В соответствии со ст. 19 Федерального закона "О персональных данных" Правительство Российской Федерации своим постановлением [82] установило требования к обеспечению безопасности персональных данных при их обработке в информационных системах. На основе данного постановления ФСПОК России своим приказом [118] утвердило Положение о методах и способах защиты информации в информационных системах персональных данных, в котором не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации. Анализ основных разделов и приложения данного Положения, показывает, что его можно применять не только для информационных систем персональных данных, но и для АИС, в которых циркулирует любая другая информация.
Работы по обеспечению безопасности персональных данных при их обработке в АИС являются неотъемлемой частью работ но созданию этих систем (см. разд. 4, а также ГОСТ 34.601 90 (180) и ГОСТ Р 51583-200011561).
Требования по обеспечению безопасности и защиты персональных данных при их обработке в АИС представляют собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Под техническими средствами, позволяющими обрабатывать персональные данные, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковые произведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации). программные средства (операционные системы, системы управления базами данных и др.). средства защиты информации, применяемые в АИС.
Безопасность персональных данных при их обработке в ЛИС обеспечивается с помощью системы защиты, включающей как организационные меры, так и технические, программные средства, которые должны удовлетворять устанавливаемым требованиям, обеспечивающим защиту информации. Средства защиты информации включают в себя также: шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа и утечки информации по техническим каналам, средства предотвращения программно-технических воздействий на технические средства обработки персональных данных, а также информационные технологии, используемые в АИС персональных данных.
Для обеспечения безопасности персональных данных при их обработке в АИС, осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
Обмен персональными данными при их обработке в АИС осуществляется но каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными. соблюдения условий безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемою проникновения или пребывания в этих помещениях посторонних лиц. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются ФСТЭК России, ФСБ России и ФСО России в пределах их полномочий [63-65].
Безопасность персональных данных при их обработке в АИС обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку' персональных данных. Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и их безопасность при обработке в информационной системе.
При обработке персональных данных в ЛИС должны быть обеспечены:
· проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
· своевременное обнаружение фактов несанкционированного доступа к персональным данным:
· недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
· возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· постоянный контроль за обеспечением уровня защищенности персональных данных.
Мероприятия по обеспечению безопасности персональных данных при их обработке в АИС включают в себя:
· определение угроз информационной безопасности персональных данных при их обработке, формирование на их основе модели угроз
· разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса АИС
· проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
· установку - и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
· обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
· учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных
· учет лиц, допущенных к работе с персональными данными в АИС;
· контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
· разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, а также разработку и принятие мер по предотвращению возможных опасных последствии подобных нарушений;
· описание системы защиты персональных данных.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
Должностные лица допускаются для выполнения служебных (трудовых) обязанностей к соответствующим данным на основании списка, утвержденного оператором АИС или уполномоченным лицом.
Запросы пользователей информационной системы на получение персональных данных, включая лиц, доступ которых необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям АИС до выявления причин нарушений и устранения этих причин.
Реализация требований по обеспечению информационной безопасности в средствах зашиты информации возлагается на их разработчиков.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические. инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами АИС. Конкретные сроки проведения контрольных тематических исследований определяются ФСБ России.
Результаты соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных, оцениваются в ходе экспертизы, осуществляемой ФСБ России и ФСТЭК России в пределах их полномочий.
К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных, прилагаются правила пользования этими средствами, согласованные с ФСБ России и ФСТЭК России в пределах их полномочий.
Средства защиты информации, предназначенные для обеспечения безопасности персональных данных, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется ФСБ России и ФСТЭК России.
Порядок разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются ФСБ России.
Автоматизированные информационные системы персональных данных должны классифицироваться операторами - государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку' персональных данных, а также определяющими цели и содержите обработки персональных данных в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации информационных систем персональных данных установлен совместно ФСТЭК России. ФСБ России и Министерством информационных технологий и связи Российской Федерации.
Проведение классификации АИС персональных данных включает в себя следующие этапы:
· сбор и анализ исходных данных по информационной системе:
· присвоение системе соответствующего класса и его документальное оформление [122; 166, 200].
При проведении классификации учитываются такие исходные данные как:
· категория обрабатываемых в системе персональных данных-Хпд
· объем обрабатываемых персональных данных (количество субъектов, персональные данные которых обрабатываются в системе) - Хнпд
· заданные оператором характеристики безопасности персональных данных, обрабатываемых в системе:
· структура системы;
· наличие подключения информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
· режим обработки персональных данных:
· режим разграничения прав доступа пользователей АИС;
· местонахождение технических средств информационной системы.
Определяются следующие категории обрабатываемых в информационной системе персональных данных (Хпд):
· категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
· категория 2 - персональные данные, позволяющие идентифицировать субъекта этих данных и получить о нем дополнительную информацию, за исключение данных, относящихся к категории 1;
· категория 3 - персональные данные, позволяющие идентифицировать субъекта этих данных;
· категория 4 обезличенные и (или) общедоступные персональные данные.
Категории персональных данных Хнпд могут принимать следующие значения:
1 - в системе одновременно обрабатываются персональные данные более чем 100 ООО физических лиц или в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в системе одновременно обрабатываются персональные данные от 1000 до 100000 физических лиц или работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в системе одновременно обрабатываются данные менее чем 1000 физических лиц или персональные данные субъектов в пределах конкретной организации.
В зависимости от характеристик безопасности персональных данных, обрабатываемых в АИС, информационные системы подразделяются на типовые и специальные. Типовые АИС - это системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные АИС - это системы, и которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик их безопасности, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
Специальные ЛИС, в свою очередь, подразделяются на два типа:
1) системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья их субъектов;
2) системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении физического лица или иным образом затрагивающих его права и законные интересы.
Ио структуре ЛИС подразделяются на три типа:
1) на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (АРМ);
2) комплексы АРМ, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные системы):
3) комплексы АРМ и (или) локальных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена ЛИС подразделяются на системы, имеющие подключения, и системы, не имеющие подключений. В зависимости от режима обработки персональных данных АИС подразделяются на системы одно- и многопользовательские. Ио разграничению прав доступа пользователей АИС подразделяются на системы без разграничения прав доступа и системы с разграничением нрав доступа.
В зависимости от местонахождения технических средств АИС подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
· класс 1 (К 1) - системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствия для субъектов персональных данных:
· класс 2 (К 2) - системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них. может привести к средним негативным последствиям для субъектов персональных данных:
· класс 3 (КЗ) - системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них. может привести к незначительным негативным последствиям для субъектов персональных данных:
· класс 4 (К 4) - системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям дтя субъектов персональных данных.
По результатам анализа исходных данных класс специальной АИС определяется на основе модели угроз безопасности персональных данных
В случае выделения в составе АИС подсистем, каждая из когорых является информационной системой, всей АИС в целом присваивается класс, соответствующий наиболее высокому классу входящих в нес подсистем.
Результаты классификации АИС оформляются соответствующим актом оператора. Класс АИС может быть пересмотрен:
· но решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной системы:
· по результатам мероприятий, по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.