The Web-site of design Company Chelyabenergoproekt in English   English
Проектные работы в проектной организации Челябэнергопроект Заказать проектные работы в письме к проектной организации Челябэнергопроект Карта сайта
Die Web-seite der Projektorganisation Tscheljabenergoprojekt in Deutsch   Deutsch




Création de site web société française Chelyabenergoproekt   Française

   Облако тегов на сайте проектной организации Челябэнергопроект
Проекты интеллектуального мастерства!
новости компании
30.12.2015 С Новым годом!
Администрация ...
21.12.2015 С Днём Энергетика!
Уважаемые друзья и коллеги! Поздравляю вас с нашим большим праздником – Днем Энергетика! ...



новости отрасли
объекты Ростехнадзора
  Облако тегов
проектирование монтаж ключ котел кран сертификат ГОСТ ремонт заказЧелябинск

Типовые угрозы информационной безопасности и рекомендации по защите персональных данных
В 2008 году в целом сохранялись те же основные тенденции развития угроз, связанных с информационной безопасностью, что и в 2007 году. Вандалы и хулиганы оказались окончательно вытеснены на отдаленную периферию ИТ-андерграунда. Теперь сложился самый настоящий киберкриминальный бизнес.           

Этот криминальный бизнес направлен на оказание всяческого рода специфических услуг, связанных с кражей информации или прямым хищением денежных средств, атаками на сети конкурентов, рассылкой спама и тому подобного. При этом разрастание экономического кризиса существенно усилило многие из тенденций, проявившихся в последние два года. Это, как полагает большинство экспертов, связано с тем, что многие ИТ специалисты остались без работы и перенаправили свою деятельность в криминальную сферу.

Рассмотрим вредоносное ПО.

Основные классы вредоносного ПО, выявленные на территории России во 2 м полугодии 2008 года Ушедший 2008 год, как, впрочем, и 2007, был весьма «урожайным» на появление новых образцов вредоносного кода. В результате антивирусными аналитиками Symantec было внесено в антивирусные базы столько же сигнатур, сколько за весь предшествующий период деятельности. Как и прежде, основным типов вирусов стали троянцы, направленные на кражу данных о банковских счетах и аккаунтах в онлайновых играх (см. таблицу).

Как и в 2007 году, авторы троянцев активно использовали, казалось бы, основательно забытые (в том числе и антивирусными компаниями) вирусные технологии. К примеру, для осложнения работы антивирусных аналитиков троянцы последнего времени очень часто делают полиморфными. Широкое внедрение средств защиты периметра сети, которое мешает традиционным способам распространения программных зловредов, привело к ренессансу кода, заражающего файлы. Так что все чаще источником заражения становятся внешние накопители. Именно таким способом происходило заражение нашумевшим Conflicker. Таким образом распространялись не только вирусы и троянцы, но и «черви».

Тем не менее основным способом заражения стали атаки через Web с использованием зараженных сайтов. Если в 2007 году число зараженных узлов измерялось десятками тысяч, то в 2008 году счет пошел уже на миллионы. Только в результате «большого китайского хака» было заражено до 1,2 миллиона сайтов по всему миру. По числу зараженных сайтов пятерку лидеров составили Китай, США, Германия, Нидерланды и Россия.

Как отмечают специалисты Symantec, для взлома сайтов был переориентирован ряд зомби сетей. При этом наборы эксплоитов, используемые для взлома, используют уязвимости среднего и даже низкого уровня. Это связано с тем, что исправление данного рода «дыр» менее приоритетно как для разработчиков, так и для администраторов. В свою очередь, зловреды, распространяемые подобным образом, эксплуатируют уязвимости в браузерах и дополнениях к ним, в частности Adobe Flash или Apple QuickTime.

Однако самыми опасными технологиями в итоговом отчете антивирусных аналитиков «Лаборатории Касперского» признаны руткиты: «В них (руткитах – ред.) были реализованы инновационные технологии, равных которым антивирусная индустрия еще не встречала, а созданные вокруг них мощные инфраструктуры по своей масштабности и сложности превосходили ранние образцы – для червей Zhelatin и Warezov». Например, модель Malware 2.0, в основе которой лежит принцип разделения различных вредоносных модулей по функционалу, использование универсальных средств взаимодействия между модулями и защищенные от внешнего воздействия каналы обмена данными и центры управления зомби сетями.

