  • проверка готовности системы защиты информации (СЗИ) к использованию;
  • обучение персонала правилам работы с СЗИ;
  • учет применяемых СЗИ и носителей ПД;
  • учет лиц, допущенных к работе с ПД;
  • контроль за соблюдением условий использования СЗИ;
  • реагирование на нарушение режима защиты ПД;
  • описание системы защиты персональных данных.

КОГДА НЕОБХОДИМО ШИФРОВАНИЕ?

6 стр., 2613 слов

Понятие информационной безопасности и угрозы безопасности

... информации, которые могут быть нарушены в результате их реализацию. Обычно выделяют три группы: Угроза нарушения конфиденциальности, Угроза нарушения целостности, Угроза нарушения доступности (или угроза отказа служб)., Обычно причинами возникновения угроз безопасности ... риск утраты данных либо несанкционированного ... Защита при отключении электропитания Признанной и надёжной мерой потерь информации, ...

Правила разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию ПД при их обработке в ИС устанавливает ФСБ РФ. Целесообразность их применения выясняется на этапе определения модели угроз. Если они признаются необходимыми, то применяемые средства криптографической защиты информации (СКЗИ) должны соответствовать требованиям российского законодательства. Типовые требования в отношении информации, не содержащей секретных сведений и государственной тайны, разработаны ФСБ и предоставляются по запросу оператора ПД. По данным Perimetrix, шифрование ПД и других конфиденциальных данных в местах хранения внедрено только в 36% российских компаний.

СТАТУС КВО

Было проведено исследование, в котором было опрошено 389 респондентов, представляющих компании разного размера и из разных отраслей. Больше всего ответов (35,6%) поступило из средних (по российским меркам) компаний (от 100 до 500 сотрудников).

Почти три четверти респондентов (72,5%) представляли два вертикальных рынка – финансовый и телекоммуникационный.

Защита ПД является актуальной задачей для российских организаций. 52% компаний-респондентов обрабатывают более 10 тыс. записей о ПД, а 15,3% – более 1 млн записей (см. Рисунок 1).

Наибольшую угрозу конфиденциальности персональных данных представляет ИТ-персонал, топ-менеджмент и аналитические службы. Доступ к массивам ПД имеют, соответственно, 57,6%, 21,9% и 18,5% этих подразделений. Для сравнения, согласно мировой статистике, более 90% утечек так или иначе связаны с действиями сотрудников предприятий (см. Рисунок 2).

Защита ПД – системная задача, требующая разработки единого подхода и формализации взаимодействий между операторами. Только 64,3% компаний имеют монопольный доступ к ПД, остальные допускают к информации дочерние и материнские структуры либо партнеров (для 13,1% операторов это зарубежные компании).

Основное препятствие на пути реализации ФЗ «О персональных данных» заключается в неясном характере его положений (34,7%), бюджетных ограничениях (20,6%) и отсутствии квалифицированных кадров (19%).

Большинство респондентов (65,3%) считают, что государство должно законодательно закрепить требование о публикации сведений об утечках ПД.

Пять наиболее распространенных сценариев утечек ПД:

  • кража или потеря носителей (ноутбуков) с ПД
  • утечка через Web в результате случайной публикации ПД в общедоступных местах (Internet или Intranet)
  • спланированный инсайд — умышленная кража информации сотрудником, имеющим легальный доступ к ней
  • бумажная утечка — печать и распространение ПД на бумажных носителях
  • внешний взлом корпоративной сети

Исследование показало чрезвычайную важность и растущую актуальность защиты ПД. Российские компании обрабатывают огромный объем данных, доступ к которым имеют корпоративные подразделения и департаменты. В большинстве случаев отсутствие контроля приводит к высоким рискам утечки ПД. Примерно половина отечественных специалистов работает в компаниях, которые уязвимы в связи с возможностью утечек. В идеале доступ к ПД должны иметь только сотрудники службы безопасности, но такое встречается только в 5,1% случаев.

Требования «Закона о защите ПД» до сих пор не выполняются, и правоприменительная практика в отношении ФЗ отсутствует, контроль над его исполнением де-факто не производится. Тем не менее, сотрудники российских компаний неплохо осведомлены об основных положениях закона и считают его наиболее важным документом в деле обеспечения безопасности ПД (см. Рисунки 3 и 4).

