Актуальный вопрос – защита персональных данных ФЗ 152

В соответствии с ФЗ №152 «О персональных данных», с 1 января 2010 года компаниям, работающим с персональными данными, вне зависимости от вида деятельности и формы юридического лица, необходимо организовать защиту своих информационных систем и пройти аттестацию в соответствии законодательством. Для информационных систем персональных данных, находящихся в эксплуатации в настоящее время и до означенного срока, закон предусматривает целый комплекс мероприятий по их доработке, обеспечивающий безопасность данных.

К персональным данным, в соответствии с основными понятиями, используемыми в настоящем законе, относится любая информация, относящаяся к частному лицу, в том числе его ФИО, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование и профессия, доходы и прочая информация.

Основная цель законопроекта – обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, на личную и семейную тайну, регулирование отношений, связанных с обработкой персональных данных (ПДн), осуществляемое государственными органами власти, органами местного самоуправления, юридическими и физическими лицами.

Буквально через две недели закон вступит в силу, но, несмотря на обилие теоретических материалов на эту тему,  конкретной информации очень мало. Тем сложнее руководителям и сотрудникам компаний, не использующим системы защиты персональных данных, представить алгоритм внедрения и технологию работы с ними.

Специалисты корпорации «Галактика» ведущего отечественного разработчика информационных систем для управления предприятием, разработали полный спектр информационных обучающих семинаров, раскрывающих секреты работы и эксплуатации систем защиты ПДн  в системах управления организацией.

В конце ноября корпорация «Галактика» совместно с Центром компетенции по защите персональных данных и компанией «Тюмбит-АСУ» (официальным региональным представителем корпорации «Галактика» в Тюменской области, ХМАО и ЯНАО) специально для  представителей тюменского бизнеса и органов государственной власти провели бесплатный семинар на тему «Построение эффективной системы защиты персональных данных в соответствии с требованиями законодательства РФ, ФЗ № 152». На встрече были рассмотрены самые актуальные вопросы, связанные с построением эффективной системы безопасности персональных  данных, детально рассмотрены этапы и состав работ, необходимых при внедрении такой системы, а также возникающие при этом типовые проблемы. Специалисты в области информационных технологий представили на семинаре сертифицированные программные средства по обработке и защите персональных данных.

Итак, с чего же нужно начать внедрение системы защиты персональных данных?

Для построения системы защиты персональных данных компании в соответствии с требованиями законодательства РФ руководителю или специалисту организации важно решить ряд вопросов, от которых зависит план дальнейших действий.

В первую очередь, необходимо установить перечень персональных данных, которые обрабатываются на предприятии. Помимо кадрового учёта и бухгалтерии важно принять во внимание прочие направления деятельности компании, где используются ПДн: клиенты, заказчики, партнёры по бизнесу и прочие физические и юридические лица. В соответствии с деятельностью, осуществляемой ими на предприятии, нужно определить цели обработки персональных данных,  а также сроки обработки и хранения информации.
ФЗ определяет, что «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трёх рабочих дней с даты достижения цели обработки», поэтому крайне важно, чтобы эти сроки также были определены.

Следует определиться и со способом обработки ПДн: неавтоматизированная обработка, либо обработка ПДн с использованием автоматизированных систем. В первом случае, на основании Постановления Правительства РФ №687 от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», дополнительно нужно выявить перечень персональных данных, обрабатываемых без использования средств автоматизации.

Во втором случае следующий этап действий — определение информационных систем, в которых осуществляется обработка персональных данных (ИСПДн), которые обычно делятся на типовые ИСПДн и специальные, применяющие более сложные уровни защиты. На основании этого необходимо провести
классификацию ИСПДн, в зависимости от класса изменяются требования по обеспечению безопасности системы. Чем выше класс информационной системы ПДн, тем выше требования по обеспечению ее защиты и, соответственно, расходы на проведение работ.

