Меры по обеспечению защиты персональных данных в организации

Защита персональных данных в медорганизации: как обеспечить безопасность

Бизнес и госструктуры ежедневно имеют дело с огромными объемами персональных данных: они «знают» наши имена и фамилии, даты рождения и адреса, семейное положение и социальный статус. Однако особенно остро вопрос информационной безопасности встает перед медицинскими учреждениями. Ведь они собирают и хранят персональные данные, крайне чувствительные для любого человека, – результаты лабораторных и инструментальных исследований, диагнозы, истории болезней.

Руководитель отдела продаж компании «Нетрика Интеграция» Руслан Харлашин рассказывает, как обеспечивается безопасность персональных данных в частных и государственных медицинских учреждениях и каким образом этот вопрос регулируется в нашей стране.

Руслан Харлашин

Что говорит закон?

Законодательство строго закрепляет статус персональных данных (ПД). Их определение сформулировано в Федеральном законе № 149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации», где они представлены как «информация ограниченного доступа». В ФЗ уточнено, что конфиденциальность персональных данных – это обязательное условие работы с ними, и поэтому государство устанавливает обязательные нормы и правила их обработки.

Вопросу взаимодействия с персональными данными даже посвящен отдельный нормативно-правовой акт. Ключевым документом здесь выступает ФЗ № 152 от 27.07.2006 «О персональных данных». Закон содержит основные определения и требования, которые касаются обработки персональных данных – в частности требует обеспечить защиту прав и свобод человека. Также ФЗ строго регламентирует этот процесс: например, в нем указано, что операторы обработки персональных данных должны обеспечить определенные уровни защищенности, установленные Постановлением Правительства РФ № 1119 от 01.11.2012. Под этими уровнями понимается набор требований, который нейтрализует определенные угрозы безопасности.

При этом в постановлении № 1119 предложен только сжатый перечень мер защиты. Более детально их определяет ФСТЭК России: приказ № 21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, а приказ № 17 от 11.02.2013 регламентирует требования по защите информации в ГИС (государственных информационных системах), включая и персональные данные.

ФСБ России выпустила приказ № 378 от 10.07.2014, в котором описаны меры обеспечения безопасности персональных данных при использовании средств криптографической защиты информации.

Освежил законодательство в области персональных данных и Минздрав, выпустив Приказ № 911н от 24.12.2018 «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций».

Особенности работы с персональными данными в медицине

Работа с медицинскими ПД отличается рядом особенностей. Клиники обязаны хранить данные о здоровье каждого пациента в виде медкарты, и разглашать их запрещено при любых условиях. Поэтому здесь остро встает проблема возможных утечек информации.

Именно здравоохранение лидирует в антирейтинге утечек данных. По результатам исследования «СёрчИнформ», с проблемой столкнулись почти две трети медучреждений – и около 50% из них стараются не раскрывать факт инцидента. При этом личную информацию потеряли 42% организаций.

Необходимый уровень защиты ПД важно обеспечивать на каждом этапе их обработки, что оказывается непростой задачей в процессе сбора и записи сведений, их систематизации и хранения в базе, уточнения деталей и, наконец, уничтожения информации, потерявшей актуальность.

В медучреждениях могут обрабатываться персональные данные двух типов. Первый – это простые данные: скажем, ФИО; информация о дате и месте рождения; антропологические показатели (рост и вес), фотографии человека; место жительства и контактные данные, в том числе номер телефона и адрес электронной почты.

Второй тип – персональные данные специальной категории. К этой группе относятся сведения о состоянии здоровья пациента, информация о причинах обращения за медицинской помощью, диагноз и особенности лечения. Именно эти специальные сведения и объединяются под широко известным термином «врачебная тайна», сохранность которой регулируется Федеральным законом № 323 от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации».

Скрытая угроза

Поликлиники и больницы ежедневно обрабатывают огромный объем данных пациентов, и доступ к ним должны иметь только определенные сотрудники медорганизации. При этом во многих государственных ЛПУ до сих пор не завершен переход на электронный документооборот и автоматизированный учет. Из-за этого на плечах врачей, медсестер, администраторов лежит более высокая нагрузка: им приходится вручную заполнять направления, искать бумаги с результатами лабораторных исследований. Данные, представленные в бумажном виде, легче потерять; кроме того, высокая загруженность повышает риск ошибок из-за невнимательности или спешки.

