Человечество в своем развитии идет все дальше — многое из того, что казалось фантастикой ещё 100 лет назад, уже стало реальностью. Если при Иване Грозном достаточно было спросить: «Кто вы родом, сколь вам лет, вы женаты али нет?» — то современные бояре на подобные вопросы уже не отвечают каждому встречному, подобные сведения о себе назвали «персональными данными», а за разглашение если на кол и не посадят, то в острог упечь могут.
Сложно представить компанию, не имеющую каких-либо персональных данных, к которым относят:
телефонные книги, ведомости бухгалтерской отчетности, списки сотрудников и т.п. Все данные классифицируются по степени конфиденциальности. Если компания предоставляет данные о сотрудниках в Пенсионный фонд, значит автоматически располагает данными самой высокой категории – это и ведомости о зарплате с указанием ФИО, сведения о социальном положении сотрудника, наличие инвалидности, семейное положение, количество детей и др.
У каждого человека есть право на неприкосновенность частной жизни, регламентированное «Конвенцией о защите физических лиц при автоматизированной обработке персональных данных», которая утверждена еще в 1981 году европейской комиссией в Страсбурге (закон о ратификации Конвенции в России №160-ФЗ). Однако автоматизированная обработка данных – ведение баз данных, реестров – реалии сегодняшнего дня. Тот, кто владеет персональными данными и обеспечивает их хранение, становится оператором данных. Статус оператора данных для юрлица означает наличие определенной степени ответственности, регламентированной законами и подзаконными актами. Прежде всего, законом 152-ФЗ, а также подзаконными актами ведомств – Минкомсвязи, Роскомнадзора, ФСТЭК, ФСБ.
Все операторы данных вносятся в реестр Роскомнадзора (pd.rsoc.ru), на сайте можно узнать дату проверки, планируемой ведомством.
Государство уже давно озадачено проблемой сведения в единой системе всех личных данных о человеке, включая привязку к банковским счетам. Сейчас, например, нашим государством активно лоббируется проект по созданию универсальной электронной карты – электронного цифрового документа с личными данными владельца, включая возможность хранения на ней денежных средств.
Положение о том, что наши данные закрыты для доступа, весьма условно. Так, по данным агентства Интерфакс со ссылкой на статистику, полученную от InfoWatch, число утечек персональных данных в нашей стране только за один 2013 год выросло в 2 раза и составило 109 случаев. То есть фактически данные 109 компаний просто уплыли в безбрежные дали Интернета, скомпрометировав 3 миллиона записей.
Зачастую вина за потерю персональных данных ложится на руководителей подразделений, отвечающих за хранение данных. Из статистики Интерфакс: в 5 случаях из 10 потеря данных произошла посредством Интернета.
С этого года Минкомсвязи хочет ужесточить санкции за нарушение правил обработки персональных данных. Теперь появление личных данных граждан в открытом доступе обойдется операторам данных в 300 тысяч рублей, для сравнения предыдущий штраф составлял 10 тысяч рублей.
Повышаются штрафы за обработку специальных категорий персональных данных о политических убеждениях, медицинских сведений, сведений о судимости.
Задача юрлица – оператора данных – при создании системы хранения информации сделать первый шаг – организационный, обеспечить документооборот – создать необходимые документы, разрешающие обработку данных. Второй шаг – обеспечить необходимую архитектуру IT-системы. Наиболее важными мерами по предотвращению утери данных являются, конечно, технические меры, которые подразумевают использование сертифицированных средств защиты информации.
Насколько сложной будет архитектура ПО, зависит от степени конфиденциальности данных.
Существует четыре категории персональных данных, по возрастанию уровня конфиденциальности от К4 до К1:
К4 – обезличенные данные. Оператор данных категории К4 вправе выбирать технологические решения самостоятельно, наличие сертификата ФСТЭК не обязательно.
К1 – данные, которые необходимо не только защищать, но и шифровать. ПО должно быть сертифицировано ФСТЭК, системы криптографии (если таковые имеются) утверждены ФСБ.
Так если для защиты данных самой низкой категории – К4 – достаточно обеспечить только целостность данных, то для данных категории К1 – полный комплекс защиты данных (зачастую, включая шифрование и борьбу с утечками данных).
Исчерпывающий перечень функций ПО, необходимых оператору баз данных, выглядит следующим образом:
1.Защита от несанкционированного доступа
2.Антивирус
3.Межсетевой экран
4.Криптографические средства (для крупных компаний, где возможна утечка данных)
и другие защитные механизмы (можно смотреть руководящий документ ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»).
Все компьютеры в сети, с которых ведется работа с персональными данными, должны быть аттестованы и содержать сертифицированное ФСТЭКом (Федеральной службой по техническому и экспортному контролю) программное обеспечение, а сама сеть должна быть защищена сертифицированным межсетевым экраном.
Небольшие фирмы, как правило, используют несертифицированное ПО, с которым работает межсетевой экран без сертификата ФСТЭК (Traffic Inspector Gold).
