Михаил емельянников: «защита персональных данных – уже не так страшен черт, как его малюют»

      Комментарии к записи Михаил емельянников: «защита персональных данных – уже не так страшен черт, как его малюют» отключены

О том, как на практике воплотить в жизнь комплекс мер по защите персональных данных и что делать бизнесу, чтобы соответствовать закону, в интервью Bankir.Ru рассказывает Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры».

— Тема защиты персональных данных по-прежнему остается актуальной для российского бизнеса. Одних она приводит в ужас, другие думают о том, как привести свои системы обработки персональных данных в соответствие законодательству

— Ситуация с защитой персональных данных в нашей стране постепенно стабилизируется. После многолетнего обсуждения, развивавшегося по стандартной схеме внедрения всего нового: «Этого сделать нельзя в принципе – Стоит ли что-нибудь делать – Что делать – Как это сделать», наработана практика реализации необходимых мер, обеспечивающих выполнение требований закона.

Услуги по приведению обработки персональных данных в соответствие законодательству и созданию подсистемы безопасности информационной системы персональных данных (ИСПДн) широко и активно предлагаются на российском рынке, а количество компаний, их оказывающих, растет от года к году. При этом также из года в год растет количество проводимых контрольных и надзорных мероприятий в этой области, а с ним – и количество выявляемых нарушений и недостатков, соответственно – и размер налагаемых штрафов на операторов персональных данных. Все это уже позволяет обобщить сложившуюся практику и сформулировать достаточно универсальные рекомендации.

— Давайте попробуем, особенно – с оглядкой на сегмент малого и среднего бизнеса, где любая инновация воспринимается труднее.

— Самое первое и неприятное открытие для сегмента малого и среднего бизнеса (СМБ) – никаких послаблений, позволяющих упростить задачу достижения соответствия установленным требованиям, ни в самом федеральном законе «О персональных данных» (152-ФЗ), ни в принятых в его развитие подзаконных актах нет. Как и любой другой оператор, среднее или малое предприятие, а равно и индивидуальный предприниматель или физическое лицо, попавшие под установленное законом определение оператора, обязано при обработке персональных данных принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Единственные возможности как-то сэкономить на предпроектных и проектных работах кроются в относительно небольшом количестве обрабатываемых персональных данных и возможности при классификации ИСПДн не завышать ее класса, руководствуясь формулировкой из совместного приказа ФСБ, ФСТЭК и Минкомсвязи России от 13 февраля 2008 года № 55/86/20: «в информационной системе одновременно обрабатываются персональные данные субъектов персональных данных в пределах конкретной организации», поскольку, чем выше класс системы, тем более жесткие требования предъявляются к ее безопасности, и тем дороже она будет стоить. Удельная стоимость защитных мер на узел в ИСПДн будет примерно одинаковой как для крупного бизнеса, так и для малого. В этих условиях особенно тщательно придется подойти к определению того, какие конкретно данные и в каком объеме будут обрабатываться.

— На что тут делать акцент?

— На первом этапе при решении данной задачи важнейшими представляются именно правовые меры, предусматривающие полный отказ от обработки персональных данных в случаях, если она не соответствует требованиям законодательства, обеспечение правовых оснований обработки конкретных категорий персональных данных конкретных субъектов и разработку локальных нормативных актов предприятия в области обработки персональных данных, реализующих требования российского законодательства.

Не будем забывать, что закон требует, чтобы обработка персональных данных осуществлялась на законной и справедливой основе и ограничивалась достижением заранее определенных и законных целей. При этом не допускается обработка персональных данных, не совместимая с предопределенными, заявленными целями их сбора.

В новой редакции закона «О персональных данных», установленной в июле 2011 года законом 261-ФЗ, понятие цели обработки стало центральным, фактически определяющим как допустимость обработки данных, так и конкретные их категории и используемые способы обработки.

— Можно для понимания конкретные примеры?

