Организация защиты персональных данных

Аттестационные испытания ИСПДн предполагают проведение следующих проверок:

• проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПДн;
• проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации;
• испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа.

Результатом работ на данном подэтапе является:

• Протокол аттестационных испытаний;
• Заключение по результатам аттестационных испытаний;
• Аттестат соответствия на ИСПДн (выдается в случае положительного Заключения);
• Акт о переводе СЗПДн в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПДн).

Лицензирование деятельности по защите персональных данных

В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных системах 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий в целях ее уничтожения, искажения или блокирования доступа к ней. 
Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю. Срок действия лицензии составляет 5 лет и по его окончании может быть продлен по заявлению лицензиата. 
Условия получения лицензии

Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:

• наличие в штате специалистов, имеющих квалификацию по вопросам технической защиты информации (прошедших специализированные курсы ФСТЭК);
• наличие помещений для осуществления обработки ПДн, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации;
• наличие испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
• использование ИСПДн, а также средств защиты ПДн, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
• использование предназначенных для обработки ПДн программ для электронно-вычислительных машин и баз данных;
• наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным ФСТЭК.

Порядок получения лицензии

Для получения лицензии на деятельность по технической защите ПДн необходимо выполнить следующие работы:

1. Подготовить комплект документов для предоставления в ФСТЭК РФ. К ним относятся:
• Заявление;
• Копии учредительных документов (заверенные нотариусом);
• Копии свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица (нотариально заверенные);
• Копия свидетельства о поставке соискателя лицензии на учет в налоговом органе (нотариально заверенная);
• Пояснительная записка;
• Копии документов, подтверждающих право собственности, право хозяйственного ведения на помещения;
• Копия аттестата соответствия на защищаемое помещение;
• Копии документов на ИСПДн (Технический паспорт, Акт классификации ИСПДн, план размещения ОТСС и ВТСС, аттестат соответствия на ИСПДн, перечень защищаемых ресурсов ИСПДн), описание технологического процесса обработки информации в ИСПДн;
• Копии документов, подтверждающих право на используемые программы для ЭВМ и базы данных (лицензии);
• Сведения о наличии производственного и контрольно-измерительного оборудования, средствах защиты информации, средствах контроля защищенности с приложением копий документов о проверке контрольно-измерительного оборудования;
• Сведения об имеющихся нормативно-правовых актах, нормативно-методических документах по вопросам технической защиты информации.
2. Подготовить не менее двух специалистов, которые будут осуществлять деятельность по защите ПДн (оказывать услуги по защите ПДн) на специализированных курсах ФСТЭК.
3. Подготовить и провести аттестацию испытаний защищаемого помещения, которая включает: обследование, разработку пакета организационно-распорядительных документов, подготовку и проведение аттестационных мероприятий.
4. Получить нормативно-методические документы: «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» и «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам».
5. Предоставить документы во ФСТЭК РФ.

Защита ПДн при неавтоматизированной обработке

Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных, как сотрудники организации-оператора, так и уполномоченного лица (осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки.

При разработке и использовании типовых форм документов, в которые предполагается включение ПДн, должны соблюдаться определенные условия по их содержанию. Например, они должны содержать сведения о цели обработки,  имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения ПДн, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн, поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку персональных данных и т.п.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться условия:

• наличие акта о необходимости ведения такого журнала, содержащего цели, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к ним и ответственных за их ведение и сохранность, сроки обработки персональных данных, а также сведения о порядке пропуска субъекта ПДн на территорию, на которой находится оператор;
• недопустимость копирования содержащейся в таких журналах (реестрах, книгах) информации;
• персональные данные каждого субъекта могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта на территорию.

Должна обеспечиваться раздельная фиксация на материальный носитель ПДн, имеющих различную цель обработки. Если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению их раздельной обработки.

В отношении каждой категории ПДн должны быть определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Защита биометрических ПДн

С точки зрения формирования требований к защите персональных данных существует два типа биометрических данных. Первый тип – биометрические данные, которые обрабатываются в ИСПДн. Требования к их защите определены в постановлении Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и ничем не отличаются от требований к защите обычных ПДн, которые обрабатываются в информационных системах.

Второй тип – это биометрические данные, обрабатываемые вне информационных систем персональных данных. Требования по защите таких ПДн сформулированы в Постановлении от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

При этом под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека, и на основе которых можно установить его личность.

Материальный носитель таких ПДн должен обеспечивать:

• защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;
• возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими ПДн;
• возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических ПДн, а также оператора, осуществившего такую запись;
• невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

Оператор биометрических данных, используемых вне ИСПДн, обязан:

• осуществлять учет количества экземпляров материальных носителей;
• осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

Технологии хранения биометрических персональных данных вне ИСПДн должны обеспечивать доступ к информации, содержащейся на материальном носителе, применение средств электронной цифровой подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических ПДн, записанных на материальный носитель, а также проверку наличия письменного согласия субъекта ПДн на обработку его биометрических персональных данных.

При хранении биометрических персональных данных вне ИСПДн должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации. Такая передача называется трансграничной.

До начала осуществления трансграничной передачи персональных данных оператор ПДн обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн. Министерство связи  и массовых коммуникаций РФ (Минкомсвязи) в своем письме № ДС-П11-2502 от 13.05.2009 определило «адекватную защиту» как защиту, при которой «обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации».

Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г., ETS № 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят: Австрия, Андорра, Бельгия,  Болгария,  Дания,  Великобритания,  Венгрия,  Германия,  Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.

Обеспечение безопасности ПДн в кредитно-финансовых организациях