В 2009 году отмечены случаи массового заражения устройств на платформе Linux (клиентского сетевого оборудования, в частности, DSL-модемов и маршрутизаторов) и Mac. И в том, и в другом случае речь идет о создании зомби сетей. И если такого рода инцидент у Linux систем не первый, то для платформы Mac, которая долгое время считалась неуязвимой для вредоносов, это первый случай массового заражения с середины 1990 х годов. Но надо отметить, что в обоих случаях речь идет не о недостатках той или иной платформы как таковой. В случае Mac имело место использование методов социальной инженерии, где троянец распространялся под видом средств обхода защиты от копирования коммерческого ПО. Для устройств на Linux имело место несоблюдение элементарных норм безопасности, прежде всего, использование пароля по умолчанию.

Тем не менее в ушедшем году появились основания для некоторого оптимизма. Прежде всего, стала устойчивой тенденция к снижению количества уязвимостей в ПО. По данным ассоциации CVSS, количество уязвимостей в ПО в 2008 году снизилось примерно на 25-30% по сравнению с уровнем 2006 года. Однако количество уязвимостей по прежнему примерно вдвое выше, чем в 2004 году.

Рассмотрим спам и фишинг.

Ушедший год был первым, в котором отмечено снижение уровня спама. Этого удалось достичь в результате закрытия в ноябре хостинг-провайдера McColo, где располагался центр управления рядом ботнетов. В результате доля «мусорной» почты в России уменьшилась вдвое, а в США втрое. Однако этот успех не был развит, и постепенно спамерам удалось восполнить утерянные площадки. Но все таки создан прецедент, показавший, что с непрошеной почтой можно успешно бороться.

Как уже отмечалось выше, Россия является одним из основных источников спама в мире и по итогам 2008 года вышла на первое место в регионе Европа – Ближний Восток – Африка (EMEA). Это объясняется тем, что продолжается активное проникновение технологий высокоскоростного интернет-доступа, которые часто попадают к неподготовленным пользователям, чьи компьютеры быстро заражаются вредоносным ПО и становятся частью той или иной зомби сети, рассылающей спам.

Российские спамеры, по словам аналитиков «Лаборатории Касперского», активно использовали социальные сети, причем очень часто не только для рекламы, но и с целью заманить потенциальную жертву на зараженный сайт или фишинговую страничку. Социальные сети также применялись для организации SMS-мошенничества, связанного с отправкой платных сообщений на короткий номер. При этом злоумышленники часто действовали от имени реальных пользователей социальных сетей, у которых были украдены регистрационные данные. Для этого использовались методы социальной инженерии, а также специальные утилиты, якобы повышающие удобство использования социальных сетей, а на самом деле переправляющие пароли злоумышленникам.

Что касается фишинга, то его доля в российском почтовом трафике достигла максимума в первой половине 2008 года, когда она составила в среднем 1,32%, а в пике, имевшем место в мае, – 2,5%. Однако во второй половине года число фишинговых сообщений снизилось до уровня 0,7-0,8%, а в I квартале 2009 года упало до 0,54%. Основными мишенями фишеров в России, как и в мире в целом, были реквизиты счетов в банках и онлайновых платежных системах вроде PayPal или «Яндекс Деньги».

Рассмотрим утечки информации.

Проблема утечек информации не просто сохраняла актуальность, но и продолжала усугубляться. Причем растет как абсолютное число утечек, так и их масштабы. Как правило, утечки затрагивали персональные данные – на них, по оценке InfoWatch, пришлось почти 98% всех инцидентов, а среди «утечек-миллионников» все связаны с разглашением персональных данных. На государственные и коммерческие секреты пришлось менее 1%, однако число инцидентов, связанных с разглашением государственной тайны, выросло по сравнению с прошлым годом в пять раз.