— Давайте посмотрим. Прокуратура Советского района Астрахани в мае 2012 года при проверке детской поликлиники установила, что в историях болезни детей хранились копии свидетельств о рождении детей, содержащие сведения о национальной принадлежности родителей, которые являются избыточными по отношению к заявленным поликлиникой целям обработки. То есть обосновать, зачем нужны отнесенные законом к специальным категориям и требующие получения согласия на обработку от субъекта в письменной форме сведения о национальности оператор не смог, тем самым нарушив установленные статьей 5 152-ФЗ принципы обработки: законность (не было согласия или нового правового обоснования обработки), ограничение обработки достижением конкретных, заранее определенных и законных целей (которые для национальности не определены), недопустимость обработки данных, не совместимых с целями сбора и не отвечающих целям их обработки, неизбыточность обрабатываемых данных по отношению к заявленным целям.

Не будем также забывать, что, попади сведения о национальности в информационную систему (например, в виде скана свидетельства о рождении, файла в офисном формате или поля в базе данных), поликлиника существенно усложнила бы себе жизнь – ИСПДн, содержащие специальные категории персональных данных, независимо от количества субъектов, чьи данные обрабатываются, всегда относятся к высшему классу К1, который требует принятия максимальных мер защиты, вплоть до обязательного использования средств, прошедших сертификацию на отсутствие недекларированных возможностей

Еще один пример касается принципа справедливости обработки персональных данных. Даже получая такие данные из открытого источника, например, из газеты или доски объявлений, оператор должен помнить, что их произвольное использование, например, распространение в других открытых источниках или обращение к субъекту с предложением своих товаров или услуг, законом не допускается. Первое ограничено статьей 7 закона, прямо запрещающей распространять персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом, а второе – частью 1 статьи 15, требующей предварительного согласия потенциального потребителя на продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с ним с помощью средств связи, независимо от того, каким способом и откуда оператор получил персональные (в данном случае – контактные) данные.

В системе принимаемых оператором правовых мер защиты важнейшим звеном является создание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства России, устранение последствий таких нарушений.

И здесь предприятия сегмента СМБ часто допускают типовую ошибку – не увязывают разработанные документы с особенностями работы предприятия, делая их фактически копией или выпиской из закона и принятых в его развитие нормативно-правовых актов. Поскольку в этом секторе экономики привлечение внешних специалистов для решения задач, не связанных с основной деятельностью организации, руководством финансируется крайне неохотно, нормотворчество выполняется своими силами, а для получения типовых исходных документов обычно используются три основных источника: выложенные в открытый доступ аналогичные документы других операторов; справочные правовые системы (как размещенные в Интернете, так и платные, используемые внутри предприятия); недорогие комплекты типовых документов, активно предлагаемые компаниями в том же Интернете и требующие последующей адаптации для конкретной организации.

Подобные пути решения проблемы понятны и вполне обоснованы, но, следуя ими, надо помнить, что двух абсолютно одинаковых предприятий не бывает, а все подобные перечисленные выше документы делаются применительно к конкретной компании со своими особенностями, или для некой абстрактной организации, причем в последнем случае разработчик документа старается отразить в нем максимум вопросов, многие из которой для конкретной организации могут оказаться неактуальными.

Для наглядности – еще один пример. Промышленное предприятие для разработки политики в отношении обработки персональных данных решило использовать выложенный в правовой справочной системе образец, и, не мудрствуя лукаво, просто проставило в нужных местах свое название. В результате взятые на себя обязательства по защите персональных данных значительно превышали реальные потребности и фактически не соответствовали реальным условиям их обработки.

Например, в этой политике был раздел «Криптографическая защита», предусматривающий, например, использование электронной подписи как средства обеспечения подлинности и юридической значимости электронного документа и криптографической аутентификации как средства подтверждения санкционированности доступа субъекта к персональным данным.

— На что тут можно ориентироваться?

— Закрытого, исчерпывающего перечня локальных актов, необходимых оператору и определяющих порядок обработки персональных данных и устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, ни 152-ФЗ, ни принятые нормативно-правовые акты (НПА) не содержат. Для определения примерного набора таких документов можно воспользоваться списком, установленным постановлением правительства России от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Хотя этот акт и регламентирует деятельность операторов, являющихся государственными и муниципальными органами, можно ожидать, что примерно такой же по составу набор документов надзорные органы будут просить предъявить и любого другого оператора.

