В рубрику "Официальный раздел" | К списку рубрик | К списку авторов | К списку публикаций
И.Г. Назаров
Заместитель начальника управления ФСТЭК России
Обеспечение безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн), регламентируемое сегодня Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, направлено на решение следующих задач:
Решение таких задач обусловлено, во-первых, тем, что ПДн являются информацией ограниченного доступа. При этом они могут быть сведениями, относимыми к различным видам тайн (например, к личной, семейной, врачебной, служебной и т.п.). В соответствии с законом "О персональных данных", ПДн - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и др. Такая информация приобретает статус ПДн, когда ею обладает не только непосредственный владелец, но и другие юридические и физические лица. Характерно, что информация, отнесенная к ПДн, может и не составлять личную или семейную тайну, если человек, к которому она относится, не считает нужным ее скрывать.
Во-вторых, сосредоточение больших объемов ПДн граждан в информационных системах и широкое использование сетевых технологий привело к опасности как их утечки, так и уничтожения или модификации с возможностью возникновения значительных социальных последствий. Это вынуждает принимать адекватные меры по защите ИСПДн от угроз безопасности ПДн.
В обеспечении безопасности ПДн участвуют не только операторы ИСПДн, но и уполномоченные на то органы госвласти. Система регулирования отношений, связанных с обработкой ПДн и обеспечением их безопасности, между заинтересованными субъектами приведена на рис. 1.
Сегодня работы по обеспечению безо-пасности ПДн в соответствии с законом и действующими нормативными и методическими документами должны проводиться применительно к ИСПДн:
Для разработки и осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн оператором или уполномоченным им лицом назначается структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности ПДн.
Общий порядок организации обеспечения безопасности ПДн включает в себя:
Данный этап (рис. 2) во многом определяет эффективность решения задач обеспечения безопасности ПДн. Оценка обстановки основывается на результатах комплексного обследования ИСПДн, в ходе которого прежде всего проводится определение защищаемой информации и ее категорирование по важности.
По результатам оценки обстановки проводится классификация ИСПДн в соответствии с "Порядком проведения классификации информационных систем персональных данных", утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.
При оценке обстановки определяется необходимость обеспечения безопасности ПДн от угроз:
Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, проводится в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти, обязательными к применению стандартами и на основании утвержденного ФСТЭК России доку-мента "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных". При этом выявление и оценка актуальности угроз безопасности ПДн при их обработке в ИСПДн осуществляется с использованием утвержденных документов "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" и "Методика определения актуальных угроз безопасности персональных данных при их об-работке в информационных системах персональных данных".
Разработка замысла обеспечения безопасности ПДн (рис. 3) является важным этапом организации обеспечения безопасности ПДн, в ходе которого осуществляется выбор основных способов защиты ПДн. В данном случае необходимо определить организационные меры и технические (аппаратные, программные и программно-аппаратные) средства защиты.
При выборе технических средств защиты следует использовать сертифицированные средства защиты информации.
Важным аспектом поддержания требуемого уровня безопасности ПДн является решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты.
К вопросам управления относятся:
Контроль заключается в проверке выполнения требований нормативных доку-ментов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться оператором или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
Решение основных вопросов обеспечения защиты ПДн должно предусматривать подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения.
В ходе подготовки документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются следующие документы:
В соответствии с положениями ФЗ от 8 августа 2001 г. № 128 "О лицензировании отдельных видов деятельности" и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" операторы ИСПДн в ходе проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Опубликовано: Каталог "Системы безопасности"-2010
Посещений: 18038
Автор
| |||
В рубрику "Официальный раздел" | К списку рубрик | К списку авторов | К списку публикаций