Бизнес-Пресса Бизнес-Пресса
Бизнес-Пресса Бизнес-Пресса
ПОИСК:      

Контакты
Подписка
Реклама
Архив

ПАРТНЕРЫ



ПРОТИВ «ЛОМА» ЕСТЬ ПРИЁМЫ

* Оператором персональных данных, согласно закону, является «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Действительно, со следующего года необходимость защиты персональных данных, обрабатываемых предприятиями и организациями, будет обусловлена не только тем, что все  информационные системы персональных данных (ИСПДн**) должны быть приведены в соответствие с Федеральным законом, но и тем, что за последствия неправомерных действий с персональными данными будут нести ответственность конкретные операторы. А именно:

- оператор ИСПДн** обязан принять организационные и технические меры для защиты персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий;
- федеральные органы в области обеспечения безопасности будут осуществлять контроль и надзор за правильностью обработки и использования персональных данных;
- лица, виновные в нарушении требований, будут нести гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

** (ИСПДн) – «информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств».

Таким образом, для предприятий и организаций нарушение конфиденциальности обрабатываемых персональных данных способно привести к гражданской, административной и уголовной ответственностям. Кроме того, потенциально возможно приостановление действия или аннулирование лицензии на право заниматься основным видом деятельности.

Поэтому первоочередная задача, стоящая перед предприятиями и организациями в части защиты персональных данных, заключается в рациональном и эффективном выполнении комплексных требований по защите персональных данных, предъявляемых регуляторами.

«Требования к ИСПДн отражены в нормативных документах Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ России - подчеркивает  Александр ПАВЛОВ, руководитель сектора аттестационных испытаний ООО «Инфорсер-Энск». -. В чем их особенность? Во-первых, требования к системам приобрели статус обязательных для любых организаций, независимо от формы собственности. Во-вторых, требования в ряде случаев стали более жесткими, чем ранее. В-третьих, требования сформулированы для новых сервисов, средств и мер защиты». 

«В соответствии со ст. 3 ФЗ 152 к персональным данным относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), - дополняет руководитель Центра Информационной Безопасности Softline в Новосибирске Владимир СОЛОВЬЕВ. - Причем, согласно статье 7 того же Закона, конфиденциальность таких данных должна обеспечиваться операторами и третьими лицами, получающими доступ к персональным данным».

Требования и ответственность

Законом «О персональных данных» к персональным данным в том числе относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая личная информация, которые не подлежат несанкционированному разглашению третьим лицам и нуждаются в необходимых и достаточных мерах защиты.

 Как поясняет Владимир СОЛОВЬЕВ, «в соответствии с технологией обработки информации, режимами обработки информации, требованиями к ИСПДн (конфиденциальность, целостность, доступность и т. д.) определяются актуальные угрозы для ИСПДн и соответственно требования к средствам защиты. Требования предъявляются только к средствам защиты информации, функционал которых оператор собирается использовать для нейтрализации угроз.

Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Таким образом, средства защиты информации должны быть сертифицированы. Более детально требования представлены в Положении о методах и способах защиты информации в ИСПДн (Приказ ФСТЭК России №58)».

«Обычно операторы ИСПДн задаются рядом вопросов: так ли уж обязательна сертификация, что грозит за нарушения процедуры, как оптимизировать процесс и что ожидать в ближайшем будущем? - дополняет   Александр ПАВЛОВ. - Сертификация по требованиям безопасности информации представляет собой деятельность по подтверждению характеристик продукта, услуги или системы требованиям стандартов или иных нормативных документов по защите информации. В нашей стране действуют два федеральных органа по сертификации в области защиты ПДн, - ФСБ России и ФСТЭК России. Сфера компетенции ФСБ России лежит в области криптографической защиты, а сфера ФСТЭК России - в области защиты информации от несанкционированного доступа некриптографическими способами,  а также от утечки информации по техническим каналам.

В руководящих документах ФСТЭК России продуктом может выступать средство вычислительной техники (СВТ), средство защиты информации (СЗИ), межсетевой экран (МЭ), программное обеспечение (ПО) и др. Система - это объект информатизации, где обрабатывается реальная информация. По этой причине к системам предъявляются дополнительные требования, касающиеся, в том числе, организационных мер и физической защиты».