Перечень мер, определенных этим постановлением, предусматривает, что операторы утверждают актом руководителя следующие документы:

  • правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
  • правила рассмотрения запросов субъектов персональных данных или их представителей;
  • правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным 152-ФЗ, принятыми в соответствии с ним НПА и локальными актами оператора;
  • правила работы с обезличенными данными;
  • перечень информационных систем персональных данных;
  • перечни персональных данных, обрабатываемых оператором;
  • перечень должностей лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
  • перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
  • должностная инструкция ответственного за организацию обработки персональных данных;
  • типовое обязательство лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним контракта (в нашем случае – трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
  • типовая форма согласия на обработку персональных данных служащих (работников), иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
  • порядок доступа служащих (работников) в помещения, в которых ведется обработка персональных данных.

Практически все эти документы, за исключением, может быть, связанных с обезличиванием персональных данных, понадобятся любому оператору, независимо от вида деятельности и формы собственности.

— А каковы должны быть организационные меры защиты персональных данных?

— Состав организационных мер, принимаемых оператором, уже вполне устоялся, и он значительно объемнее, чем состав правовых мер. Организационные меры можно разделить на несколько достаточно однородных групп, например, следующим образом.

  1. Распределение ответственности за выполнение требований законодательства о персональных данных. Данная группа мер включает:
  • назначение лица, ответственного за организацию обработки персональных данных;
  • назначение лица (подразделения), ответственного за обеспечение безопасности обработки персональных данных в информационных системах предприятия;
  • определение состава работников предприятия, имеющих доступ к персональным данным, и организация разрешительной системы доступа к ним;
  • определение в трудовых договорах с работниками и их должностных инструкциях обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка (данные меры обязательными не являются, но представляются весьма целесообразными с точки зрения регулирования отношений с работниками, допущенными к персональным данным).
  1. Ознакомление работников предприятия, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных и иных НПА по данному вопросу, в том числе с требованиями к защите персональных данных, с локальными актами предприятия по вопросам обработки персональных данных, а также обучение указанных работников. Необходимо обратить внимание, что в существующей в настоящее время в законе формулировке проведение обучения работников, обрабатывающих персональные данные, выглядит обязательным.
  2. Регламентация процессов обработки персональных данных в соответствии с принятыми на предыдущем этапе правового регулирования локальными актами и включающая в себя:
  • получение согласия субъектов персональных данных в случаях, когда оно необходимо (в том числе в письменной форме), в том числе – на передачу обработки персональных данных другому лицу, если она планируется;
  • организация учета материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
  • недопущение без контроля со стороны работников предприятия посторонних лиц в помещения, где ведется работа с персональными данными, и размещаются технические средства их обработки.
  1. Определение условий функционирования ИСПДн:
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз; возможно, к ним скоро добавится создание модели нарушителя и оценка его возможностей;
  • классификация ИСПДн (после выхода соответствующих постановлений правительства России – установление уровня защищенности персональных данных в соответствии с установленными к ним требованиями);
  • размещение технических средств обработки персональных данных в пределах охраняемой территории предприятия;
  • при обработке персональных данных по поручению оператора другим лицом (включая хостинг, аренду или размещение серверов в Центрах обработки данных – ЦОД) – заключение договора, предусматривающего соблюдение этим лицом (ЦОДом) принципов и правил обработки персональных данных, предусмотренных законом, определяющего цели обработки и перечень действий (операций) с персональными данными, которые будут совершаться таким лицом, а также обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность при их обработке.