Следующий шаг — определение состава и объёма обрабатываемых персональных данных, которые классифицируются по категориям. Категория 1 – касаются расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Категория 2 – позволяют идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1. Категория 3 – позволяют идентифицировать субъекта персональных данных. Категория 4 – обезличенные или общедоступные персональные данные.

По результатам такого аудита складывается общее видение состояния информационных ресурсов в части обработки персональных данных. Здесь сразу возникает вопрос как минимизировать затраты на создание системы защиты? Снижение затрат возможно: классификация «специальной» системы осуществляется на основании разрабатываемой модели угроз безопасности ПДн, позволяющей для каждого случая рассчитать минимальное количество актуальных угроз. Чем меньше их количество, тем меньше затраты на защиту. Именно поэтому к вопросу классификации ИСПДн следует отнестись серьёзно. Можно сказать, что здесь закладывается бюджет внедрения технологии. Во избежание ошибок для проведения подобных мероприятий целесообразнее пригласить специализированную организацию с опытом работ по данному направлению.

Второе важное действие подача уведомлений в уполномоченный орган. Закон предусматривает ряд случаев, разрешающих проведение обработки персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора). В иных случаях предприятие регистрируется в реестре операторов, осуществляющих обработку персональных данных, на основании уведомления, направленного в письменной форме и подписанного уполномоченным лицом, либо в электронной форме, подписанное электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Существует заблуждение, что если для компании нет необходимости регистрироваться в Роскомнадзоре в качестве оператора персональных данных, то фактически она не является оператором ПДн и действия законодательства на нее не распространяются. Это суждение ошибочно, и закон в таком случае рассматривает действия компании как уклонение от своих обязательств перед государством.

Организационные меры защиты персональных данных включают в себя комплекс мероприятий по разработке организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных. Причём данные меры осуществляются на всех предприятиях, независимо от того, нужно подавать уведомление в Роскомнадзор или нет.

Обязательным условием при обработке ПДн с использованием средств автоматизации являются технические меры защиты. Они делятся на два основных класса: средства защиты информации от несанкционированного доступа (НСД) и от утечки по техническим каналам.  Этот пункт, пожалуй, самый трудоёмкий, т.к. при его выполнении следует соблюдать определённые условия. Основное условие – для выполнения работ по технической защите конфиденциальной информации необходима лицензия, для получения которой, в соответствии с методическими рекомендациями Федеральной службы по техническому и экспортному контролю (ФСТЭК), требуется провести тщательное обследование информационных ресурсов предприятия и получить аттестацию ИСПДн. Это ещё один пункт, с которым, как показывает практика, организациям трудно справиться самостоятельно, не имея навыков и опыта работы.

В соответствии со статьей 23 Закона «О персональных данных»,  для обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона назначается Уполномоченный орган по защите прав субъектов персональных данных – регулятор. Полномочиями осуществлять проверки наделены три  организации. Для того, чтобы быть готовыми к проверке, необходимо знать полномочия каждой из этих структур.

Вопросов, касающихся соблюдения норм и требований по обработке персональных данных занимается Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

За соблюдением требований по организации и обеспечению функционирования шифровальных, криптографических средств в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн следит Федеральная служба безопасности (ФСБ РФ).

Контроль и выполнением требований по организации и техническому обеспечению безопасности персональных данных некриптографическими методами при их обработке в ИСПДн осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК РФ). В рамках своих полномочий регуляторы имеют право проводить плановые и внеплановые проверки.

Однако основным регулятором проверок является Роскомнадзор. В полномочия данного органа входят плановые проверки с целью контроля сведений, указанных в уведомлении уполномоченного органа по защите персональных данных, а также внеплановые — на основании заявлений физических лиц и с целью проверки информации, указанной в данных заявлениях.

Роскомнадзор имеет право, в соответствии с законодательством Российской Федерации, принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемых с нарушением требований ФЗ. Данный орган имеет право обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их интересы в суде, а также выходить с законодательной инициативой в Правительство РФ с предложением о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных, привлекать к административной ответственности лиц, виновных в нарушении закона.

