The Web-site of design Company Chelyabenergoproekt in English   English
Проектные работы в проектной организации Челябэнергопроект Заказать проектные работы в письме к проектной организации Челябэнергопроект Карта сайта
Die Web-seite der Projektorganisation Tscheljabenergoprojekt in Deutsch   Deutsch




Création de site web société française Chelyabenergoproekt   Française

   Облако тегов на сайте проектной организации Челябэнергопроект
Проекты интеллектуального мастерства!
новости компании
30.12.2015 С Новым годом!
Администрация ...
21.12.2015 С Днём Энергетика!
Уважаемые друзья и коллеги! Поздравляю вас с нашим большим праздником – Днем Энергетика! ...



новости отрасли
объекты Ростехнадзора
  Облако тегов
проектирование монтаж ключ котел кран сертификат ГОСТ ремонт заказЧелябинск

К вопросу о выполнении требования Федерального Закона № 152-ФЗ «О персональных данных» при выполнении проектных работ «под ключ»
При выполнении проектных работ «под ключ» необходимо работать с персональными данными как разработчиков проектно-конструкторской документации, так и заказчиков.

Известно, что 27 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа.

Необходимо отметить, что сроки по исполнению требований ФЗ-152В продлены до января 2011 г.

Рассмотрим термин «персональные данные».

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, персональные данные – это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу – это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

Рассмотрим, с чего необходимо начинать защиту и требуется ли она.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания (ФЗ-152).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ФЗ-152).

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ФЗ-152).

Обработка персональных данных – это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ФЗ-152).

Оператор при обработке ПДн должен принимать все необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Что же необходимо сделать, чтобы защитить персональные данные?

Прежде всего, необходимо определить какие информационные системы ПДн есть и какого типа ПДн в них обрабатываются.

Рассмотрим классификацию информационных систем персональных данных.

Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.

Итак, оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:
- категория обрабатываемых персональных данных;
- объем обрабатываемых персональных данных;
- тип информационной системы;
- структура информационной системы и местоположение ее технических средств;
- режимы обработки персональных данных;
- режимы разграничения прав доступа пользователей;
- наличие подключений к сетям общего пользования и(или) сетям международного информационного обмена.

Согласно приказу № 55/86/20, все информационные системы (ИС) делятся на типовые и специальные.

Типовые информационные системы – информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены:
- информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
- информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Итак, по результатам анализа исходных данных комиссия присваивает системе персональных данных соответствующий класс:
- класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
- класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
- класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
- класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение.

Как уже было сказано, классификация необходима для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн, о которых поговорим чуть позже.

Рассмотрим снижение класса ИС персональных данных.

Вопрос о том, имеет ли смысл отдельно привлекать ИТ юристов, если можно организовать тендер на оказание услуг по приведению деятельности в соответствие с требованиями законодательства и силами лицензиатов ФСТЭК РФ по технической защите конфиденциальной информации, аккредитованных аттестационных центров по требованиям безопасности обеспечить оказание таких услуг является весьма дискуссионным. Ключевой смысл в том, что проведя скрупулезный юридический анализ и обоснование работы с каждым реквизитом персональных данных, а также, раскрыв технологию автоматизированной обработки персональных данных правильным образом в нормативной, проектно-конструкторской и организационно-распорядительной документации, можно существенно снизить класс вашей ИС ПДн.

Рассмотрим некоторые способы снижения класса ваших ИС ПДн с целью снижения большинства сопутствующих затрат.

Способ 1
В первую очередь операторы обрабатывают персональные данные, которые позволяют идентифицировать личность (например гражданина Российской Федерации) либо личность участника того или иного реестра, открытого в соответствии с действующим законодательством РФ. Если внимательно прочитать законодательство, например, о документах, идентифицирующих личность гражданина РФ или иностранного гражданина на территории РФ, то можно заключить весьма интересный факт о том, что даже наш паспорт гражданина РФ (хотя бы его первую страницу) мы должны показывать очень большому количеству людей (милиции, кассирам в магазине при оплате покупки банковской картой, операционистам в банках, менеджерам в аэропортах, охранникам и многим другим). При этом, мало кто из этих людей отвечает за сохранность этих данных по закону или по каким-либо инструкциям и вообще их как-то обрабатывает, кроме визуальной идентификации личности. Тогда как можно говорить о закрытость этих данных? При дальнейшем изучении некоторых федеральных законодательных актов часть данных должна быть просто открыта всем при выполнении определённых действий.

Помимо определения открытости данных, стоит понять, что конкретно для ваших операций по обработке ПДн позволяет уникально идентифицировать субъекта ПДн. Например, если Ваш клиент потенциально может иметь несколько договоров (получать несколько услуг). Тогда, в качестве идентификатора недостаточно просто знать идентификатор личности. Для идентификации субъекта необходимо знать идентификатор услуги. Такого рода идентификатором услуг могут быть номера счетов, телефоны, номера договоров и так далее – решение и обоснование за оператором ПДн.

Способ 2
Компании привыкли собирать большое количество информации с некоторых категорий субъектов ПДн (например с собственных сотрудников, студентов ВУЗа и других). Причиной для сбора данных могла быть просто рефлекторная необходимость заполнения той же личной карточки сотрудника (форма Т-2). Однако, если задуматься над смыслом и обоснованностью включения информации о родителях работника в его данные, то как обосновать эту необходимость. Многие ли компании когда-либо пользовались такой информацией в жизни? Если да, то могут ли они найти основания использования такой информации в федеральных законах? На наш взгляд в очень большом количестве ситуаций собирается избыточное количество персональных данных, которые можно просто не собирать, а в исключительных случаях получать их на бумажном носителе и не вносить их в информационную систему. Юридически обоснуйте каждый реквизит собираемых и обрабатываемых персональных данных и вы увидите, что многие из них избыточные. Корректное прекращение их обработки существенно упростит модель угроз для вашей компании.

Способ 3
Разделите персональные данные субъектов, которые вы храните и обрабатываете в ИС ПДн, на отдельные части. Например, отдельно работайте с идентификационными данными субъекта и отдельно работайте с дополнительными данными субъекта, связывая их между собой произвольным внутренним идентификатором. Во многих случаях иметь в одном месте и идентифицирующие и дополнительные данные просто нет логической и юридической необходимости, тогда зачем самим усложнять себе задачу? Разделив эти данные на этапах их обработки вы сможете снизить класс каждого узла ИС и, тем самым, снизить итоговый класс ИС ПДн в целом.

Способ 4
Любые действия должны быть чем-то обоснованы. Например, затраты на действия по созданию мер защиты информации должны быть обоснованы возможным ущербом, который может нанести оператору или субъекту ПДн инцидент безопасности с персональными данными. Этап обоснования включается в большинстве нормативных документов как обязательный этап при постановке заданий на создание системы защиты. Как оказывается, достаточно эффективным способом снижения тех или иных затрат на защиту ПДн является отсутствие соизмеримого ущерба от инцидента именно с этими данными. Так, например, какой смысл тратить сотни тысяч рублей на защиту и аттестацию рабочего места, когда на нем в единицу времени отображаются только идентификационные данные и только одного субъекта? Принцип экономической обоснованности является базовым принципом и находит отражение даже в государственных стандартах. В связи с этим, ключевым советом для ИТ юристов будет являться выявление обрабатываемых порций персональных данных в различных узлах ИС ПДн и оценка ущерба при возникновении инцидента исходя из действующего гражданского, административного и уголовного законодательства РФ. При этом, целесообразно взвешивать возможный ущерб с уровнем вероятности возникновения того или иного инцидента.

Способ 5
Важным этапом при приведении своей деятельности в соответствие с требованиями законодательства по персональным данным является построение модели угроз. Модель угроз необходимо строить по требованиям ФСТЭК РФ и при использовании средств криптографической информации по требованиям ФСБ РФ. Что нам может дать детально проработанная модель угроз? А то, что нет необходимости применять ряд средств защиты информации, если реализация угрозы практически невероятна. Конечно, можно защищаться от возможного падения метеорита на здание, в котором вы обрабатываете персональные данные или от того, что сервер вытащат через дыру в метровой стене здания. Но так ли это необходимо и насколько это вероятно именно для вас? Ответ на эти вопросы и обоснованная с различных точек зрения (с физической, логической, вероятностной, юридической, экономической и иных) оценка, может значительно упростить вам задачу.

Способ 6
Частой ошибкой является непродуманность построения пользовательского интерфейса информационных систем и несоответствие этого построения реальной задаче, решаемой пользователем. Например, если по закону операционист банка сначала должен идентифицировать клиента, а затем уже выполнять банковские операции, то зачем предусматривать для всех операционистов возможность отображения списка найденных клиентов по результатам его запроса. В экстренном случае такая возможность может быть только у одного пользователя в отделении банка. Функция, указанная выше в примере, может быть заблокирована ещё на уровне СУБД, тем самым убирая необходимость в создании специальных средств защиты информации о множестве субъектов одновременно, которая не может выйти из хранилища данных. Аналогичными примерами является создание комплексных экранных форм, на которых отображается «сразу всё». Да, в некоторых случаях это удобнее, но ведь можно перестроить часть пользовательского интерфейса, связанную с персональными данными и не допускать на рабочем месте одномоментной обработки персональных данных 1й и 2й категории. Аналогичные правила разделения должны действовать и для передачи данных от рабочих мест пользователей к серверу. Здесь важно отметить, что для того, чтобы реализовать вышеуказанные рекомендации достаточно часто НЕ надо переписывать всю информационную систему, а можно лишь выполнить некоторые небольшие модификации.