ДВА ОСНОВНЫХ МЕТОДА ЗАЩИТЫ.

С технической точки зрения методы защиты можно разделить на две группы. К первой относится шифрование данных, когда конфиденциальная информация хранится в защищенной области, а доступ к ней жестко контролируется самими пользователями. Практика показывает, что в большинстве случаев этот метод себя оправдывает. Однако утечки данных могут происходить по вполне «легальным» каналам – например, при участии пользователей, имеющих права доступа к такой информации. В связи с этим получил распространение второй метод защиты – решения для предотвращения потери данных (Data Loss Prevention, DLP), которые позволяют осуществлять контроль за каналами передачи данных и информировать службу безопасности или блокировать передачу в случае обнаружения нарушений политики безопасности. Естественно, наиболее эффективно сочетание обоих методов.

Информационная безопасность опирается на технические средства, и именно поэтому многие не видят ее второй составляющей — организации управления. Как следствие, вопросы защиты корпоративных данных зачастую пытаются переложить исключительно на плечи службы ИТ. В результате качество работы систем обеспечения информационной безопасности нередко оказывается весьма далеко от идеала, так как сотрудники отдела ИТ в силу специфики своей деятельности не относятся к сложному внедрению таких систем как к приоритетному направлению. Более того, нередко они даже не выполняют возложенных на них функций. Однако даже если внедрение систем безопасности проведено по всем правилам и информацию нельзя ни скопировать, ни переслать по почте, ее можно просто запомнить и при случае передать «куда не надо», но это уже проблема морально-этического характера, нежели технического.

Ни в коем случае нельзя смешивать функции отдела ИТ и отдела безопасности. У них изначально должны быть разные задачи и подходы к организации информационной безопасности.

ПРОГНОЗЫ ЭКСПЕРТОВ.

Эксперты пессимистично оценивают перспективы повсеместного внедрения закона и регистрации всех операторов ПД в установленный срок: абсолютно невероятно, что к 1 января 2010 г. будут зарегистрированы все операторы персональных данных. К тому же различные органы государственной власти, законодательные и исполнительные, расходятся в вопросе определения обязательной регистрации. В первую очередь сомнения возникают в отношении обработки персональных данных работодателями и операторами, имеющими договоры с физическими лицами и предоставляющими (передающими) ПД третьим лицам. Поэтому с 1 января закон «не заработает» в полную силу и повсеместно.

Главными препятствиями являются следующие:

  • высокая стоимость реализации технической защиты;
  • нежелание оказаться под контролем со стороны еще нескольких органов исполнительной власти;
  • неясные последствия отказа от выполнения требований закона для органов власти, бизнеса и руководителей. Иногда дешевле будет заплатить штраф, но не усложнять информационную систему и не вкладывать деньги в ее защиту;
  • отсутствие в нашей стране примеров реальной потери репутации компании в результате утечки персональных данных;
  • отсутствие четкого понимания процедуры государственного контроля и надзора за безопасностью ПД, влияние этого контроля на деятельность предприятий и организаций.

приблизительный подсчет времени, за которое оператор сможет выполнить подобную работу. Допустим, регистрация оператора ПД занимает 1-2 месяца, а на лицензирование, сертификацию и аттестацию уходит по полгода, т.е. всего надо без малого два года. Между тем, до 1 января 2010 г. осталось чуть более года. Далее, в России не более 100 центров по проведению работ по подготовке операторов к лицензированию, согласованию модели угроз, сертификации и аттестации ИСПДн, а минимальное количество ИСПДн, для которых необходимо выполнить весь рассмотренный цикл работ по приведению информационной системы в соответствие с ФЗ-№152, примерно 100 тыс. штук.

Как нетрудно подсчитать, на проведение такой работы в масштабах страны понадобится 1 тыс. лет. Поскольку каждая уполномоченная организация может выполнять одновременно до 10 подобных работ, то период сокращается до 100 лет. Конечно, приведенные подсчеты весьма приблизительны, однако даже они показывают, что установленный государством срок, мягко говоря, весьма оптимистичный.