После рассмотрения всех пунктов построения системы защиты персональных данных компании возникает справедливый вопрос: можно ли самостоятельно выполнить требования законодательства? Ответить на него должен каждый руководитель предприятия самостоятельно. Есть в штате организации специалист по информационной безопасности? А специалист по сотрудничеству с государственными регуляторами? Имеется ли лицензия ФСТЭК? До вступления закона в силу осталось две недели, возможно ли успеть проделать всю работу в срок? Возможно, будет принято решение воспользоваться услугами специализированных организаций.

На территории Российской Федерации работает целый ряд компаний-разработчиков и поставщиков информационных технологий управления. В случае привлечения специализированной компании в вопросе организации системы защиты персональных данных на предприятии лучше воспользоваться услугами представителя, осуществляющего свою деятельность на местном уровне. В нашем регионе одним из ведущих разработчиков в сфере IT, является корпорация «Галактика» и её региональный представитель ЗАО «Тюмбит-АСУ». На рынке услуг информационных технологий «Галактика» представлена с 1987 года. Корпорация имеет свои представительства в крупнейших регионах России и стран СНГ. В настоящее время её заказчиками являются более шести тысяч предприятий. Корпорация представляет современную систему управления деятельностью предприятия «Галактика ERP».

Возможности этой системы позволяют оперативно решать главные управленческие задачи, обеспечить менеджеров необходимой и достоверной информацией для принятия управленческих решений. Корпорация обладает лицензией на осуществление работ, связанных с использованием сведений, оставляющих государственную тайну, что позволяет использовать систему «Галактика ERP» в организациях и предприятиях оборонно-промышленного комплекса, а также в структурах, чья деятельность имеет стратегически важное значение для государства.

Необходимо понимать, что при создании систем защиты персональных данных недостаточно просто закупить программы или технические средства. Такие проекты включают несколько этапов и уровней: выявление информационных систем, относящихся к системам обработки персональных данных, создание и утверждение внутренних процедур, внедрение программных и аппаратных решений, подготовка к аттестации и, непосредственно, прохождение аттестации.

Корпорация «Галактика», совместно с сертифицированными партнёрами, готова провести весь этот комплекс мероприятий, в том числе:  оценку текущего состояния, определение класса информационной, формирование модели угроз безопасности, разработку требований по безопасности, системы защиты, организационно-распорядительной документации, ввод в эксплуатацию системы защиты, обучение персонала, оценку соответствия системы защиты. И что немаловажно − «Галактика» гарантирует сервисное обслуживание и поддержание актуальности аттестата соответствия.

При разработке комплексного решения всех этапов выполнения проекта по защите персональных данных, включая организационные и технические вопросы, каждая из компаний-партнёров, входящих в составЦентра компетенции по аттестации информационных систем предприятия, выполняет определённый спектр работ в рамках проекта на предприятии-заказчике. В зависимости от задач предприятия, Центр компетенции поручает общее управление проектом по обеспечению безопасности персональных данных своим партнёрам в регионах. В нашем регионе такой компанией является «Тюмбит-АСУ».

Корпорация «Галактика» является разработчиком сертифицированных решений для создания систем защиты информационных систем персональных данных 2, 3 и 4 классов на базе комплексной системы управления предприятием «Галактика ERP».  

На сайте ФСТЭК в «Государственном реестре сертифицированных средств защиты информации» указано, что комплекс средств защиты информации от несанкционированного доступа пользователей к базе данных (ГАМР.00009-01), встроенный в систему Галактика ERP версия 8.1 (по 4 уровню НДВ и по 5 классу СВТ), может использоваться для защиты информации в ИСПДн до 2
класса включительн).

Компания Miktera отслеживает общие вопросы безопасности информационных технологий и хранения конфиденциальных данных. Решением всех организационно-юридических столкновений в рамках проекта занимается компания «ТехноПроект». Наконец, техническими вопросами и вопросами аттестации систем занимается компания «Ай-Теко».

Резюмируя всё вышесказанное, можно отметить, что, привлекая специализированную организацию на оказание услуг по обеспечению безопасности информации, предприятие значительно выигрывает по срокам реализации проекта. Минимизируются затраты при выборе оптимальной конфигурации программно-аппаратных средств защиты. Исключаются неприятные дополнительные встречи с регуляторами.

Своим опытом по внедрению системы защиты персональных данных поделился Семён Борисович Горбунов, начальник отдела технической защиты информации Главного управления специальных мероприятий Тюменской области.

— После опубликования 152-го закона мы сразу же определились с планом  мероприятий по защите
персональных данных на информационных системах персональных данных. Одним из требований было назначение должностных лиц в организации, отвечающих за обеспечение безопасности и сохранности базы персональных данных.  

Согласно закону, в компании может быть создано отдельное структурное подразделение, с назначением должностного лица, ответственного за обеспечение безопасности персональных данных. Было принято решение, что должностное лицо должно быть назначено из числа заместителей руководителя организации. Представить, что с поставленным объёмом задач может справиться один человек, было трудно, поэтому была организована вертикаль власти по обеспечению сохранности информации. В соответствии с постановлением Правительства Тюменской области органами власти была проведена инвентаризация информационных систем, на основании которой были выявлены ИСПДн. В сотрудничестве с кадровыми органами и бухгалтерией мы провели анализ и выявили, какие персональные данные обрабатываются в той или иной организации, где они обрабатываются и как хранятся. Таким образом, мы определились, какие персональные данные обрабатываются в информационных системах персональных данных, а какие – находятся на бумажных носителях. В соответствии с Законом, с каждого сотрудника предприятия, чьи персональные данные подлежат обработке в системе, необходимо заявление о порядке обработки ПДн. Вновь посредством аудита были выявлены такие лица. В итоге оказалось, что мы должны брать разрешение на обработку ПДн не только с сотрудников организации, но и с кадрового резерва и с третьих лиц, которым оказываем услуги. Таким образом, в целом мы определились, с кого необходимо взять заявление, как обрабатывать информацию, где и сколько она должна храниться – и для каждого человека эти параметры оказались разные.

После этого мы начали работать по подготовке эксплуатационных документов для последующей аттестации ИСПДн. После того, как был определён перечень персональных данных, обрабатывающиеся в организации, были выявлены лица, которые допущены к персональным данным организации, и была подготовлена модель угроз. Непосредственно при подготовке документов на аттестацию мы обратили внимание на финансовые затраты. В соответствии с регламентом, путём пересмотра класса ИСПДн с К-2 на К-3, нам удалось минимизировать расходы.  В итоге мы успешно прошли аттестацию и получили сертификат. Для нас это уже пройденный этап. Могу сказать, что всё можно сделать организационно-техническими мерами.

«Предупреждён – значит вооружён» — актуальность этого высказывания подтвердил Александр Бургардт, руководитель Аналитического центра корпорации «Галактика» (Москва):

— Исходя из определения Федерального Закона №152 о том, кто является оператором персональных данных, можно сделать вывод, что все без исключения организации или компании, независимо от форм собственности, являются операторами персональных данных, поскольку у них у всех есть ПДн, а значит есть что защищать.

На основании требования законодательства каждая из этих организаций должна построить систему защиты ПДн своими силами или путем привлечения специализированных организаций. Если данную систему предприятие разрабатывает   самостоятельно, нужно быть готовым к сложностям в подготовке проекта. Во-первых, необходимость лицензии на выполнение работ по защите технической информации. Нужно грамотно определить классы ИСПДн, ведь в соответствии с этим выстраивается дальнейшая схема системы в соответствии с сертификатами и прочими требованиями.