Межсетевые экраны. Корпоративная сеть целиком и каждое отдельное рабочее место должны быть защищены не только от массовых атак с помощью вирусов, но и от целенаправленных сетевых атак. Для этого достаточно поставить систему блокировки неиспользуемых сетевых протоколов и сервисов, что и делает межсетевой экран. Часто к функциональности межсетевых экранов добавляют и средства организации виртуальных частных сетей – VPN.
Для более крупной компании, чтобы уменьшить затраты на аттестацию и закупку сертифицированного ПО, всю работу с персональными данными обычно выносят в отдельную сеть и закрывают ее межсетевым экраном (Traffic Inspector FSTЕС) – системой блокировки неиспользуемых сетевых протоколов и сервисов. Межсетевой экран защищает каждое отдельное рабочее место и корпоративную сеть целиком не только от массовых атак с помощью вирусов, но и от целенаправленных сетевых атак. К функциональности межсетевого экрана добавлены средства организации виртуальных частных сетей – VPN.
Тraffic Inspector обеспечивает доступ в Сеть как через прокси-сервер, так и через NAT («преобразование сетевых процессов»). Преимущества совместного использования NAT и прокси-сервера очевидны: NAT – универсальный способ предоставления доступа в Интернет, также позволяет анонимизировать трафик; прокси-сервер – пропускает через себя веб-запросы, защищая систему от нежелательной информации.
Программное обеспечение, позволяющее настроить IT-архитектуру, способную защитить систему с персональными данными, включает в себя: обеспечение доступа в Сеть; межсетевой экран и антивирус, проверку контрольных сумм IP-пакетов, длины IP-пакетов, фильтрацию «битых» пакетов.
Любое программное обеспечение, установленное в компании, должно быть соответствующим образом утверждено в специальной документации:
1.Перечень средств защиты персональных данных
2.Журнал учета и хранения носителей персональных данных
3.Акт установки средств защиты информации
4.Утвержденная форма акта списания и уничтожения электронных носителей информации
5.Утвержденная форма акта уничтожения документов
6.Подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).
Если же в организации происходит смена ПО или железа, то информация об этом в данных документах обязательно отображается.
Подведем итоги. Юрлицо, оперирующее персональными данными (обезличенными) или же клиентскими, автоматически становится оператором данных. Сейчас в любой организации существует риск нарушений при обработке и хранении персональных данных как при хранении данных на бумажных или электронных носителях, так и при автоматизированной обработке. Меры, принятые юрлицом по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля. Поэтому, во-первых, определите, данными какого класса вы оперируете (если передаете сведения в ПФ, значит высокого класса К1). Во-вторых, обеспечьте свою систему сертифицированным межсетевым экраном. В-третьих, заглядывайте на сайты Роскомнадзора и ФСТЭК России, где опубликованы списки плановых проверок на соблюдение требований ФЗ 152.
Сложно представить компанию, не имеющую каких-либо персональных данных, к которым относят:
телефонные книги, ведомости бухгалтерской отчетности, списки сотрудников и т.п. Все данные классифицируются по степени конфиденциальности. Если компания предоставляет данные о сотрудниках в Пенсионный фонд, значит автоматически располагает данными самой высокой категории – это и ведомости о зарплате с указанием ФИО, сведения о социальном положении сотрудника, наличие инвалидности, семейное положение, количество детей и др.
У каждого человека есть право на неприкосновенность частной жизни, регламентированное «Конвенцией о защите физических лиц при автоматизированной обработке персональных данных», которая утверждена еще в 1981 году европейской комиссией в Страсбурге (закон о ратификации Конвенции в России №160-ФЗ). Однако автоматизированная обработка данных – ведение баз данных, реестров – реалии сегодняшнего дня. Тот, кто владеет персональными данными и обеспечивает их хранение, становится оператором данных. Статус оператора данных для юрлица означает наличие определенной степени ответственности, регламентированной законами и подзаконными актами. Прежде всего, законом 152-ФЗ, а также подзаконными актами ведомств – Минкомсвязи, Роскомнадзора, ФСТЭК, ФСБ.
Все операторы данных вносятся в реестр Роскомнадзора (pd.rsoc.ru), на сайте можно узнать дату проверки, планируемой ведомством.
Государство уже давно озадачено проблемой сведения в единой системе всех личных данных о человеке, включая привязку к банковским счетам. Сейчас, например, нашим государством активно лоббируется проект по созданию универсальной электронной карты – электронного цифрового документа с личными данными владельца, включая возможность хранения на ней денежных средств.
Положение о том, что наши данные закрыты для доступа, весьма условно. Так, по данным агентства Интерфакс со ссылкой на статистику, полученную от InfoWatch, число утечек персональных данных в нашей стране только за один 2013 год выросло в 2 раза и составило 109 случаев. То есть фактически данные 109 компаний просто уплыли в безбрежные дали Интернета, скомпрометировав 3 миллиона записей.
Зачастую вина за потерю персональных данных ложится на руководителей подразделений, отвечающих за хранение данных. Из статистики Интерфакс: в 5 случаях из 10 потеря данных произошла посредством Интернета.
С этого года Минкомсвязи хочет ужесточить санкции за нарушение правил обработки персональных данных. Теперь появление личных данных граждан в открытом доступе обойдется операторам данных в 300 тысяч рублей, для сравнения предыдущий штраф составлял 10 тысяч рублей.
Повышаются штрафы за обработку специальных категорий персональных данных о политических убеждениях, медицинских сведений, сведений о судимости.
Задача юрлица – оператора данных – при создании системы хранения информации сделать первый шаг – организационный, обеспечить документооборот – создать необходимые документы, разрешающие обработку данных. Второй шаг – обеспечить необходимую архитектуру IT-системы. Наиболее важными мерами по предотвращению утери данных являются, конечно, технические меры, которые подразумевают использование сертифицированных средств защиты информации.
Насколько сложной будет архитектура ПО, зависит от степени конфиденциальности данных.
Существует четыре категории персональных данных, по возрастанию уровня конфиденциальности от К4 до К1:
К4 – обезличенные данные. Оператор данных категории К4 вправе выбирать технологические решения самостоятельно, наличие сертификата ФСТЭК не обязательно.
К1 – данные, которые необходимо не только защищать, но и шифровать. ПО должно быть сертифицировано ФСТЭК, системы криптографии (если таковые имеются) утверждены ФСБ.
Так если для защиты данных самой низкой категории – К4 – достаточно обеспечить только целостность данных, то для данных категории К1 – полный комплекс защиты данных (зачастую, включая шифрование и борьбу с утечками данных).
Исчерпывающий перечень функций ПО, необходимых оператору баз данных, выглядит следующим образом:
1.Защита от несанкционированного доступа
2.Антивирус
3.Межсетевой экран
4.Криптографические средства (для крупных компаний, где возможна утечка данных)
и другие защитные механизмы (можно смотреть руководящий документ ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»).
Все компьютеры в сети, с которых ведется работа с персональными данными, должны быть аттестованы и содержать сертифицированное ФСТЭКом (Федеральной службой по техническому и экспортному контролю) программное обеспечение, а сама сеть должна быть защищена сертифицированным межсетевым экраном.
Небольшие фирмы, как правило, используют несертифицированное ПО, с которым работает межсетевой экран без сертификата ФСТЭК (Traffic Inspector Gold).
Межсетевые экраны. Корпоративная сеть целиком и каждое отдельное рабочее место должны быть защищены не только от массовых атак с помощью вирусов, но и от целенаправленных сетевых атак. Для этого достаточно поставить систему блокировки неиспользуемых сетевых протоколов и сервисов, что и делает межсетевой экран. Часто к функциональности межсетевых экранов добавляют и средства организации виртуальных частных сетей – VPN.
Для более крупной компании, чтобы уменьшить затраты на аттестацию и закупку сертифицированного ПО, всю работу с персональными данными обычно выносят в отдельную сеть и закрывают ее межсетевым экраном (Traffic Inspector FSTЕС) – системой блокировки неиспользуемых сетевых протоколов и сервисов. Межсетевой экран защищает каждое отдельное рабочее место и корпоративную сеть целиком не только от массовых атак с помощью вирусов, но и от целенаправленных сетевых атак. К функциональности межсетевого экрана добавлены средства организации виртуальных частных сетей – VPN.
Тraffic Inspector обеспечивает доступ в Сеть как через прокси-сервер, так и через NAT («преобразование сетевых процессов»). Преимущества совместного использования NAT и прокси-сервера очевидны: NAT – универсальный способ предоставления доступа в Интернет, также позволяет анонимизировать трафик; прокси-сервер – пропускает через себя веб-запросы, защищая систему от нежелательной информации.
Программное обеспечение, позволяющее настроить IT-архитектуру, способную защитить систему с персональными данными, включает в себя: обеспечение доступа в Сеть; межсетевой экран и антивирус, проверку контрольных сумм IP-пакетов, длины IP-пакетов, фильтрацию «битых» пакетов.
Любое программное обеспечение, установленное в компании, должно быть соответствующим образом утверждено в специальной документации:
1.Перечень средств защиты персональных данных
2.Журнал учета и хранения носителей персональных данных
3.Акт установки средств защиты информации
4.Утвержденная форма акта списания и уничтожения электронных носителей информации
5.Утвержденная форма акта уничтожения документов
6.Подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).
Если же в организации происходит смена ПО или железа, то информация об этом в данных документах обязательно отображается.
Подведем итоги. Юрлицо, оперирующее персональными данными (обезличенными) или же клиентскими, автоматически становится оператором данных. Сейчас в любой организации существует риск нарушений при обработке и хранении персональных данных как при хранении данных на бумажных или электронных носителях, так и при автоматизированной обработке. Меры, принятые юрлицом по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля. Поэтому, во-первых, определите, данными какого класса вы оперируете (если передаете сведения в ПФ, значит высокого класса К1). Во-вторых, обеспечьте свою систему сертифицированным межсетевым экраном. В-третьих, заглядывайте на сайты Роскомнадзора и ФСТЭК России, где опубликованы списки плановых проверок на соблюдение требований ФЗ 152.