Способ 7
Компьютерная сеть, с одной стороны, является основой для построения распределённых многозвеньевых информационных систем, позволяющих существенно упростить работу сотрудников и клиентов компании, а, с другой стороны, часто является краеугольным камнем при изучении вопросов безопасности их использования. А так ли нам необходимо одномоментно передавать по сети набор персональных данных 1й или 2й категории? Может быть мы можем разделить их, приведя класс передаваемых данных к 3ей или даже 4й категории? Тогда будет существенно снижен общий класс ИС.

Также стоит заметить, что применение средств шифрования по алгоритмам ГОСТ, часто рассматривающееся ФСТЭК как лишь крайнее средство, подчас является более простым во внедрении и эксплуатации. При этом, вам не требуется каких-либо лицензий на то, чтобы выполнять вызов методов сертифицированного ФСБ СКЗИ в части функций, находящихся в его документации. Такие работы по часто встречающемуся мнению представителей ФСБ не относятся к лицензируемой деятельности, так как вы просто используете документированным способом проверенный ими и известных им сертифицированных инструмент и его публичную согласованную документацию.

Способ 8
Внимательно изучайте технические характеристики и паспортные данные используемого оборудования, кабелей и иных конструктивных элементов, с которыми так или иначе связана работа вашей ИС ПДн. Большинство из них имеют сертификат соответствия, подтверждающий их паспортные характеристики. Задачей Ваших специалистов будет лишь собрать все документы воедино, формально сравнить с требованиями законодательства по утечке данных по техническим каналам связи. В результате вы увидите, что чаще проще выполнить эксплуатационные требования к компьютеру, чем применять специализированные средства защиты от утечек данных по техническим каналам.

Способ 9
Очень многие современные информационные системы строятся на основе многозвеньевой архитектуры. То есть, информация проходит многоступенчатую обработку, перемещаясь от места ввода к месту хранения, от одной подсистемы к другой. Безусловно, если ваши подсистемы или звенья в архитектуре взаимодействую между собой в режиме реального времени синхронно (т.е. выполнение функции в одной подсистеме синхронно вызывает выполнение функции в другой), то исходя из действующего понимания стандартов и законодательства, такое объединение подсистем будет считаться единой ИС. Но ведь в очень многих случаях можно пожертвовать реальным синхронным взаимодействием и сделать передачу данных асинхронно в псевдореальном режиме. Такой вариант не ухудшит бизнес характеристик решения, однако позволит при должном уровне и детальности проектной документации говорить о двух различных ИС, для одной из которых данные выгружаются и на этом работа с ними заканчивается, а уже другая ИС эти данные загружает и работает с ними. Это может позволить отойти от характеристики «распределенности» вашей ИС ПДн и существенно упростить требуемую защиту передачи выгруженных и затем загружаемых данных.

Способ 10
Может это звучит не современно, но иногда уход от автоматизированной обработки какого-то участка всего множества персональных данных способен существенно облегчить жизнь оператору ПДн. Совет, пропагандируемый как ФСБ РФ и ФСТЭК РФ, об обработки части ПДн на бумажных носителях в ряде случаев может сократить класс используемых ИС ПДн, существенно снизить затраты на организацию системы защиты и иногда даже упростить работу специалистов, работающих с этими данными в соответствии с нормами законодательства. Мы предлагаем не отбрасывать этот совет, так как исходя из нашей практики в некоторых случаях он может оказать вам весьма действенный эффект.

Одновременно с переводом информации на бумажные носители, целесообразно проанализировать весьма интересное исключение, которое указано пп.2 ст.2 ключевого закона 152-ФЗ о том, что действие закона не распространяется на организацию хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации. Построение и эффективное использование архива в организации, выполняющей проектные работы, в соответствии с архивным законодательством может позволить упростить реализацию требований законодательства о ПДн для выполнения части операций с частью персональных данных.


Источники:
1. Анашкин А. Как выполнить требования Федерального Закона № 152-ФЗ «О персональных данных». – 2010 [http://daily.sec.ru/dailypblshow.cfm?pid=24558]
2. Лужецкий М. Г. 10 способов снизить класс ИС персональных данных (ИС ПДн) [http://www.softmart.ru/site/pdf/10ways2fz152.pdf]
3. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 27.12.2009) «О персональных данных» (принят ГД ФС РФ 08.07.2006) [http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=95593]

Автор: Челябэнергопроект
Дата: 23.03.2010

Комментарии специалистов Челябэнергопроект:
Нет
Статьи

смета проектных работ
©Челябэнергопроект – проектные работыinfo@chepr.ru, 2007-2013
DRA.RU - проектирование сайта под ключ; системный администратор ООО «Челябэнергопроект»
Главная|О компании|Стратегия|
Компетенция / услуги|Контакты
Сертификат качества