Основные источники утечек информации, имевших место в 2007-2008  гг По оценке экспертов InfoWatch, в 2008 году имел место значительный рост доли умышленных утечек. Если в 2007 году на них приходилось 29% инцидентов, то в 2008 году – уже 46%. Столь существенный рост эксперты InfoWatch связывают с внедрением технических средств класса DLP, которые позволяют довольно успешно предотвращать случайные утечки данных. Напрямую влияет и экономический кризис, когда недобросовестные сотрудники решают поправить свое материальное положение за счет работодателя или клиентов. Особенно это касается персональных данных, стоимость которых из года в год растет. При этом беспечность персонала остается на прежнем уровне. Кроме того, кризис ведет к росту депрессий и прочих проблем с психикой, что, в свою очередь, способствует ошибкам персонала, приводящим к разного рода инцидентам. Отмечены случаи злоупотребления и со стороны аутсорсинговых компаний (см. рисунок), которые похищали данные о своих клиентах с целью дальнейшей продажи.

Большая часть утечек так или иначе связана с физическим доступом к оборудованию. Только на кражи, утери и инциденты, связанные с нарушением норм по утилизации, приходится более половины всех инцидентов. При этом распределение инцидентов в разрезе носителей информации существенно отличается для умышленных и случайных утечек. Что касается географии, то наибольшее количество утечек отмечено в США, Британии и Канаде. Однако это связано лишь с тем, что в данных странах существенно более высок уровень гласности в данной сфере и сам факт инцидента сложнее скрыть.

Что же касается дальнейшего развития ситуации, то прогнозы неутешительны. Количество инцидентов и их размах будут только расти, особенно по мере появления новых финансовых услуг, делающих возможным и целесообразным все, что связано с кражей личности.

Приведем рекомендации совета директоров ИТ ИТ-директорам по защите персональных данных за 2009 год..

В законодательстве Российской Федерации предусматривается наличие различного рода сведений, которые охраняются законом. Одним из самых больших потоков конфиденциальной информации, её значительной составляющей частью, являются сведения о гражданах. Фундамент законодательства в этой области составляют статьи Конституции Российской Федерации о праве граждан на информацию, соответствующие международным нормам в этой области. Так, охраняется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, личная и семейная тайна. Кроме того, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Несмотря на то, что сегодня в основном говорят непосредственно о вышедшем в 2006 году Федеральном законе «О персональных данных», стоит обратить внимание на то, что перечень иных законодательных и нормативных правовых актов, так или иначе затрагивающих вопросы персональных данных уже достаточно велик. А следовательно, накопилось много вопросов и проблем, связанных с разночтением уже существующих нормативных актов и порядком их применения.

В правоотношениях связанных с оборотом персональных данных выступают две стороны – субъект персональных данных, с одной стороны, и с другой стороны оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Таким образом, собственником персональных данных является физическое лицо, данные о котором находятся в обороте. Владельцем этой информации, в силу своих обязанностей, становятся уполномоченные государственные и/или коммерческие структуры.

Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. При этом преследуется цель защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.

Между тем, до 1 января 2010 г. – дня, к которому информационные системы персональных данных должны быть приведены в соответствие требованиям Федерального закона, осталось не так много времени. Этого времени для разработки и внедрения в компании системы защиты персональных данных катастрофически мало.

После вступления в действие ФЗ «О персональных данных» прошло уже достаточное количество времени. Понемногу общество стало осмысливать значение его принятия в процессе формирования правосознания граждан России – каждый из нас имеет информацию, которая должна защищаться государством от неправомерного распространения и использования. В то же время, необходимо разделять позиции законодателя в отношении операторов, которые обязаны обрабатывать персональные данные согласно требованиям ФЗ и в отношении субъектов персональных данных, права которых должны быть защищены, в первую очередь, путем выполнения требований регулирующих органов, а во вторую, обеспечением контроля и надзора за защитой прав субъектов персональных данных со стороны государства. Таким образом, операторы персональных данных оказываются той категорией, которая в большей степени должна задуматься об организации своей деятельности в соответствии с существующим законодательством.

Очень условно данную деятельность можно разделить на две части, а именно, «нетехническая» сторона вопроса защиты оператором обрабатываемых персональных данных (ПДн), которая, наряду с «технической», имеет немаловажное значение при соблюдении требований ФЗ. Необходимо понимать, что с целью соблюдения таких требований во всех организациях должен появиться новый, достаточно объемный пласт документации.