Из вышесказанного следует, что оператору ПДн необходимо либо самому получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, а при необходимости криптографической защиты информации – лицензию ФСБ России и осуществлять защиту своими силами, предварительно вложив немалые средства в соответствующие технические средства и содержание штатных специалистов в области защиты информации (что оправданно в случае необходимости аттестации и последующего технического сопровождения сложных, территориально распределенных информационных систем), либо привлечь для выполнения работ по разработке, установке, настройке, испытаниям и техническому сопровождению своих информационных систем организацию, имеющую соответствующие лицензии, которая выдаст аттестат по требованиям безопасности информации и будет нести полную ответственность за полноту и качество выполненных работ.

В то же время за невыполнение требований по защите персональных данных Закон №152-ФЗ «О персональных данных» налагает на операторов персональных данных самую разнообразную ответственность:

Статья

Нормативно-правовой акт

Нарушение

Максимальная мера наказания

137

УК

Нарушение неприкосновенности

частной жизни

Штраф до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до двух лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательные работы на срок до 180 часов, либо исправительные работы на срок до одного года, либо арест на срок до четырех месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет

140

УК

Отказ в предоставлении гражданину информации о его ПДн, обрабатываемых организацией

200 000 руб. либо в размере заработной платы или иного дохода осужденного за период до 18-ти месяцев, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет

19.5

КоАП

Невыполнение в срок требований надзорного органа или ФСТЭК России (при повторной проверке)

500 000 руб. + дисквалификация должностного лица до трех лет

 

13.11

КоАП

Нарушение порядка сбора, хранения, использования и распространения ПДн

10 000 руб.

 

19.7

КоАП

Непредставление или представление в неполном или искаженном виде в Роскомнадзор сведений об операторе ПДн

5 000 руб.

 

13.12

КоАП

Нарушение правил защиты информации

20 000 руб. + конфискация + приостановление деятельности на срок до 90 суток

13.13

КоАП

Деятельность в области защиты ПДн без лицензии ФСТЭК РФ / ФСБ РФ

20 000 руб. + конфискация

 

13.14

КоАП

Разглашение информации с ограниченным доступом (например, ПДн)

5 000 руб.

 

 

Одной из санкций контролирующих органов может стать приостановка деятельности предприятия «до устранения нарушений».  Как резюмирует Александр ПАВЛОВ, «с учетом того, что срок проведения работ по аттестации информационной системы в зависимости от ее объема может составлять от одной-двух недель до нескольких месяцев), это может стать роковым фактором для организации, если ее деятельность неразрывно связана с автоматизированной обработкой информации, содержащей персональные данные, а это в той или иной мере касается огромного количества организаций (таких как туристические агентства, гостиницы, банки, организации, работающие с дисконтными картами, больницы, поликлиники, организации, использующие программу 1С или аналогичные и т. д.), т. е. практически все юридические лица».

 

Процедуры

Чтобы успешно пройти сертификацию, любому оператору ИСПДн необходимо сначала провести экспертизу своих информационных систем на соответствие законодательным требованиям.

«Создание ИСПДн требует проведения определенного комплекса работ, - соглашается  Владимир СОЛОВЬЕВ. - В частности, к нему относятся:

 

1. Обследование и оценка ИСПДн на предмет ее соответствия требованиям нормативных документов.

2. Классификация информационной системы, обрабатывающей персональные данные.

3. Разработка модели угроз безопасности персональных данных и модели нарушителя.

4. Предложения по оптимизации построения системы защиты персональных данных.

5. Разработка Технического задания на создание системы защиты персональных данных.

6. Разработка Технического проекта на создание системы защиты ПДн.

7. Поставка и внедрение технических средств защиты информации.

8. Разработка организационно-распорядительной документации.

9. Аттестация информационной системы, обрабатывающей ПДн (в случае, если ИСПДн имеет 1-й или 2-й класс, а так же для ИСПДн более низкого класса, пока не утвержден механизм декларирования соответствия, предусматривающий утверждение всех необходимых документов в ФСТЭК (ФСБ России).

Контроль за операторами персональных данных возложен на ФСБ, ФСТЭК и Роскомнадзор. Причем возможны как плановые и так и внеплановые( по заявлениям субъектов персональных данных) проверки».

По мнению Александра ПАВЛОВА, «одной из распространенных ошибок организаций является попытка отказа от предварительного обследования информационной системы персональных данных (ИСПДн), которое нужно для определения необходимых требований в соответствии с "Положением  об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. N 781.

