Кибербезопасность: как защитить персональные данные в интернете

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Кибербезопасность: как защитить персональные данные в интернете». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

Среди мер защиты выделяют:

• ограниченное число работников, которые имеют доступ к персданным;

• принятие нормативных документов;

• утверждение перечня документов, которые содержат пнд;

• внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

• проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

• установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

# Какие предприятия должны защищать персональные данные?

Определение Согласно статье 3 ФЗ-152, вводится термин «оператора», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн. Предприятия, попадающие под озвученное определение, согласно статье 18.1 всё того же ФЗ-152, обязаны принимать достаточные и необходимые меры по защите персональных данных, обеспечивая тем самым выполнение обязанностей, предусмотренных настоящим Федеральным законом и принятых в соответствии с ним нормативно-правовых актов.

Лицензия ТЗКИ, выдаваемая ФСТЭК

Обратите внимание, что деятельность по технической защите конфиденциальной информации подлежит лицензированию. Наиболее востребованной для типовой организации, осуществляющей деятельность по защите конфиденциальной информации, является наличие лицензии ТЗКИ, выдаваемой ФСТЭК РФ. Согласно Постановлению Правительства Российской Федерации от 15 августа 2006 г. № 504: ТЗКИ (Техническая защита конфиденциальной информации) — это комплекс мероприятий и/или услуг по защите информации от несанкционированного доступа, включая технические каналы, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

1. обследование;

2. моделирование угроз;

3. разработка технического задания;

4. проектирование системы защиты;

5. реализация технической части системы защиты;

6. реализация организационных мер;

7. оценка эффективности принятых мер;

8. аттестация;

9. поддержание необходимого уровня защиты в процессе эксплуатации.

Все работники Поликлиники, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

При вступлении в должность нового работника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

Работник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.

Работники Поликлиники, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

Работники Поликлиники должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей(если не используются технические средства аутентификации).

Работники Поликлиники должны обеспечивать надлежащую защиту оборудования, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, а также свои обязанности по обеспечению такой защиты.

Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Работникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационной системой Поликлиники, третьим лицам.

При работе с ПДн в ИСПДн работники Поликлиники обязаны не допускать просмотр ПДн третьими лицами с мониторов АРМ.

При завершении работы с ИСПДн работники обязаны защитить АРМ с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

Работники Поликлиники должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.

Работники обязаны сообщать обо всех случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и/или лицу, отвечающему за защиту персональных данных в ИСПДн.

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

• сбор;
• фиксация;
• систематизация;
• накопление;
• сбережение;
• защита;
• передача;
• использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
3. Выбирать способы обработки нужно в соответствии с заявленными целями.
4. Все требования касаются только полных и достоверных персональных данных.
5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Методика определения актуальных угроз безопасности

Для каждой информационной системы существуют угрозы безопасности. Угрозы можно классифицировать следующим образом:

• по видам возможных источников угроз;
• по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн;
• по виду несанкционированных действий, осуществляемых с ПДн;
• по способам реализации угроз;
• по виду каналов, с использованием которых реализуются те или иные угрозы.

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Для оценки возможности реализации угрозы применяются два показателя — уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Исходная степень защищенности определяется следующим образом:

• ИСПДн имеет высокий уровень исходной защищенности, еcли не менее 70% характеристик ИСПДн соответствуют уровню «высокий»;
• ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний»;
• ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1. 0 — для высокой степени исходной защищенности, 5 — для средней степени исходной защищенности и 10 — для низкой степени исходной защищенности.

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

Вводятся четыре вербальных градации частоты реализации угрозы:

• маловероятно — отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
• низкая вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
• средняя вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
• высокая вероятность — объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2. 0 — для маловероятной угрозы, 2 — для низкой вероятности угрозы, 5 — для средней вероятности угрозы и 10 — для высокой вероятности угрозы.
По значению коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы:

• 0
• 0,3
• 0,6
• Y > 0,8 — возможность реализации угрозы очень высокая.

При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

• низкая опасность — если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
• средняя опасность — если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
• высокая опасность — если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Возможность реализации угрозы (вербальная)	Показатель опасности угрозы (вербальный)
Низкая	Средняя	Высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

5.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.

5.2. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения Оператор извещает об этом Пользователей путем размещения на Сайте соответствующего сообщения.

5.3. Если Пользователь не согласен с условиями настоящего Положения, то он должен немедленно удалить свой профиль с Сайта, в противном случае продолжение использования Пользователем Сайта означает, что Пользователь согласен с условиями настоящего Положения.

Обеспечение безопасности персональных данных при их обработке

Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

– получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;

– привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;

– отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;

– устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

Согласно Закону Российской Федерации «О государственной тайне» средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Кроме того, в соответствии с «Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» (постановление Совета Министров — Правительства Российской Федерации -51) информация, содержащая сведения, отнесенные к государственной или служебной тайне, должна обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств защиты, сертифицированных в установленном порядке. Для оценки готовности систем и средств информатизации и связи к обработке (передаче) информации, содержащей сведения, отнесенные к государственной или служебной тайне, проводится аттестование указанных систем и средств в реальных условиях эксплуатации на предмет соответствия принимаемых методов, мер и средств защиты требуемому уровню безопасности информации[8].

Также следует отметить, что согласно требованиям «Положения о лицензировании деятельности по технической защите конфиденциальной информации» (постановление Правительства Российской Федерации ) допускается использование автоматизированных систем, обрабатывающих конфиденциальною информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации. Не невыполнение данного требования является грубым нарушением лицензионных требований и условий. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

В соответствии с действующим законодательством Российской Федерации сертификация проводится в рамках систем сертификации средств защиты информации, созданных федеральными органами исполнительной власти, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными правовыми актами Российской Федерации.

Меры по снижению расходов на проведение мероприятий по защите ПДн

В заключение хочется отметить, что в целях повышения класса (от К1 до К2 или от К2 до КЗ) и, соответственно снижения расходов на проведение мероприятий по защите ПДн может быть рекомендовано:

■ проведение тщательного анализа и возможное сокращение перечня получаемых и обрабатываемых сведений в отношении субъектов ПДн (далеко не каждый реквизит на самом деле будет необходим для осуществления деятельности);

■ осуществление обработки некоторых сведений без ис-пользования средств автоматизации;

■ обезличивание части персональных данных с выводом информации, содержащей сведения, позволяющие ус-тановить однозначную связь между личностью и ПДн (стоит отметить, что операция обезличивания персо-нальных данных является необратимой, в ходе выполнения которой утрачивается однозначная связь между субъектом персональных данных и его персональными данными);

■ минимизация мест хранения и обработки ПДн, разде-ление/сегментирование информационных систем, снижение требований к части сегментов;

■ сокращение числа сотрудников, имеющих доступ к персональным данным;

■ выделение рабочих мест, где используются ПДн в от-дельную локальную вычислительную систему и орга-низация защиты только ее;

■ отключение ИСПДн от сетей общего пользования;

■ обеспечение обмена с другими АРМ с помощью сменных носителей;

■ передача по каналам связи только обезличенной ин-формации.

минимальные требования по защите персональных данных будут предъявлены к тем организациям, которые передадут обработку данных специализированным организациям, имеющим соответствующие технические возможности и опыт в построении системы защиты ПДн (аутсорсинг).

В качестве примера может быть приведена следующая схема структуры ИСПДн, позволяющая снизить затраты на проведение мероприятий по защите персональных данных, так как обработка данных осуществляется сторонней организацией (ЦОД), имеющей лицензию на осуществление деятельности по шщите конфиденциальной информации.

Атаки и нарушители

Все возможные атаки определяются моделью нарушителя. Модель нарушителя тесно связана с моделью угроз и, по сути, является ее частью. Смысловые отношения между ними следующие.

В модели угроз содержится максимально полное описание угроз безопасности объекта.

Модель нарушителя cодержит описание предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

Модель нарушителя для этапа эксплуатации технических и программных средств криптосредства и СФК должна иметь следующую структуру:

• описание нарушителей (субъектов атак);
• предположения об имеющейся у нарушителя информации об объектах атак;
• предположения об имеющихся у нарушителя средствах атак;
• описание каналов атак.

Существует шесть основных типов нарушителей: Н1, Н2-Н6.

Все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории:

• категория I — лица, не имеющие права доступа в контролируемую зону информационной системы;

• категория II — лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы.

Все потенциальные нарушители подразделяются на:

1. внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы, могут быть как лица категории I, так и лица категории II;
2. внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы, могут быть только лица категории II.

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

Похожие записи:

• Регистрация иностранного гражданина по месту пребывания
• Что такое гектар и какая у него площадь?
• Что делать, если свекровь настраивает мужа против меня?