Если говорить о второй стороне «технической», то очень важно учитывать, что в современной информационной системе предприятия достаточно много приложений, обрабатывающих ПДн. Только комплексный аудит ИС позволяет провести инвентаризацию информационных ресурсов и понять где, как и какие ПДн обрабатываются.

Законодательная основа для проведения мероприятий по защите ПДн

1. Основные регулирующие документы

- Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ
- Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями от 28 марта 2008 г.);
- Постановление Правительства Российской Федерации от 27 сентября 2007 г. № 612 «Об утверждении Правил продажи товаров дистанционным способом»,
- Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
- Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»
- Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008 г. № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14.02.2008 г., ДСП
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14.02.2008 г., ДСП
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. ФСТЭК России, 15.02.2008 г., ДСП
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 15.02.2008 г., ДСП
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России, 21.02.2008 г., № 149/6/6-622
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21.02.2008 г, № 149/5-144

2. Ключевые пункты регулирующих документов

Приведем ряд ссылок на нормативно-правовую базу, регламентирующую ответственность, наступающую за нарушение законодательства о защите персональных данных.

Кодекс Российской Федерации об административных правонарушениях

Статья 5.39.Отказ в предоставлении гражданину информации.
Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации – влечет наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей. (примечание: Данная статья является причиной для административного наказания согласно статье.3.12 – Административное приостановление деятельности)

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Статья 13.12.Нарушение правил защиты информации.
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), – влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), – влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от одной тысячи до двух тысяч рублей; на юридических лиц – от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
3. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), – влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц – от одной тысячи до одной тысячи пятисот рублей; на юридических лиц – от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства – влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц – от десяти тысяч до двадцати тысяч рублей.
2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа – влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц – от двухсот тысяч до пятисот тысяч рублей.

Уголовный Кодекс Российской Федерации

Статья 137. Нарушение неприкосновенности частной жизни.
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации –
Федеральным законом от 22.12.2008 N 272-ФЗ с 1 января 2010 года абзац второй части первой статьи 137 данного документа будет дополнен словами: «, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет».
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

2. Те же деяния, совершенные лицом с использованием своего служебного положения, –
Федеральным законом от 22.12.2008 N 272-ФЗ с 1 января 2010 года абзац второй части второй статьи 137 данного документа будет дополнен словами: «, либо лишением свободы на срок от одного года до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет».
наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, – наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.

Статья 171. Незаконное предпринимательство
1. Осуществление предпринимательской деятельности без регистрации или с нарушением правил регистрации, а равно представление в орган, осуществляющий государственную регистрацию юридических лиц и индивидуальных предпринимателей, документов, содержащих заведомо ложные сведения, либо осуществление предпринимательской деятельности без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, – наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от четырех до шести месяцев.

2. То же деяние:
а) совершенное организованной группой;
б) сопряженное с извлечением дохода в особо крупном размере, – наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.

Федеральный закон «Об информации, информационных технологиях и о защите информации»

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации

1. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

Федеральный закон «О персональных данных»

Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных
Статья 24. Ответственность за нарушение требований настоящего Федерального закона Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
2) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

Статья 25. Заключительные положения

1. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
2. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Регуляторы

1. Обеспечение контроля и надзора за выполнением требований по защите ПДн

Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности – ФСБ России;

Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – ФСТЭК России;

Уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор Министерства связи и массовых коммуникаций).

Область ответственности у каждого из этих органов своя.
ФСБ России традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии).
ФСТЭК России осуществляет контроль защиты информации с использования технических средств. Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.

2. Виды предусмотренных законодательством проверок

Роскомнадзор:
- по обращению субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки (закон №152-ФЗ от 26 июля 2006 г.)
- проверка сведений, содержащихся в уведомлении об обработке персональных данных (закон №152-ФЗ от 27 июля 2006 г.)
- внеплановые проверки по контролю нарушений обязательных требований (закон №134-ФЗ от 8 августа 2001 г.)

ФСТЭК России:
- надзор за деятельностью лицензиата ФСТЭК России (Постановление Правительства от 15 августа 2006 г. №504)
- по обращению Роскомнадзора (закон №152-ФЗ от 27 июля 2006 г.)
- внеплановые проверки по контролю нарушений обязательных требований (закон №134-ФЗ от 8 августа 2001 г.)