При проведении классификации ИСПДн целесообразно продумать варианты снижения класса, и соответственно, объема и стоимости защитных мер, которые могут включать в себя:

  • отказ от автоматизированной обработки некоторых категорий персональных данных, в частности, отнесенных законом к специальным;
  • разделение ИСПДн на части с более низким классами, например, путем сегментации серверной группы и отделения ее межсетевым экраном от пользовательских рабочих мест, выделение ИСПДн в отдельный сегмент информационной сети предприятия и т.д.;
  • сокращение количества субъектов, персональные данные которых обрабатываются в системе (например, сократив время хранения и обработки данных, передав часть их в архив, в том числе – электронный);
  • обезличивание обрабатываемых персональных данных, например, заменив в ИСПДн фамилии, имена и отчества субъектов их табельными номерами, номерами полисов страхования, абонентскими номерами или номерами договоров на оказание услуг и создав отдельное локальное рабочее место, где эти условные номера связываются с фамилиями, именами и отчествами субъектов.

В некоторых случаях может оказаться целесообразным отказ от подключения ИСПДн или входящих в ее состав рабочих мест пользователей к сетям общего пользования, включая Интернет, изменить режим обработки данных, например, многопользовательский на однопользовательский и даже изменить структуру ИСПДн, переведя обработку этой категории данных из локальной вычислительной сети предприятия на автономные рабочие места, и, может быть, перейти к неавтоматизированной обработке части данных (например, о состоянии здоровья работников). Все это определяется оператором, исходя из особенностей обработки, его материальных и технических возможностей и требований к уровню автоматизации обработки конкретных категорий сведений.

— С правовыми и организационными моментами разобрались. А каковы могут и должны быть технические меры и средства защиты персональных данных?

— В соответствии с утвержденной руководством оператора моделью угроз и требованиями, выдвигаемыми к классам ИСПДн (в перспективе – к обеспечению заданных уровней защищенности персональных данных), необходимо спроектировать подсистему информационной безопасности ИСПДн, обеспечивающую использование для нейтрализации актуальных угроз средств защиты информации (СЗИ), прошедших процедуру оценки соответствия, роль которой на сегодняшний день выполняют обязательная сертификация СЗИ и тематические исследования криптографических средств защиты.

Алгоритм действий при проектировании подсистемы безопасности достаточно прост и очевиден: для каждой угрозы, признанной в частной модели актуальной, в соответствии с требованиями и рекомендациями, содержащимися в «Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России от 5 февраля 2010 года № 58, и в методических документах по защите персональных данных с использованием криптографических средств, утвержденных 21 августа 2008 года руководством 8 Центра ФСБ России, определяется порядок ее нейтрализации, используемые для этого способы и методы защиты и функциональные требования к СЗИ, используемым для нейтрализации угрозы.

В самом общем случае в многопользовательской информационной системе, из которой возможен доступ в Интернет, защитные меры будут включать в себя: разграничение доступа работников к обрабатываемым персональным данным; антивирусную защиту; использование средств доверенной загрузки для серверов; межсетевое экранирование на границе с Интернетом; распределенное межсетевое экранирование внутри информационной системы; обнаружение и предупреждение вторжений в систему извне; защиту виртуальной инфраструктуры при ее наличии; восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; периодическое проведение мониторинга действий пользователей, контроля за принимаемыми мерами по обеспечению безопасности персональных данных, разбирательств по фактам нарушения требований.

Этот достаточно широкий перечень мер не удастся реализовать только каким-либо одним средством защиты, перед ИТ-службой предприятия и службой информационной безопасности, если она, конечно, есть, что не очень характерно для компаний сегмента СМБ, неизбежно встанет серьезная проблема совместимости набора разнородных средств защиты и его управляемости.

Предпочтительным представляется преимущественное использование продуктов одного производителя, которые заведомо не будут конфликтовать между собой. Учитывая выдвигаемое госрегуляторами требование о сертификации решений, а для систем класса К1 не только по функционалу, но и на отсутствие недекларированных возможностей (НДВ), требующей представления исходного кода, выбор возможных решений значительно сужается. Одно из наиболее полных на российском рынке решений, обеспечивающих защиту персональных данных при автоматизированной обработке в информационных сетях, предлагает отечественный вендор – компания «Код Безопасности», входящая в группу «Информзащита».

Михаил емельянников: «защита персональных данных – уже не так страшен черт, как его малюют»

— Понятно, что обо всех продуктах мы рассказать не сможем, но все же – расскажите о наиболее важных и интересных особенностях некоторых из них.