Кроме того, препятствием на пути к повсеместному внедрению закона «О персональных данных» служит и отсутствие баланса интересов всех участников информационных отношений (общества, субъектов и операторов ПД, разработчиков ИСПДн, законодательных органов, органов государственной власти, прежде всего регуляторов — ФСТЭК, ФСБ, Минсвязи).

Вдобавок существуют две системы сертификации (аттестации) средств и систем защиты информации, причем в том, что касается безопасности ПД, регуляторы ориентируются на формирование требований к механизмам защиты в рамках собственных систем сертификации (аттестации).

В разработанных ими документах учтены лишь некоторые критерии оценки эффективности различных средств защиты информации, а их положения основаны лишь на практике применения сформировавшихся ранее подходов. Так, методические документы по защите ПД не содержат методики и результатов оценки всех видов рисков нарушения безопасности ПД для субъектов и операторов ПД, из-за чего невозможно оценить формируемые на их основе требования к защите ПД по критерию стоимость/эффективность.

При ближайшем рассмотрении требований ФСТЭК к системам обработки персональных данных с использованием средств автоматизации выясняется, что фактически произошла перелицовка и перекомпоновка его традиционных документов, посвященных технической защите информации ограниченного доступа. Специалисты ФСБ поступили еще проще — они предполагают переиздать действующие в настоящее время требования к СКЗИ и порядок эксплуатации СКЗИ под другим наименованием (в контексте защиты персональных данных).

С учетом того, что персональные данные являются одним из видов информации ограниченного доступа, их защита должна обеспечиваться исходя из общих требований, а стало быть, такое повторение вполне правомочно и ничему не противоречит. Мало того, поступить по-другому было бы нелогично.

Крупные компании, для которых безопасность их информации не пустой звук, уже давно обеспечили реализацию необходимых мер. Тем же, кто ранее оставлял под угрозой персональные данные граждан, придется приложить немалые усилия, а кому-то и раскошелиться. И тут возникает серьезная проблема: откуда взять средства на реализацию достаточно серьезных мер защиты персональных данных? Например, в разряд специальных ИСПДн попадают информационные системы медицинских учреждений, а значит, в этих системах требуется использовать криптографические средства защиты. А их внедрение предполагает серьезные материальные затраты на аппаратную поддержку, содержание персонала, инфраструктуру ключей и управления.

В сложной ситуации могут оказаться самые обычные учреждения. Например, в детских садах имеют обыкновение записывать информацию о национальной принадлежности детей. Если, согласно веяниям современной моды, для этого используются автоматизированные методы обработки информации о клиентах, то информационная система такого детсада должна классифицироваться как ИСПДн класса 1, поскольку в ней обрабатываются персональные данные первой категории. Последствия те же: применение средств криптографической защиты становится обязательным.

С точки зрения обычного гражданина такие меры защиты ПД необходимы, но они могут привести или к профанации, или к отказу от применения. Разговоры о трудностях их реализации, в том числе по финансовым причинам, возникают постоянно. Требование обеспечения безопасности ПД законодательно закреплено давно, но время потрачено впустую. И вот теперь, когда наконец государство стало вплотную заниматься этим вопросом, многие оказались застигнутыми врасплох. Подобная ситуация уже случалась, причем не так давно и в еще больших масштабах, а именно — применительно к нелицензионному ПО. Тогда тоже санкции последовали не сразу и назначался срок, в течение которого покупатели должны были приобрес-ти лицензионные продукты, дабы избежать санкций. И точно так же неожиданной оказалась необходимость выделить значительные средства на их приобретение. Причина, скорее всего, в отсутствии культуры. В данном случае еще и культуры безопасности.

Поскольку ФЗ уже давно вступил в силу, российские компании должны быть готовы к ужесточению контроля за исполнением закона. Конечно, это не станет одномоментным событием, однако и реализация комплекса защитных мер требует времени. Задумываться о безопасности персональных данных необходимо уже сегодня, внедрять защиту – завтра, а послезавтра – спокойно наблюдать за схваткой государства и менее дальновидных организаций.

Автор: | Відгуки: 0 | Перегляди: 6578 | 11/02/2012 Захист інформації — Інформаційна безпека

Ссылка на статью: