Защита персональных данных курс лекций

К несчастью дисковые подсистемы файловых серверов могут выйти из строя и после демонтажа могут быть отправлены в обычную мусорную корзину вместе с персональными данными. Уволился системный администратор, владеющий исключительно важной ключевой информацией и имевший удаленный доступ для администрирования информационной системы. Этот список можно продолжать и продолжать.

Вышеперечисленные мелкие и крупные уязвимости скорее всего необходимо устранить. Кроме того, если в помещение отдела кадров могут присутствовать лица, не имеющие доступа к персональным данным, то монитор инспектора надо расположить определенным образом, чтобы исключить визуальный просмотр ими выведенной на него информации.

Если сегмент локальной сети между рабочей станции и сервером проходит по неконтролируемой зоне, то потребуется в некоторых случаях шифрование передаваемых данных. Для защиты особо важных данных от вредоносных программ может потребоваться наличие в центральном процессоре средств предотвращения доступа к оперативной памяти, используемой одним процессом, другим процессом. Носители с архивами должны храниться в месте, недоступном для посторонних лиц и возможных злоумышленников. Содержимое флешки в целях безопасности «ценных» персональных данных должно зашифровываться перед отправкой в налоговую инспекцию. Запросы с военкомата должны содержать ссылки на федеральные законы, по которым предприятия обязано передавать данные, или отклонены без удовлетворения. Звонок банковского служащего должен остаться безответным. Жесткие диски после демонтажа должны быть или физически уничтожены, или информации на них должна быть бесследно стерта без возможности восстановления даже с помощью специальных средств. Подписание приказа об увольнении системного администратора должно сопровождаться направлением из отдела кадров распоряжения в отдел информационных технологий об уничтожении учетной записи увольняющегося сотрудника.

Как стало понятно, защита персональных данных требует разнообразных регламентированных действий ответственных сотрудников, определенных в формализованных процедурах. Другими словами, административный уровень требует, что надо сделать, а процедурный уровень обеспечения информационной безопасности реализует «как это надо сделать» человеку. Если «как это надо сделать» выполняется программами, оборудованием или программами совместно с оборудованием, то это уже технический уровень обеспечения безопасности.

1.3.2. Примерный перечень состава мер процедурного уровня

1.3.2.1. Положение об обработке персональных данных

Объемный документ, детально определяющий порядок работы с персональными данными:

Порядок сбора и обработки;

Доступ к персональным данным;

Порядок хранения и уничтожения персональных данных;

Взаимодействие с регулирующими органами;

Ответственность взаимодействующих субъектов (физических лиц и предприятия);

Порядок внесения изменений в положение.

1.3.2.1.1. Форма ответа субъекту персональных данных об обрабатываемых персональных данных (о наличии персональных данных)

Субъект персональных данных может в устной или письменной форме запросить предприятие сообщить ему, ведет ли оно обработку его персональных данных и каких. Ответственный за обработку отвечает субъекту по данной форме.

1.3.2.1.2. Уведомления субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства

В процессе обработки персональных данных возможно выявление неверных (неточных) данных о субъекте, а также данных, обрабатываемых с нарушением требованием законодательства, например, не соответствующих цели обработки. По данной форме предприятие сообщает субъекту о прекращении обработки подобных данных.

1.3.2.1.3. Форма Согласия на обработку персональных данных

Во многих случаях предприятие должно получить письменное согласие субъекта на обработку его персональных данных, например, при обработке данных субъекта о состоянии здоровья. Письменное согласие субъекта берется по данной форме.

1.3.2.1.4. Форма Согласия на внесение персональных данных в общедоступные источники

Предприятие для выполнения уставных целей может создавать документы, общедоступные источники, доступ к которым не ограничен, например, телефонные справочники. Для внесения персональных данных в общедоступные источники берется письменное согласие субъекта по данной форме.

1.3.2.1.5. Форма Запроса субъекта персональных данных об обрабатываемых персональных данных

Субъект персональных данных в любой момент может запросить у предприятия информацию, касающуюся обработки его персональных данных, а именно:

подтверждение факта обработки персональных данных;

способы обработки персональных данных;

перечень обрабатываемых персональных данных и источник их получения;

сроки обработки персональных данных, в том числе сроки их хранения;

сведения о том, какие юридические последствия для него могут наступить в связи с обработкой.

Субъект подает запрос предприятию по данной форме.

1.3.2.1.6. Форма Запроса субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных

Если данные субъекта изменились, например, изменилась фамилия при вступлении в брак, или субъект узнал о незаконной обработке его персональных данных, то субъект извещает предприятие об изменившихся или незаконно обрабатываемых персональных данных по данной форме.

1.3.2.1.7. Форма Отзыва согласия на обработку персональных данных

Субъект персональных данных вправе отозвать свое согласие на обработку, например, потребовать исключить его данные из общедоступных источников. Отзыв согласия осуществляется по данной форме.

1.3.2.1.8. Форма Уведомления субъекта персональных данных об изменении персональных данных

Если по каким-либо причинам некоторые персональные данные субъекта изменились, например, имущественное положение, ученая степень, фамилия и т.д., то субъект сообщает предприятию об изменениях по данной форме.