Но и с ростом уровня цифровизации риски утечек ПД не исчезают. Например, в медучреждениях, где уже установлены МИС или СЭД, данные могут пропадать из-за технических сбоев.

Также нельзя забывать о еще одной распространенной проблеме – человеческом факторе. Иногда сотрудники, которые отвечают за безопасность данных в информационных системах, не обладают нужными компетенциями или демонстрируют безответственное отношение к вопросу. Но чаще всего проблемы возникают по вине «рядовых» специалистов: согласно исследованию Infowatch, на долю сотрудников приходится более половины потерь данных – и около 80% из них возникают без злого умысла, из-за ошибок и халатности.

Зачастую проблемы возникают из-за отсутствия налаженного взаимодействия между медучреждениями и разработчиками. Поставщики могут предлагать информационные системы и программное обеспечение, предполагая, что клиника самостоятельно позаботится о защите данных, а у организации на этот счет может быть другое мнение. В результате злоумышленникам даже не приходится ничего взламывать: конфиденциальная информация хранится в открытом доступе. По этой причине произошла одна из крупнейших утечек медицинских персональных данных, в результате которой из-за использования устаревших серверов в сеть попали КТ- и МРТ-снимки 24 млн человек из 590 архивов. По данным Infowatch, почти 20% медицинских данных «утекает» не в результате внешнего воздействия.

Груз ответственности

Последствия таких утечек могут оказаться очень серьезными для клиники и ответственных за инцидент сотрудников. Нарушения безопасности могут привести к административной, гражданско-правовой, дисциплинарной или даже уголовной ответственности. Если из-за утечки произойдет разглашение врачебной тайны, клинике придется возмещать ущерб, нанесенный пациенту и его деловой репутации, а также оплачивать все расходы, понесенные из-за раскрытия сведений, и штраф. Сотрудника же будет ждать выговор или увольнение, а в самых серьезных случаях он может получить запрет на продолжение профессиональной деятельности до пяти лет или даже лишиться свободы на срок до четырех лет.

Разумеется, ответственность несут и злоумышленники: как хакеры, так и сотрудники клиник, копирующие и распространяющие информацию о пациентах. Незаконный сбор и распространение сведений о частной жизни, составляющих личную и семейную тайну, могут наказываться штрафом до 200 тыс. руб. или лишением свободы на срок до двух лет (четырех – если будет доказано, что для этого использовалось служебное положение).

Ответственность придется понести не только за прямые нарушения безопасности, но и за невозможность предоставить данные, в том числе и из-за неисправности информационных систем. Например, если оператор не предоставляет пациенту информацию, которая касается его персональных данных, он может получить штраф до 40 тыс. руб.

Пять уровней безопасности

Чтобы обезопасить личные данные пациентов, а вместе с тем себя и своих специалистов, медучреждениям необходимо построить прочную систему защиты. Первым этапом здесь становится моделирование угроз, которые рассматриваются применительно к действующей информационной системе обработки персональных данных (ИСПД) – как правило, это МИС.

Затем, в соответствии с приказом ФСТЭК России № 21, нужно определить состав и содержание организационных и технических мер, которые позволят обеспечить безопасность данных. Они должны работать на всех уровнях информационной системы: МИС, автоматизированных рабочих мест, каналов передачи данных, СУБД, виртуальной инфраструктуры.

На уровне МИС могут применяться встроенные механизмы безопасности и различные дополнительные средства защиты от несанкционированного доступа, например, антивирусные комплексы, системы предотвращения вторжений, межсетевые экраны и системы предотвращения утечек данных.

Широкий список инструментов применяется и на уровне автоматизированных рабочих мест. Для защиты используются сертифицированные операционные системы, а также антивирусы, системы для предотвращения вторжений и межсетевые экраны.

Недавно появились новые решения – автоматизированные рабочие места, в которые встроен сертифицированный модуль доверенной загрузки (МДЗ). Они помогают защищать средства вычислительной техники от несанкционированного доступа, а также контролируют целостность программной и аппаратной конфигурации устройств, на которых установлен этот модуль – еще до начала загрузки его операционной системы. Один из примеров – инструмент Numa Arce (ИТ.СДЗ.УБ4.ПЗ), реализованный в виде EFI-модуля, который работает на уровне BIOS материнской платы.

На уровне каналов передачи данных, помимо уже упомянутых инструментов, могут использоваться криптографические шлюзы. На рынке такие продукты представлены как в виде программно-аппаратных комплексов, так и в программном исполнении. Для СУБД используются специальные системы защиты. А что касается виртуальной инфраструктуры, то здесь безопасность могут обеспечивать даже доверенные защищенные гипервизоры.

Пошаговая инструкция

В общем виде проект по построению системы защиты персональных данных состоит из нескольких этапов.

• Сбор данных о существующих информационных системах персональных данных (ИСПД).
• Моделирование угроз безопасности.
• Определение уровней защищенности.
• Разработка технического задания.
• Проектирование система защиты персональных данных (СЗПД).
• Разработка организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
• Поставка средств защиты информации, их установка и настройка.
• Аттестация информационных систем персональных данных по требованиям безопасности информации (опционально).

Ошибки могут возникать на любом из указанных этапов. Например, если организация неверно определит угрозы, появляется риск утечек ПД. А если специалисты медучреждения посчитают, что информационной системе требуется более высокий уровень защищенности, чем нужен на самом деле, придется применять избыточные меры и устанавливать лишние средства защиты. Это может привести к многократному росту стоимости внедрения и обслуживания системы.

Определение уровня защищенности персональных данных

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

• обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
• обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

• менее 100 000 субъектов;
• более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.

И наконец, типы актуальных угроз:

• угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
• угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
• угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

Политика в области обработки персональных данных

1. Область применения

1.1. Настоящая Политика АО «НТЭК» обработки персональных данных (далее – Политика) определяет основные цели, принципы обработки персональных данных в АО «НТЭК» (далее – Общество), меры по обеспечению безопасности персональных данных

1.2. Настоящая Политика разработана Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон), иных федеральных законов, регулирующих вопросы обработки персональных данных, принятых во подзаконных нормативных

1.3. Политика направлена прав человека при обработке Обществом его персональных данных, числе защиты прав частной жизни, личную тайну, действующих нормативных

1.4. Политика обязательна для исполнения всеми работниками Компании, участвующими обработки персональных данных.

2. Нормативные ссылки

При разработке Политики были использованы следующие нормативные документы:

Конституция Российской Федерации

Федеральный закон от 30.12.2001 № 197-ФЗ

Трудовой кодекс Российской Федерации

Федеральный закон от 30.12.2001 № 195-ФЗ

Кодекс Российской Федерации правонарушениях

Федеральный закон от 13.06.1996 № 63-ФЗ

Уголовный кодекс Российской Федерации

Федеральный закон от 27.07.2006 № 149-ФЗ

«Об информации, информационных технологиях и информации»

Федеральный закон от 27.07.2006 № 152-ФЗ

«О персональных данных»

Постановление Правительства Российской Федерации от 06.07.2008 № 512

«Об утверждении требований носителям биометрических персональных данных хранения таких данных вне информационных систем персональных данных»

Постановление Правительства Российской Федерации от 15.09.2008 № 687

«Об утверждении Положения обработки персональных данных, осуществляемой без использования средств автоматизации»

Постановление Правительства Российской Федерации от 16.03.2009 № 228

«О Федеральной службе по надзору связи, информационных технологий коммуникаций»

Постановление Правительства Российской Федерации от 01.11.2012 № 1119

«Об утверждении требований персональных данных при системах персональных данных»

Постановление Правительства РФ от 09.12.2013 N 1131

«О внесении изменений акты Правительства Российской Федерации по вопросам введения процедуры приема заявок присоединение сети классом напряжения до включительно мощность энергопринимающих устройств которых составляет до через информационно-телекоммуникационную сеть «Интернет» отслеживания исполнения заявки реального времени»

Приказ Федеральной службы по техническому контролю от 18.02.2013 № 21

«Об утверждении состава организационных мер по обеспечению безопасности персональных данных при системах персональных данных»

Утверждена Заместителем Директора Федеральной службы по техническому контролю 14.02.2008

Методика определения актуальных угроз безопасности персональных данных при системах персональных данных

Утверждены руководством Федеральной службы безопасности Российской Федерации 21.02.2008 № 149/54-144

Методические рекомендации по обеспечению криптосредств безопасности персональных данных при системах персональных данных средств автоматизации

Утверждены руководством Федеральной службы безопасности Российской Федерации 21.02.2008 № 149/6/6-622

Типовые требования по организации функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, сведений, составляющих государственную тайну, для обеспечения безопасности персональных данных при системах персональных данных

Приказ от 25.07.2011

Порядок хранения персональных данных работников АО «НТЭК»

3. Термины, определения

3.1. Политике применены термины определениями:

3.1.1. Автоматизированная обработка персональных данных: обработка персональных данных средств вычислительной техники.

3.1.2. Биометрические персональные данные: сведения, которые характеризуют физиологические особенности человека, которых можно установить его личность.

3.1.3. Блокирование персональных данных: временное прекращение обработки персональных данных случаев, если обработка необходима для уточнения персональных данных).

3.1.4. Информационная система персональных данных: совокупность персональных данных, содержащихся данных, информационных технологий средств.

3.1.5. Конфиденциальность персональных данных: обязательное для Оператора лиц, получивших доступ данным, требование третьим лицам персональные данные без согласия субъекта персональных данных или иного законного основания.

3.1.6. Обезличивание персональных данных: действия, которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.1.7. Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых средств автоматизации или без использования таких средств данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.1.8. Персональные данные: любая информация, относящаяся или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3.1.9. Предоставление персональных данных: действия, направленные персональных данных определенному лицу или определенному

3.1.10. Распространение персональных данных: действия, направленные персональных данных неопределенному

3.1.11. Специальные категории персональных данных:персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья,

3.1.12. Структурное подразделение: подразделение Общества, являющееся исполнителем отдельных процессов, функций, работ, участвующее деятельности Общества, но хозяйственной самостоятельности Общества.

3.1.13. Субъект персональных данных: физическое лицо, персональные данные которого обрабатываются Обществом действующих нормативных правовых актов Российской Федерации документов Общества.

3.1.14. Трансграничная передача персональных данных: передача персональных данных иностранного государства органу власти иностранного государства, иностранному физическому или

3.1.15. Уничтожение персональных данных: действия, которых становится невозможным восстановить содержание персональных данных системе персональных данных и (или) которых уничтожаются материальные носители персональных данных.

3.2. Политике применены следующие сокращения:

Федеральный закон «О персональных данных»

Политика АО «НТЭК» обработки персональных данных

4. персональных данных

4.1.Общество обрабатывает персональные данные целях:

• подбор работников;
• ведение кадрового учета работников;
• ведение справочников;
• осуществление взаиморасчетов;
• организация пропускного режимов;
• оформление доверенностей;
• предоставление возможности добровольного медицинского обслуживания работникам
• заключение договоров (соглашений, контрактов обязательств по ним, включая договоры, стороной либо выгодоприобретателем или поручителем по которым выступает субъект персональных данных, договоры, заключенные по инициативе субъекта персональных данных;
• осуществление возложенных законодательством Российской Федерации, числе трудовым законодательством, функций
• подача заявок форме, посредством сайта Общества сети «Интернет»;
• защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• предоставление документов программ идентификации контрагентов законодательства легализации (отмыванию) доходов, полученных преступным путем, терроризма;
• осуществление прав интересов Общества или третьих лиц либо достижение общественно значимых целей при условии, что при этом права субъекта персональных данных,
• Закону целях.

5. Основные принципы обработки, передачи персональных данных

5.1.Общество деятельности обеспечивает соблюдение принципов обработки персональных данных, установленных Законом.

5.2.Общество может осуществлять обработку биометрических персональных данных только при наличии согласия форме субъекта персональных данных.

5.3.Общество обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, случаев, установленных законодательством.

5.4.Общество может осуществлять трансграничную передачу персональных данных. осуществления трансграничной передачи персональных данных Общество обязано убедиться что иностранным государством, которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. Трансграничная передача персональных данных иностранных государств, адекватной защиты прав субъектов персональных данных, может осуществляться

• наличия согласия форме субъекта персональных данных передачу его персональных данных;
• предусмотренных международными договорами Российской Федерации;
• исполнения договора, стороной которого является субъект персональных данных;
• защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия форме субъекта персональных данных.

5.5.Общество осуществляет обработку персональных данных средств автоматизации использования средств автоматизации.

6. обеспечению выполнения Обществом обязанностей оператора при обработке персональных данных

6.1.Общество принимает меры, необходимые для обеспечения выполнения обязанностей, предусмотренных Законом нормативными правовыми актами. данных мер относятся:

• назначение лица, ответственного обработки персональных данных;
• принятие локальных актов по вопросам обработки персональных данных, локальных актов, устанавливающих процедуры, направленные нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных мер по обеспечению безопасности персональных данных с п. 6.2 настоящей Политики;
• осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных Закону нормативным правовым актам, требованиям персональных данных, локальным актам;
• ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, законодательства Российской Федерации данных, числе персональных данных, локальными актами обработки персональных данных и/или обучение указанных сотрудников.