— Для рабочих станций пользователей незаменим продукт Security Studio Endpoint Protection (SSEP), сочетающий в себе межсетевой экран, обеспечивающий двусторонний контроль трафика и позволяющий пресечь попытки НСД к компьютеру из локальной сети и Интернета, антивирус, использующий быстрый и эффективный сканер, сочетающий антивирус и антишпион, и средство обнаружения вторжений, состоящее из модуля «Детектор атак», который предотвращает более 25 типовых атак, и модуля «Локальная безопасность», контролирующего взаимодействие программ и защищающего систему от нераспознаваемых угроз. Для предотвращения вреда, который могут нанести интерактивные элементы веб-серверов, встроенные в загружаемые веб-страницы, и возможной утечки вследствие этого конфиденциальной информации, в SSEP предусмотрен контроль за их работой. Таким образом, SSEP обеспечивает безопасную и комфортную работу в сети Интернет, предотвращая попытки проникновения на компьютер вредоносного ПО и блокируя нежелательный трафик.

Эффективное и простое централизованное развертывание и обновление SSEP на компьютерах локальной сети, а также контроль за состоянием безопасности обеспечивает компонента Administration Center. Для обеспечения комплексной защиты автоматизированного рабочего места данный продукт может быть использован совместно с давно зарекомендовавшим себя на российском рынке средством защиты от несанкционированного доступа (НСД) Secret Net.

В соответствии с упоминавшимся уже приказом ФСТЭК России 2010 года № 58, при разделении ИСПДн при помощи межсетевых экранов на отдельные части для них может устанавливаться более низкий класс, чем для информационной системы в целом. Отличным средством для этого является распределенный программный межсетевой экран TrustAccess, который обеспечивает аутентификацию сетевых соединений на уровне пользователей и компьютеров, фильтрацию и защиту сетевых соединений (без использования шифрования), регистрацию событий, связанных с информационной безопасностью, контроль целостности и защиту от НСД компонентов СЗИ, а также централизованное управление. Внедрение продукта не требует изменения конфигурации существующей сетевой инфраструктуры, он пригоден для защиты как физических, так и виртуальных машин, может использоваться в сетях с доменной организацией и в одноранговых сетях, позволяет управлять доступом к сетевым службам в терминальной среде.

При развертывании виртуальной инфраструктуры на платформе VMware и обеспечении защиты от специфических, присущих именно виртуальной среде угроз безопасности, будет трудно обойтись без решения vGate R2, обеспечивающего усиление классических защитных механизмов идентификации и аутентификации, управления доступом, регистрации событий, контроля целостности, которые в штатном исполнении платформы либо отсутствуют, либо реализованы недостаточно надежно и полноценно, не отвечая в полной мере требованиям регуляторов. Среди важнейших особенностей продукта необходимо отметить усиленную аутентификацию администраторов виртуальной инфраструктуры и администраторов информационной безопасности, защиту ESX-серверов и средств управления виртуальной инфраструктурой от НСД, мандатное управление доступом, контроль целостности конфигурации и доверенную загрузку. Естественно, это решение, как и все продукты «Кода Безопасности», обеспечивает регистрацию событий безопасности, а также централизованное управление и мониторинг.

— Насколько, на ваш взгляд, предприятие среднего или малого бизнеса может осуществить все эти работы?

— Значительная часть этой работы может быть выполнена персоналом предприятия при достаточном уровне его квалификации, а техническая поддержка производителя средств защиты, и грамотная, детальная техническая документация помогут существенно облегчить задачу и способствовать достижению заданного результата.

Тут важно определиться с целями – что же именно должно стать результатом работы по технической защите персональных данных?

Во-первых, предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.

Во-вторых, своевременное обнаружение фактов несанкционированного доступа к персональным данным.

В-третьих, недопущение воздействия на технические средства информационной системы персональных данных, в результате которого может быть нарушено их функционирование.

В-четвертых, возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

И наконец, в-пятых, постоянный контроль за обеспечением уровня защищенности персональных данных.

Случайно подобранные статьи:

Он пришел дать нам волю. Фильм Леонида Парфенова.


Статьи, которые будут вам интересны: