Защита персональных данных курс лекций

1.3.2.1.6. Форма Запроса субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных

1.3.2.1.7. Форма Отзыва согласия на обработку персональных данных

1.3.2.1.8. Форма Уведомления субъекта персональных данных об изменении персональных данных

1.3.2.1.9. Форма Запроса третьих лиц на доступ к обрабатываемым персональным данным

1.3.2.1.10. Форма Ответа на запрос третьих лиц на доступ к обрабатываемым персональным данным

1.3.2.1.11. Форма Журнала учета обращений

1.3.2.1.12. Форма Журнала учета электронных носителей персональных данных

1.3.2.1.13. Форма Акта уничтожения носителей персональных данных

1.3.2.1.14. Форма журнала учета проверок, проводимых органами государственного контроля (надзора), органами муниципального контроля

1.3.2.2. Положение об организации и обеспечении защиты персональных данных

1.3.2.2.1. Форма Заявки на предоставление доступа к ИСПДн

1.3.2.2.2. Форма Журнала учета средств защиты информации, эксплуатационной и технической документации к ним

1.3.2.2.3. Форма Журнала учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов

1.3.2.2.4. Форма Журнала периодического тестирования средств защиты информации

1.3.2.2.5. Форма Журнала учета мероприятий по защите информации

1.3.2.3. Положение о подразделении, осуществляющем функции по организации обработки и обеспечению защиты персональных данных

1.3.2.4. Инструкция пользователям информационных систем персональных данных

1.3.2.5. Инструкция администраторам безопасности информационных систем персональных данных

1.3.2.6. Инструкция по действию в случае компрометации ключевой информации средств криптозащиты персональных данных

1.3.2.7. План внутренних проверок состояния защиты персональных данных

1.3.2.8. Перечень мест хранения материальных носителей персональных данных

1.4. Технический уровень обеспечения информационной безопасности

1.4.1. Общие сведения

1.4.2. Обеспечение доступности техническими мерами

1.4.2.1. Естественный отказ основных и вспомогательных технических средств

1.4.2.2. Ошибки конфигурирования аппаратно-программного обеспечения

1.4.2.3. Непреднамеренные ошибки пользователей

1.4.2.4. Злонамеренные действия нарушителей

1.4.3. Обеспечение конфиденциальности техническими мерами

1.4.3.1. Разграничение прав доступа к информации

1.4.3.2. Шифрование информации

1.4.4. Обеспечение целостности техническими мерами

1.4.4.1. Как определить, что информация не искажена

1.4.4.2. Как предотвратить несанкционированное воздействие на информацию со стороны нарушителей

1.4.4.3. Как предотвратить случайное воздействие на информацию, приводящее к ее искажению или удалению

1.4.5. Обеспечение неотрекаемости техническими мерами

1.5. Заключение

1.6. Вопросы для самопроверки

Введение

Современные информационные системы, состоящие из основных и вспомогательных технических средств (операционные системы, сети передачи данных, системы управления базами данных, прикладных программ, устройств аварийного обеспечения электроэнергией и т.д.), обслуживающего персонала, пользователей информационных услуг сложны сами по себе. Давно наметившиеся и продолжающиеся тенденции к расширению количества и удобства предоставляемых информационных услуг в виде дистанционного обслуживания, удаленной работы пользователей усложняют их в еще большей степени. Сложные системы, имеющие многочисленные связи между внутренними компонентами и внешним миром, требуют комплексных непростых решений: мер и средств обеспечения информационной безопасности.

Постепенный и неуклонный переход к облачным технологиям обработки данных, когда становится размытым или вообще исчезающим периметр корпоративной сети, задача обеспечения информационной безопасности усложняется еще в большей степени. Доступ к данным, размещенным в центрах обработки облачных провайдеров, может осуществляться из любой точки с помощью мобильных устройств. Это обстоятельство начинает учитываться в измененной парадигме информационной безопасности (модели нулевого доверия – zero-trust model), в которой изначально принимается, что нарушитель (злоумышленник) имеет доступ к внутренней сети предприятия. В связи с этим акцент защиты переносится с периметра корпоративной сети на защиту приложений, обрабатывающих данные. Однако, в сегменте малого бизнеса еще долгое время будут популярны ставшие уже традиционными меры по защите периметра сети.

В любом случае, одним из наиболее эффективных методов борьбы со сложностью является многоуровневый подход, в рамках которого исследуемая проблема или создаваемая система разбивается на относительно независимые уровни. Не является исключением в этом отношении проблема информационной безопасности информационных систем вообще и информационных систем по обработке персональных данных (ИСПДн) в частности.

Цель информационной безопасности – обеспечение конфиденциальности, целостности и доступности информации, достигается в общем случае следующими мерами:

Законодательными мерами – наиболее абстрактный уровень системы защиты информации. Международные и национальные законы, указы Президента и постановления Правительства, приказы федеральных органов исполнительной власти. Этот уровень ориентирован на все субъекты информационных отношений Российской Федерации, в частности на все субъекты персональных данных и все предприятия – операторов ИСПДн.

Административными мерами – уровень системы защиты информации, соответствующий предприятию. Приказы и другие действия руководства предприятия в отношении защиты информационных систем. Этот уровень ориентирован на все субъекты в пределах предприятия.

Процедурные меры – уровень системы защиты информации, ориентированный на людей, т.е. пользователей ИСПДн, администраторов безопасности, системных администраторов.

Технические меры или программно-технические меры – уровень системы защиты информации, соответствующий оборудованию (ОТСС, ВТСС) и программам.

Подобное распределение мер по уровням логично, но не единственно возможное. В ФЗ «О персональных данных» упоминаются правовые, организационные и технические меры, т.е. процедурные и административные меры обобщены и объединены в понятие «организационные меры». Не затронут в этой лекции явно физический уровень, однако меры физического уровня (двери, турникеты, замки, и т.д.) просты для понимания и прекрасно вписываются в процедурный уровень.

Следует специально отметить исключительную важность комплексного применения мер всех уровней, ни один из них не может быть игнорирован без потерь для информационной безопасности.

Однако первым среди равных все же будет законодательный уровень, так сказать из-за общности действия и обязательности: хороший закон, гармонизирующий отношения между физическими лицами и предприятиями – благо для общества, а непродуманный или ангажированный – зло.

Требования законодательного уровня творчески в виде приказов (распоряжений, постановлений) трансформируются руководством предприятия в административные требования, отражающие их отношение к информационным активам. Административные требования, в свою очередь, преобразуются в положения и инструкции – процедуры, которым следуют сотрудники предприятия в процессе обработки информации. Следуя инструкциям, настраиваются технические параметры оборудования и программ.

Например, в контексте обработки персональных данных ФЗ № 152 «О персональных данных», находящийся на законодательном уровне, определяет обязательность выполнения его требований по защите персональных данных всеми предприятиями. Руководство конкретного предприятия выпускает и утверждает приказ (административные меры) о создании рабочей группы, цель которой разработать календарный план мероприятий по созданию системы защиты персональных данных. Одним из пунктов плана непременно будет разработка документа под названием «Политика безопасности предприятия «ООО *****», в котором будет отражено мнение руководства о порядке использования электронной почты при пересылке конфиденциальной информации через публичные почтовые серверы Интернет. В соответствии с политикой в дальнейшем будет разработана инструкция (процедура) для пользователя, определяющая порядок работы с электронной почтой, а для администратора безопасности требования по настройке межсетевого экрана (технические меры). Например, в числе требований может быть блокирование доступа из локальной информационной системы ко всем почтовым серверам за исключением yandex.ru.

Невозможно раз и навсегда достичь некоторого приемлемого уровня информационной безопасности. Со временем происходят изменения в поддерживающей инфраструктуре, информационных технологиях, осведомленности потенциальных нарушителей, квалификации пользователей, обнаруживаются ранее неизвестные уязвимости. Возрастающие возможности информационных систем постоянно будут бросать вызов существующим мерам по обеспечению безопасности, превращая работу по защите информации в непрерывный процесс.

1.1.Законодательный уровень обеспечения информационной безопасности

Законы как нормативно-правовые акты регулируют отношения между субъектами информационных отношений, определяют их статус, права, обязанности и устанавливают взаимную ответственность субъектов за невыполнение обязанностей или нарушение прав. В частности, закон «О персональных данных» явно определяет в качестве субъектов физические и юридические лица (операторы) и неявно определяет юридические лица в качестве обработчиков персональных данных. Меры принуждения к выполнению данного закона и меры ответственности за нарушение его требований вышеуказанными субъектами со стороны государственных регулирующих органов должны быть таковы, чтобы:

Выполнять и не нарушать было более выгоднее, нежели не выполнять и нарушать;

Общие затраты на выполнение закона (защита персональных данных) оператором были соизмеримы с возможными негативными последствиями для физических лиц.

В этом случае законодательный уровень опосредовано в виде предупредительных мер будет очень эффективно влиять на информационную безопасность предприятий.

Практически весь спектр вопросов законодательного уровня рассмотрен в лекции «Правовое обеспечение защиты персональных данных».

1.2. Административный уровень обеспечения информационной безопасности

1.2.1.Общие сведения

Административный уровень в некотором смысле аналогичен законодательному, отличие в том, что на административном уровне создается «правовое поле» в пространстве предприятия, а не в масштабе всей страны. Для создания такого правового поля производится тщательный профессиональный перевод всех требований и положений законодательного уровня в приказы или распоряжения по предприятию. Предприятие создает локальные правовые акты, имеющие силу только внутри него, которые отображают общие положения законодательного уровня в конкретные требования.

Например, как правильно «перевести» требование п.4 статьи 5 ФЗ «О персональных данных», сформулированное следующим образом: «Обработке подлежат только персональные данные, которые отвечают целям их обработки». Это краткое требование закона инициирует целую цепочку действий взаимоувязанной административной работы на предприятии:

Выпуск приказа о создании рабочей группы, состоящий из юриста, инспектора отдела кадров, представителя бухгалтерии, представителей других отделов, обрабатывающих персональные данные, системного администратора. Рабочая группа по приказу получает право и обязанности провести инвентаризацию всех информационных систем с целью:

- Выявления информационных систем, обрабатывающих персональные данные (компьютеры, программы, сами персональные данные).

- Уточнения цели обработки, даже, как правило, не уточнение, а формулирование. Спросите инспектора отдела кадров, работающего с подсистемой «Зарплата и кадры», какова точная цель обработки персональных данных!?

- Документирования перечня персональных данных.

- Соотнесения перечня с целями и удаления персональных данных, которые не отвечают целям.

- Уточнения должностных лиц, имеющих право обрабатывать персональные данные и их уровней доступа при обработке (только чтение, изменение, полный доступ).

- Разработки инструкции для пользователей по обеспечению безопасности при работе с персональными данными.

Выпуск приказа о введение в действие перечня персональных данных для каждой информационной системы, перечня подразделений и перечня должностных лиц, допущенных к работе с персональными данными. Ознакомление под роспись с этим приказом всех должностных лиц, имеющих к нему отношение.

Выпуск приказа об организации работ по обеспечению безопасности персональных данных, который среди прочих введет в действие инструкцию для пользователей. Ознакомление под роспись с этим приказом всех пользователей информационной системы.

1.2.2. Примерный состав административного уровня обеспечения безопасности персональных данных

Предложенный здесь состав уместен для тех предприятий (их абсолютное большинство), которые начали выполнять требования законодательного уровня по защите персональных данных для уже функционирующих информационных систем.

1.2.2.1. Приказ «О создании рабочей группы по приведению информационных систем персональных данных в соответствие с требованиями Федерального Закона «О персональных данных»

Этим приказом официально начинаются работы по защите персональных данных. В состав рабочей группы включаются специалисты различных отделов, в которых обрабатываются персональные данные, юрист предприятия (при наличии), системный администратор из отдела информационных технологий. Руководителем назначается сотрудник, который по деловым качествам способен координировать совместную работу членов группы.

Группа наделяется полномочиями, ей определяется цель по созданию плана-графика мероприятий, направленных на приведение информационных систем персональных данных в соответствие с измененными требованиями законодательства в области защиты персональных данных. В плане указываются мероприятия, ответственные за их выполнение сотрудники из рабочей группы и сроки исполнения.

1.2.2.2. Приказ «О создании комиссии по классификации информационных систем персональных данных»

Рабочая группа в соответствии с планом-графиком готовит материалы необходимые для отнесения (классификации) выделенных информационных систем к одному из уровней защищенности (см. лекцию «Правовое обеспечение защиты персональных данных»). Данным приказом создается комиссия, определяется ее цель, и устанавливаются сроки проведения классификации.

1.2.2.3. Приказ «Об утверждении актов классификации информационных систем персональных данных»

Для комиссии рабочая группа в соответствии с планом-графиком подготавливает исходные данные для классификации информационной системы, состоящие из:

1. Категорий персональных данных (общедоступные, специальные, биометрические, иные), см. лекцию «Правовое обеспечение персональных данных» и лекцию «Анализ Постановления Правительства 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2. Типа актуальных угроз (1,2 или 3-й тип), см. лекцию «Разработка частной модели угроз информационной системы».

3. Количества одновременно обрабатываемых данных в информационной системе.

4. Структуры информационной системы (локальная или с подключением к сетям связи общего пользования, с многопользовательским или однопользовательским режимом доступа, c разграничением или без разграничений прав доступа пользователей, расположенная в пределах Российской Федерации или за пределами), см. лекцию «Разработка частной модели угроз информационной системы».

Комиссия на основании исходных данных относит классифицируемую информационную систему к одному из 4-х уровней защищенности в соответствии с Постановления Правительства от 1 ноября 2012 года № 1119.

Акт утверждается приказом по предприятию. Из рекомендованного набора мер по обеспечению безопасности, изложенного в приказе ФСТЭК № 21 от 18 февраля 2013 г., будут в дальнейшем выбраны меры, соответствующие утвержденному актом уровню защищенности (см. лекцию «Анализ приказа ФСТЭК № 21 от 18 февраля 2013 г.» и лекцию ««Правовое обеспечение защиты персональных данных»).

1.2.2.4. Приказ «Об утверждении частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных»

Рабочая группа для каждой информационной системы определяет перечень уязвимостей и разрабатывает «Частную модель угроз» (см. лекцию «Разработка частной модели угроз информационной системы»). Результаты моделирования (тип актуальных угроз и перечень актуальных угроз) используются при классификации информационных систем и соотносятся с рекомендованным ФСТЭК набором мер для окончательного определения технических мер, необходимых для применения в информационной системе.

Частная модель угроз утверждается приказом по предприятию.

1.2.2.5. Приказ «О введении в действие перечня обрабатываемых персональных данных, перечня информационных систем персональных данных и перечня подразделений и сотрудников, допущенных к работе с персональными данными».

На этом этапе рабочая группа определила все информационные системы предприятия и, соответственно, перечень допустимых для обработки персональных данных в каждой системе. Также определены подразделения предприятия, должностные лица которых имеют соответствующие права доступа к персональным данным, и определена ответственность должностных лиц за нарушения безопасности персональных данных.

Этим приказом результаты работы получают правовой статус внутри предприятия.