6.2.Общество при обработке персональных данных принимает все необходимые правовые, организационные меры для или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, неправомерных действий них. Обеспечение безопасности персональных данных достигается, следующими способами:

• определением угроз безопасности персональных данных при системах персональных данных;
• применением организационных мер по обеспечению безопасности персональных данных при системах персональных данных, необходимых для выполнения требований персональных данных;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных информационной системы персональных данных;
• учетом машинных носителей персональных данных;
• выявлением фактов несанкционированного доступа данным соответствующих мер;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа
• установлением правил доступа данным, обрабатываемым системе персональных данных, обеспечением регистрации всех действий, совершаемых данными системе персональных данных;
• контролем над принимаемыми мерами по обеспечению безопасности персональных данных защищенности информационных систем персональных данных.

7. Права субъектов персональных данных

7.1.Субъект персональных данных имеет право сведений его персональных данных Обществом.

7.2.Субъект персональных данных вправе требовать уточнения этих персональных данных, или уничтожения если они являются неполными, устаревшими, неточными, незаконно полученными или быть признаны необходимыми для заявленной цели обработки, принимать предусмотренные законом меры по защите

7.3.Право субъекта персональных данных персональным данным может быть ограничено законами, числе, если доступ субъекта персональных данных персональным данным нарушает права интересы

7.4.Для реализации своих прав интересов субъект персональных данных имеет право обратиться Общество рассматривает любые обращения субъектов персональных данных, тщательно расследует факты нарушений все необходимые меры для устранения, наказания виновных лиц спорных ситуаций порядке.

7.5.Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения орган по защите прав субъектов персональных данных.

7.6.Субъект персональных данных имеет право своих прав интересов, числе убытков и/или компенсацию морального вреда порядке.

8. Ответственность

8.1.Ответственность контроля исполнения требований настоящей Политики несет лицо, ответственное обработки персональных данных

8.2.Ответственность внесение изменений Политику несет лицо, ответственное обработки персональных данных

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
5. Разработка технического задания на создание системы защиты персональных данных.
6. Приобретение средств защиты информации.
7. Внедрение системы защиты персональных данных.
8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

• внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
• внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Почему мы?

Компания «Интелком» предлагает свои услуги по построению систем защиты персональных данных, начиная с этапа предпроектного обследования и заканчивая проведением аттестации. Наши специалисты, с учетом существующей инфраструктуры и пожеланий заказчика, помогут с выбором средств защиты информации, осуществят их установку и настройку, разработают необходимые организационно-распорядительные документы, проведут аттестацию, а также обеспечат сопровождение системы комплексной защиты персональных данных.

Профессионализм Все сотрудники являются сертифицированными специалистами	Качество Даем гарантию на выполненные работы	Надежность Лицензиаты ФСТЭК и ФСБ	Точно в срок Мы придерживаемся установленных планов и сроков

Выбор способов защиты

Разработка замысла обеспечения безопасности ПДн (рис. 3) является важным этапом организации обеспечения безопасности ПДн, в ходе которого осуществляется выбор основных способов защиты ПДн. В данном случае необходимо определить организационные меры и технические (аппаратные, программные и программно-аппаратные) средства защиты.

При выборе технических средств защиты следует использовать сертифицированные средства защиты информации.

Оценка рисков

Система защиты информации на предприятии должна разрабатываться с учетом рисков, которые наиболее часто встречаются в информационной среде современных компаний.

К основным из них следует отнести:

• попытки получения доступа к данным, которые недоступны для неавторизованных пользователей информационной системы предприятия;
• несанкционированное изменение и подмена информации, которая может привести к потере предприятиями своей репутации и имиджа;
• попытки получения доступа и кражи конфиденциальной, секретной и технической информации.

Исходя из перечисленных рисков, должны выбираться методы и алгоритмы защиты важной для предприятия информации.

Чтобы эту задачу решить положительно, на предприятии должна быть разработана и внедрена информационная политика, согласно которой производится градация данных, которая могут иметь открытый или только закрытый доступ.

Возможные источники проблем

Чтобы правильно выбрать методы защиты информации на предприятии и эффективно использовать их следует определиться с источниками возможных угроз потери данных.

К основным из них относятся:

1. сбои в аппаратной системе предприятия, обеспечивающей обработку и хранения данных;
2. мошенничество с целью получения доступа к информации;
3. искажение данных с целью получения неправомерной выгоды или нанесения ущерба компании;
4. подлог данных или их хищение с помощью различных аппаратных и программных средств;
5. кража информации с помощью устройств, использующих для этого электромагнитное излучение, акустические сигналы, визуальное наблюдение.

Перечисленные угрозы могут исходить как от сторонних лиц, которым нужны определенные данные компании в личных интересах, конкурирующие фирмы или сотрудники организаций, которые небрежно выполняют свои функциональные обязанности, или решили передать важные данные конкурентам.

Если угроза исходит от сотрудников, то они, скорее всего, постараются незаметно скопировать информацию, воспользовавшись своими полномочиями, и передадут ее третьим лицам.

Когда данные стараются получить сторонние лица, в основном используются различные программные средства.

• спам-рассылку с вредоносными ссылками;
• вирусные программы;
• троянские и шпионские плагины;
• игровые закладки с измененным кодом под вирусный софт;
• ложное программное обеспечение с измененными функциями.

Учитывая перечисленные угрозы, защита конфиденциальной информации на предприятии должна строиться как на аппаратном, так и программном уровне. Только в комплексе можно успешно защитить свои данные от киберзлоумышленников.

Примеры неправомерных действий

В качестве примера неправомерных действий, направленных на получение выгоды от подделки, замены, кражи информации можно привести следующие.

1. Злоумышленник получает доступ к данным клиентов банка. Имея в наличии информацию о физлице, номерах его счетов, платежных карт, он может подделать документы или банковские карты и неправомерно снять деньги со счета другого человека.
2. Если киберпреступник получит доступ к электронным копиям документов, он сможет подделать оригинальные документы и оформить кредит на другого человека.
3. Во время расчета в интернет-магазине, злоумышленник, используя специальные плагины, может подменить реквизиты магазина, переведя деньги покупателя на свой счет, а не в магазин.
4. При передаче важной технической информации каналами связи, кибершпионы, используя различные средства слежения и считывания, могут просканировать канал, по которому передается информационный трафик и получить доступ к техническим секретам предприятия.

Процесс организации защиты информации на предприятии

К основным этапам комплексной защиты информации на предприятии относятся:

• формирование информационной политики предприятия, компании;
• создание внутреннего правового поля использования информации;
• формирование подразделения информационной защиты и безопасности.

Защитная деятельность компании должна вестись в следующих направлениях:

1. защита данных, которые обрабатываются и хранятся в архивах;
2. исключение вероятности несанкционированного проникновения в информационную среду компании;
3. правильная работа с персоналом для исключения краж важных данных сотрудниками компании.

Меры защиты

Для повышения информационной безопасности предприятиями активно используются следующие меры безопасности.

Формирование системы доступа к данным внутри корпоративной сети

Предприятиями используются различные автоматизированные системы управления доступом к данным согласно приоритетам и статусам сотрудников компании.

Это упрощает процедуру отслеживания перемещения потоков данных и выявления утечек информации.

Антивирусная защита

Использование эффективного антивирусного программного обеспечения исключит вероятность кражи данных с помощью специального софта.

Он может попасть в информационную среду компании по сети интернет .

Зачастую практикуется параллельное использование двух программных продуктов, отличающихся разными алгоритмами определения шпионского и вирусного софта.

Системы обнаружения и защиты от кибератак

Подобного рода системы активно внедряются в информационные системы предприятий, поскольку позволяют защитить не только от распространения программ с вредоносным кодом, а и блокируют попытки остановки информационной системы предприятия.

Обучение персонала сетевой безопасности

Многие компании проводят для своих сотрудников семинары и конференции, на которых обучают безопасному поведению в локальной и глобальной сетевой среде, а также безопасному обращению с информацией во время выполнения своих ежедневных функциональных обязанностей.

Это существенно сокращает риски, того что информация будет утеряна или передана третьим лицам по небрежности сотрудников.

Заключение

Комплексная система защиты информации на предприятии – это сложная задача, которую предприятию самостоятельно решить достаточно сложно.

Для этого существуют специализированные организации, которые помогут сформировать системы информационной безопасности для любого предприятия.

Квалифицированные специалисты умело создадут структуру защиты, концепцию ее внедрения в конкретной компании, а также выберут подходящие аппаратные и программные средства для решения поставленной задачи.

Также ими проводится подготовка сотрудников компаний, которые потом будут работать с внедренной системой безопасности и поддерживать ее функциональность на надлежащем уровне.

Видео: Подход к защите информации на современном Предприятии