Вместе с тем работы по результатам обследования информационной системы позволяют не только выполнить обязательные требования по разработке и созданию полного комплекта документов для ИСПДн, необходимых в том числе для последующей аттестации, но также в значительной степени оптимизировать расходы оператора на создание ИСПДн, так как только по результатам обследования можно сделать вывод о достаточности тех или иных средств защиты информации, сконфигурировать систему таким образом, чтобы использовать меньшее количество необходимых защитных механизмов с минимальными изменениями технологического процесса обработки информации, разработать и реализовать проект с возможным использованием организационных мер с учетом реальных условий размещения необходимых технических средств».

 

Программные и аппаратные средства

Как утверждают эксперты, для решения задач защиты персональных данных нет стандартных решений, так как каждая информационная система уникальна и имеет свои актуальные угрозы информационной безопасности.

Тем не менее, как уточняет Владимир СОЛОВЬЕВ, «в большинстве ИСПДн в целях нейтрализации угроз как минимум необходимо использовать антивирусное средство, межсетевой экран, СЗИ от НСД, СКЗИ, сетевые сканеры защищенности и генераторы шума.

Наряду с техническими мерами необходимо использовать и организационно-режимные меры. Реализацию и выбор средств защиты оператор определяет в техническом проекте на создание системы защиты персональных данных». И понятно, что в столь «высокотехнологичном» деле без консультаций и помощи соответствующих специализированных компаний оператору ИСПДн сложно обойтись.

 

               К кому обратиться?

Работы по обследованию информационных систем и по внедрению средств защиты информации, проводимые с целью последующей аттестации, целесообразно поручить одной организации, желательно расположенной в пределах Новосибирска. Не говоря уже о том, что она должна обладать соответствующей лицензией ФСТЭК и/или ФСБ.

«Проблема в том, что документы, разработанные одной организацией в рамках обследования ИСПДн,  такие как состав информационных ресурсов, состав технических и эксплуатационных характеристик ИСПДн, перечень имеющихся мер и средств защиты информации, существующая организационная структура и организационно-распорядительная документация по обеспечению безопасности ПДн, могут оказаться неполными или не проработанными в полном объеме, с точки зрения другой организации, которая в последующем будет проводить аттестацию, - делится Александр ПАВЛОВ. - А если она еще не имеет соответствующих лицензий или значительно территориально удалена от места проведения работ, оперативно устранить недостатки будет трудно, если вообще возможно». 

«Выбор интегратора должен строиться на основе надежности организации и опыта реализации проектов по защите ПДн, - дополняет Владимир СОЛОВЬЕВ. - Существенным преимуществом может стать направленность на запросы  клиента. Например, если клиент хочет строить свою защиту ПДн на основе технических или програмных решений отдельного поставщика,  мы постараемся удовлетворить его требования либо предложить другое обоснованное решение. Также при проведении проекта инженеры компании предлагают несколько вариантов оптимизации ИСПДн и СЗПДн, данные варианты в большинстве случаев позволяют экономить до 30% бюджета».

Таким образом, приведение информационных систем компаний в соответствие с новыми законодательными требованиями неизбежно, как смена сезонов года, времени на раскачку остается все меньше и во избежание всяческих неприятностей лучше сделать все как надо и сделать это заранее.

 

Дмитрий КАРАСЕВ


Специализированный журнал Журнал "Строительство и Городское Хозяйство Сибири"
Специализированный журнал Журнал "Продукты и прибыль"
Специализированный журнал Журнал "Продукты и прибыль"
НОВОСТИ
visit website
17.08.2012
БЕЗОПАСНОСТЬ БИЗНЕСА
Каждый руководитель и собственник бизнеса желал бы узнать, что представляет собой интересующий его человек — потенциальный партнер или корпоративный клиент, претендент на ответственную должность или представитель определенных структур. Получить такую информацию быстро, точно, безо всяких анкет и специальных технических средств позволяет фенотипология...
01.07.2012
В центре внимания – Томск
27 июня представители Издательского Дома «Бизнес-пресса» побывали в городе Томск
24.02.2012
B2B basis
Газета «Бизнес в Сибири» выступила партнером Первой новосибирской конференции B2B basis (Москва) «Корпоративные продажи: управление, стратегия, маркетинг».
Архив новостей


Тенториум с доставкой.