1.2.2.6. Приказ «Об организации работ по обеспечению безопасности персональных данных»

Рабочая группа разрабатывает многочисленные организационно-распорядительные документы (ОРД), детально определяющие операционные действия каждого участника процесса обработки персональных данных на предприятии: руководителя предприятия, руководителей структурных подразделений, ответственного за обработку персональных данных, администратора безопасности персональных данных, пользователей информационных систем, субъектов персональных данных.

Данным приказом организационно-распорядительные документы приобретают статус обязательных для исполнения нормативных документов. Все лица, имеющие отношение к приказу, принимают его к исполнению под роспись.

1.2.2.7. Приказ «О внедрении средств защиты персональных данных»

Рабочая группа для каждой информационной системы сравнивает результаты моделирования по выявлению актуальных угроз безопасности с перечнем мер, рекомендованных ФСТЭК для нейтрализации угроз в информационной системе соответствующего уровня защищенности. В результате рекомендованный ФСТЭК набор мер адаптируется. Из него исключаются меры, не соответствующие актуальным угрозам, и добавляются меры, соответствующие актуальным угрозам, но не присутствующие в рекомендованном наборе.

В соответствии с адаптированным (актуальным) набором мер, необходимых для применения в информационных системах предприятия, рабочая группа разрабатывает техническое задание на создание системы защиты персональных данных. Далее на предприятии выполняются обычные этапы работ по выполнению технического задания: проектирование, закупка программно-аппаратных средств защиты, установка, настройка, опытная эксплуатация, внедрение, сопровождение.

Этап внедрения системы защиты персональных данных завершается приказом, утверждающим акт внедрения средств защиты информации в информационную систему персональных данных.

1.2.2.8. Приказ «О назначении комиссии по декларированию соответствия информационных систем персональных данных требованиям безопасности»

Федеральный закон «О персональных данных» требует оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных. По действующему законодательству для оценки эффективности безопасности информационных систем используется аттестация. Однако, для проведения аттестации предприятие должно иметь лицензию на проведение работ по защите конфиденциальной информации (см. лекцию «Правовое обеспечение защиты персональных данных).

Можно воспользоваться другой формой оценки эффективности, когда предприятие самостоятельно доказывает (декларирует), что административные, процедурные и технические меры, принятые на предприятии, соответствуют всем требованиям законодательного уровня РФ по защите персональных данных.

Этим приказом назначается комиссия и утверждается заключение по результатам оценки соответствия информационных систем предприятия требованиям ФЗ «О персональных данных».

1.3. Процедурный уровень обеспечения информационной безопасности

1.3.1.Общие сведения

Персональные данные «покинув» субъекта могут перемещаться во времени и пространстве по весьма причудливому пути. Их путь, например, начинается в отделе кадров предприятия во время принятия на работу физического лица сбором и записью инспектором отдела кадров данных соискателя в различные карточки типа личная карточка N Т2. Затем в процессе ввода в информационную базу персональные данные на непродолжительное время выводятся на монитор инспектора, далее стремительно промчавшись по сегменту локальной сети и, чуть задержавшись в оперативной памяти сервера, под руководством системы управления базами данных размещаются в файлах операционной системы. В ночное время подсистема создания ежедневных архивов скопирует их вместе с другими данными в локальный архивный носитель и, возможно, через неделю они появятся в отстыкуемом носителе. А он, в свою очередь, покинет серверную комнату, расположившись на случай стихийных бедствий в территориально отдаленном месте.

Возможно, ежемесячно персональные данные будут записаны на флешку, которая курьером будет доставлена в местную налоговую службу. Весной и осенью могут поступить на предприятие запросы от военного комиссариата с просьбой предоставить персональные данные некоторых работников предприятия. Не исключено, что позвонит банковский служащий и попросит уточнить по телефону персональные данные клиента банка и одновременно сотрудника предприятия. Нередки случаи, когда потребуется внести изменения в персональные данные или устранить случайно внесенные ошибки.