ФСБ России:
- контроль за соблюдением правил пользования средств криптографической защиты информации (Приказ ФСБ России №66 от 9 февраля 2005 г. – ПКЗ-2005)
- надзор за деятельностью лицензиата ФСБ России (Постановление Правительства от 29 декабря 2007 г. №957)
- внеплановые проверки по контролю нарушений обязательных требований (закон №134-ФЗ от 8 августа 2001 г.)
- по обращению Роскомнадзора (закон №152-ФЗ от 27 июля 2006 г.)

Общие рекомендации

Мероприятия по обеспечению безопасности персональных данных сочетают в себе реализацию правовых, организационных и технических мер, причем все они одинаково значимы, при этом невыполнение одних требований сводит на нет результаты реализации других.

1. С чего начать
Всем операторам нужно, в первую очередь для себя, закрепить документально основные понятия обработки персональных данных субъектов, так как:
- Во-первых, обязанность оператора представить субъекту персональных данных на основании обращения, запроса информацию, касающуюся обработки его персональных данных, в том числе:
- цель обработки;
- способы обработки;
- сведения о лицах, имеющих доступ к персональным данным;
- перечень обрабатываемых персональных данных;
- источник получения;
- сроки обработки и хранения персональных данных.

Так же надо иметь в виду, что предоставить субъекту такого рода информацию оперативно можно только на основании уже существующих документов, где планомерно изложены принципы и критерии обработки. Иначе, например, операторы мобильной связи, выдавая ответы на одни и те же обращения субъектов в силу большого количества обрабатываемых персональных данных, могут дать противоречивый или не корректный с точки зрения запроса ответ.

- Во-вторых, необходимость анализа всех обрабатываемых организацией персональных данных и аккумулирования этой информации в едином документе (назовем его например «Детализированный перечень персональных данных») обусловлена требованием к технической защите обрабатываемых оператором персональных данных. Поясним. Приказом ФСТЭК России, ФСБ России и Мининформсвязи от 13.02.08 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» при классификации информационных систем с целью определения уровня их защиты и степени расходования средств организации на техническую защиту персональных данных субъектов учитываются категории обрабатываемых персональных данных и их объем. Соответственно, возникает необходимость такую информацию фиксировать и документировать.

- В-третьих, формулирование в «Детализированном перечне», в частности, понятия цели обработки ПДн поможет оператору обосновать в спорных случаях отсутствие согласия субъекта персональных данных, когда такая возможность предусмотрена ФЗ (ч.2,ст.6), потому что законодатель, описывая такие случаи, привязывает их описание к понятию «цель обработки».

- В-четвертых, проверяющий уполномоченный орган, выясняя причину нарушения тех или иных положений законодательства в сфере персональных данных, будет ориентироваться, в первую очередь, на соблюдение принципов ФЗ (ст.5), которые могут быть проверены только на основании документа (документов) определяющих обработку персональных данных в организации.

Для того, чтобы, единый документ об обработке персональных данных в организации «предвосхитил» все вопросы, которые могут возникнуть у Уполномоченного органа, необходим предварительный анализ всей документации оператора, которая содержит и определяет обработку персональных данных субъектов.

В свою очередь, при проведении такого анализа и составлении текста «Детализированного перечня» необходимо учитывать возможность типизации ПДн. К примеру, когда оператор обрабатывает персональные данные субъектов с единой целью (например, оператор связи обрабатывает ПДн с целью предоставления услуги связи), то в «Детализированном перечне» должны быть четко сформулированы понятия цели, способов, перечня обрабатываемых персональных данных и прочее.

В случаях, когда оператор обрабатывает персональные данные, преследуя различные цели, к примеру, обрабатывая данные работников для начисления заработной платы, установления пропускного режима, учета в кадровом делопроизводстве, возникает потребность их типизировать относительно цели обработки, и это должно быть отражено в «Положении». Такая система описания (относительно критерия цели обработки, например) позволит оператору эффективно ориентироваться в документах, содержащих персональные данные, давать ответы на запросы субъектов и Уполномоченного органа.

Другим вопросом, имеющим отношение к документации оператора персональных данных, является вопрос о сроках хранения персональных данных. В данном случае законодательство, пожалуй, впервые устанавливает максимальный, и к тому же условный, срок хранения – «по достижении целей обработки». Организации должны будут установить сроки хранения персональных данных, причем необходимо заранее продумать обоснование выбранных сроков хранения. Например, исходя из требований трудового, гражданского (исковая давность) и пенсионного законодательства срок хранения для карточек формы Т-2 установлен – 75 лет, а для информации о предоставленных абоненту услугах связи, на основании Постановления Правительства № 538 от 2005 года срок хранения составляет 3 года.

Что касается технических мероприятий по обеспечению защиты ПДн, то мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах в обязательном порядке должны включать в себя учет лиц, допущенных к работе с персональными данными в ИС. При этом лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к соответствующим данным на основании списка, утвержденного уполномоченным лицом оператора.

При этом сам по себе утвержденный список мало что значит. Важно обеспечить разграничение доступа не только к приложениям, но и реализовать в самих приложениях доступ к персональным данным в соответствии с утвержденным списком. Сделать это без эффективной системы управления доступом будет крайне затруднительно.

Наряду с разграничением доступа к персональным данным в ИСПДн должны быть реализованы механизмы:
- Регистрации и учета.
- Обеспечения целостности.
- Антивирусной защиты.
- Криптографической защиты.

Функционал, который должны выполнять данные механизмы, определен в методических документах ФСБ России и ФСТЭК России по защите персональных данных.

Механизмы направлены на предотвращение несанкционированного доступа к персональным данным и, кроме того, обеспечивают своевременное обнаружение фактов несанкционированного доступа к ним. Кроме того важно понимать, что какие бы хорошие не были механизмы защиты, ответственные лица оператора должны периодически проводить контроль и проверку их эффективности.

Определенную сложность при категорировании, защите и аттестации ИС будет иметь тот факт, что современные автоматизированные ИС используют программные продукты, целиком охватывающие все предприятие. Если раньше мы могли говорить о локальной защите конкретного модуля (например, кадрового учета), то теперь при повсеместном использовании ERP-систем, где этот модуль интегрирован в саму систему, защищать и аттестовать придется всю информационную систему.

2. Перечень внутренних документов компании

- Приказ о создании комиссии по защите персональных данных с наделением ее полномочий по проведению всех мероприятий, касающихся организации защиты персональных данных;
- Положение о персональных данных и их защите;
- Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
- Приказ/ы о возложении персональной ответственности за защиту персональных данных;
- Договор с субъектом персональных данных, который может содержать отдельное письменное согласие субъекта персональных данных на их обработку, в случаях определенных согласно №152-ФЗ;
- Нормативный документ (перечень), аккумулирующий информацию о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения)
- Перечень информационных систем, обрабатывающих персональные данные
- Регламент допуска сотрудников к обработке персональных данных
- Перечень допущенных сотрудников к обработке персональных данных
- Должностные инструкции сотрудников, имеющих отношение к обработке персональных данных.

3. Порядок действий по созданию системы защиты ПДн

При наличии в организации единого управленческого звена можно предложить операторам следующую схему организации системы защиты персональных данных:
- Организовать руководство вопросами организации защиты персональных данных
- Создать два направления по формированию обеспечения защиты обрабатываемых персональных данных: техническое направление и направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки, например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при формировании и учете договоров с субъектами персональных данных). При этом внутренним документом (должностной инструкцией) должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту персональных данных.
Приступать к технической защите можно после проведения категорирования персональных данных, определения их объема и особенностей технологических процессов их обработки (передача ПДн в рамках технологического процесса между территориально обособленными подразделениями компании, многопользовательский доступ к персональным данным, различные права доступа сотрудников к ПДн). Эти операции позволят:
- Определить класс защиты персональных данных и осуществить подбор необходимых средств удовлетворяющих требованиям к системе защиты информационной системы определенного класса.
- Спроектировать систему защиты персональных данных.
- Произвести подготовку и при необходимости сертификацию системы защиты персональных данных/аттестацию информационной системы персональных данных.
На основании вышесказанного процесс, связанный с приведением порядка обработки персональных данных в соответствие требованиям законодательства, можно условно разбить на следующие этапы:
- Инвентаризация ИС, обрабатывающих ПДн
- Оценка законности обработки ПДн и наличие согласия субъектов на обработку
- Контроль и корректировка договорных отношений с субъектами
- Формирование перечня ПДн и проведение категорирования
- Определение сроков и условий прекращения обработки ПДн
- Разграничение доступа пользователей к ПДн в ИСПДн
- Формирование документов регламентирующих работу с ПДн
- Формирование модели угроз, содержащей актуальные угрозы информационной безопасности персональным данным при их обработке в информационной системе
- Классификация ИСПДн
- При, необходимости определенной в №152-ФЗ, направить уведомление об обработке ПДн в уполномоченный орган по защите прав субъектов персональных данных
- Приведение системы защиты ПДн в соответствие требованиям регуляторов
- При необходимости, определенной методическими документами ФСТЭК России и ФСБ России получить необходимые лицензии
- Аттестация ИСПДн
- Эксплуатация ИС – мониторинг, выявление и реагирование на инциденты ИБ