В связи с приближающейся датой вступления в силу ФЗ № 152, участились случаи обращения в Корпорацию пользователей системы «Галактика ERP» по вопросам соответствия встроенных средств защиты данных требованиям ФСТЭК по защите информационных систем при обработке персональных данных, а также по вопросам проведения комплекса организационных и технических мероприятий по обеспечению безопасности персональных данных. Поэтому совместно с сертифицированными партнёрами Корпорация «Галактика» создала Центр компетенции по аттестации информационных систем предприятия на соответствие руководящим документам ФСТЭК по защите персональных данных. Наряду с корпорацией, участниками Центра компетенции являются Межрегиональная общественная организация «Ассоциация защиты информации» (АЗИ), ассоциация производителей товаров и услуг в области безопасности «ЕВРААС», а также региональные компании, работающие в сфере безопасности.

Сегодня мы оказываем оперативную и качественную помощь нашим клиентам. Текущий состав центра представлен компетентными сотрудниками и организациями, которые имеют большой опыт, необходимые сертификаты и лицензию на осуществление деятельности по защите технической информации, производство средств защиты конфиденциальной информации.

Мы представляем два подхода, которые мы предлагаем своим заказчикам. Первый подход — это проект под ключ. В этом случае Центр берёт на себя всю работу по организации системы защиты персональных данных, включая обследование, написание концепции разработки технического задания, разработку технического проекта и реализацию этих требований. Внедрение необходимых технических средств и при необходимости помощь в проведении аттестации либо сертификации.

Второй подход — это консультирование специалистов. То есть, часть работы заказчик выполняет сам при условии наличия необходимой нормативной базы. Центр только выделяет специалиста для оказания консультаций. Но в этом варианте вся ответственность целиком ложится на заказчика.

Центр компетенции бесплатно выполняет работы для открытия проекта – анкетирование и собеседование, на основании которых проходит оценка сроков и стоимости проекта, подготовка коммерческого предложения и договора на выполнение проекта. Для существующих клиентов комплекс мероприятий состоит из анализа эффективности применяемых средств защиты информации, выработке основных рекомендаций по устранению найденных уязвимостей, оказанию помощи в прохождении процедур классификации и аттестации. Своим клиентам и потенциальным заказчикам Корпорация «Галактика» уже сейчас может предложить сертифицированный во ФСТЭК комплекс средств защиты информации от несанкционированного доступа пользователей к базе данных.

Кроме того, наш учебный центр в центральном офисе в Москве организует курсы по различным направлениям связанным как с технической защитой информации, так и с обработкой ПДн. Мы рады оказать помощь и содействовать развитию вашего бизнеса.

Активное обсуждение докладов подтвердило на деле, что тема семинара очень актуальна для субъектов бизнеса и представителей государственных структур. Государство создало необходимые условия для выполнения требований по безопасности персональных данных, предоставив полную свободу выбора методов управления данными и систем защиты. А эксперты предупреждают: чем быстрее начать эту работу, тем ниже будет риск привлечь к себе внимание регуляторов и тем более понести санкции за несоблюдение требований законодательства.

В продолжение темы

Согласно Закону №152-ФЗ операторами персональных данных являются государственные или муниципальные органы, юридические или физические лица, организующие, осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Под обработкой ПДн понимаются действия, операции с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, обновление, изменение, а также использование, распространение, обезличивание, блокирование, уничтожение ПДн.

Статья 24
Закона регламентирует ответственность за нарушение требований настоящего Федерального закона. Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Кодекс об административных правонарушениях предусматривает максимальный штраф в размере 500 000 рублей за невыполнение предписаний Роскомнадзора, приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП). Согласно уголовному кодексу нарушителю грозит штраф до 300 000 рублей, обязательные работы на срок до 1-го года, арест до шести месяцев и лишение права занимать должность на срок до пяти лет. 

По данным интернет-изданий, в 2008 году прошли первые судебные процессы по искам в области защиты прав субъектов персональных данных. Судебными инстанциями из 22 административных дел семь рассмотрены в пользу субъектов персональных данных, в шести случаях вынесены решения об отказе в исковых требованиях, девять административных дел на конец года находились в судебном производстве.