4. Модель угроз и классификация ИСПДн

На основании приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» классификацию ИСПДн оператор персональных данных должен осуществить самостоятельно.

При этом модель угроз создается, на основании методических документов ФСТЭК России и ФСБ России, а также актуальных угроз безопасности персональным данным при их обработке в ИСПДн.

Методические документы, определяющие модель угроз:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14.02.2008 г., ДСП
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14.02.2008 г., ДСП
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21.02.2008 г, № 149/5-144

Необходимо учитывать, что в случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России.

В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСТЭК России и ФСБ России. При этом из двух содержащихся в документах ФСТЭК России и ФСБ России однотипных угроз выбирается более опасная.

По согласованию с ФСТЭК России и ФСБ России допускается формирование модели угроз только на основании методических документов ФСБ России.

При обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России, модели угроз формируются только на основании методических документов ФСБ России.

5. Требования к аттестации ИСПДн

Общие требования безопасности ИСПДн определены в ФЗ. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. Защитные механизмы в значительной степени уточнены в постановлении Правительства 2007 г. № 781. А конкретные требования по нейтрализации выявленных угроз безопасности и конкретные функциональные требования к защитным механизмам определяются после классификации системы и актуализации модели угроз на основании методических документов ФСТЭК России и ФСБ России.

Для получения квалифицированной помощи, в случае возникновения вопросов по созданию системы защиты персональных данных, желательно обратиться в комитет по информационной безопасности МОО СОДИТ и/или МОО АЗИ.

6. Какие могут быть последствия, если ничего не делать

Необходимо отметить, что законодательство устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни, за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Кроме того, гражданское законодательство предусматривает защиту нематериальных благ граждан, включающих, в частности, неприкосновенность частной жизни, личную и семейную тайну, деловую репутацию. Устанавливается компенсация морального вреда, возможность требования по суду возмещения убытков и опровержения, порочащих честь, достоинство и деловую репутацию гражданина сведений.

Надо также учитывать, что использование несертифицированных информационных систем, баз и банков данных, несертифицированных средств защиты информации, если они подлежат обязательной сертификации, влечет их конфискацию.

А нарушение правил защиты информации и отказ в предоставлении гражданину информации может привести к административному приостановлению деятельности организации сроком до 90 суток.

Разглашение информации, доступ к которой ограничен федеральным законом и в частности, персональных данных, (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, которое имело к ней доступ по служебным или профессиональным обязанностям – карается административным штрафом до десяти тысяч рублей.


Источники:
1. Шпунт Я. Основные угрозы информационной безопасности// Intelligent enterprise, №9 (203), 2009 [http://www.iemag.ru/analitics/detail.php?ID=18904]
2. Рекомендации СоДИТ ИТ-директорам России по защите персональных данных// Intelligent enterprise, №9 (203), 2009 [http://www.iemag.ru/analitics/detail.php?ID=18921]

Дата: 22.07.2009

Комментарии специалистов Челябэнергопроект:
Нет
Статьи

смета проектных работ
©Челябэнергопроект – проектные работыinfo@chepr.ru, 2007-2013
DRA.RU - проектирование сайта под ключ; системный администратор ООО «Челябэнергопроект»
Главная|О компании|Стратегия|
Компетенция / услуги|Контакты
Сертификат качества