1.3.2.1.9. Форма Запроса третьих лиц на доступ к обрабатываемым персональным данным

Различным организациям (военный комиссариат, прокуратура, следственный комитет и т.д.), так называемым третьим лицам может потребоваться получить доступ к персональным данным, обрабатываемым на данном предприятии. Свои запросы они направляют по данной форме. По той же форме предприятие направляет свой запрос другим предприятиям в качестве третьего лица.

1.3.2.1.10. Форма Ответа на запрос третьих лиц на доступ к обрабатываемым персональным данным

Получив запрос от третьих лиц с просьбой предоставить доступ к персональным данным, предприятие либо отказывает в удовлетворении запроса, либо предоставляет доступ по данной форме.

1.3.2.1.11. Форма Журнала учета обращений

Все запросы субъектов персональных данных, направленные на предприятие, и ответы на них, направленные субъекту, фиксируются в специальном журнале учета обращений. Ведение журнала контролируется Роскомнадзором (см. лекцию «Правовое обеспечение защиты ПДн».

1.3.2.1.12. Форма Журнала учета электронных носителей персональных данных

Электронные носители персональных данных подлежат строгому учету: прием на учет, выдача в работу, уничтожение. Журнал ведется по данной форме.

1.3.2.1.13. Форма Акта уничтожения носителей персональных данных

C течением времени такие носители персональных данных как жесткие диски, DVD и CD диски, твердотельные диски и т.д. теряют свойства, которые обеспечивают надежное хранение данных, или вовсе выходят из строя. Кроме того, может быть достигнута цель или утрачена необходимость их обработки. Бесконтрольная утилизация или повторное использование носителей может привести к нарушению конфиденциальности персональных данных. Поэтому информация, содержащаяся на носителях персональных данных, гарантированно уничтожается и составляется акт уничтожения, который утверждается специальной комиссией.

1.3.2.1.14. Форма журнала учета проверок, проводимых органами государственного контроля (надзора), органами муниципального контроля

Эпизодически по жалобе субъекта персональных данных на ненадлежащую защиту его данных или в плановом порядке надзирающие и контролирующие государственные службы проводят проверки соответствия требований законодательства предпринятым мерам по защите. В данном журнале фиксируются даты начала и окончания проверки, наименование органа контроля, дата и номер распоряжения о проведении проверки, цель проверки, выявленные нарушения, выданные предписания и т.д.

1.3.2.2. Положение об организации и обеспечении защиты персональных данных

Весьма объемный документ, определяющий проведение мероприятий по обеспечению защиты персональных данных, состоит из следующих разделов:

- Организационная структура защиты;

- Защита персональных данных при обработке без средств автоматизации;

- Защита персональных данных в информационных системах персональных данных;

- Физическая защита помещений и технических средств;

- Требования к персоналу по обеспечению защиты персональных данных;

- Контроль состояния защиты;

- Порядок внесения изменений в положение.

1.3.2.2.1. Форма Заявки на предоставление доступа к ИСПДн

Должностное лицо предприятия становится пользователем информационной системы и получает необходимые права доступа, только в результате выполнения формализованной процедуры – заявки на предоставление доступа. Заявка, в которой обосновывается необходимость доступа, уровень доступа (чтение, модификация, полный), срок доступа, подписывается руководителем и технически реализуется или встроенной в операционную систему подсистемой разграничения прав доступа (или «наложенной», если штатных средств операционной системы недостаточно), или подсистемой, встроенной в прикладную программу, или той и другой одновременно.

1.3.2.2.2. Форма Журнала учета средств защиты информации, эксплуатационной и технической документации к ним

Если следовать букве законодательного уровня (см. лекцию «Правовое обеспечение защиты персональных данных», раздел «Постановление Правительства РФ от 3 февраля 2012 г. «О лицензировании деятельности по технической защите конфиденциальной информации»), предприятие без наличия лицензии на техническую защиту конфиденциальной информации не имеет права на установку и настройку средств защиты. Как правило, малые и средние предприятия не имеют такой лицензии. Если установку и настройку производят специализированные фирмы-интеграторы, имеющие данную лицензию, то ее представители заполняют журнал учета заданной формы. Если все же предприятие самостоятельно устанавливает и настраивает технические средства защиты, то журнал заполняется и поддерживается в актуальном состоянии администратором безопасности информационной системы.

1.3.2.2.3. Форма Журнала учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов

Если среди средств защиты информации присутствуют криптографические (шифровальные) средства, то с учетом замечаний предыдущего раздела ведется журнал учета средств криптографической защиты.

1.3.2.2.4. Форма Журнала периодического тестирования средств защиты информации

С течением времени обнаруживаются новые уязвимости, новые средства проведения атак на информационные системы персональных данных. С целью проверки устойчивости средств защиты к воздействию потенциальных нарушителей администратором безопасности периодически проводится их тестирование с помощью сетевых сканеров или других средств. Результаты тестирования заносятся в журнал данной формы.

1.3.2.2.5. Форма Журнала учета мероприятий по защите информации

Защита персональных данных – непрерывный процесс, который может корректироваться изменением законодательства, изменением технологии обработки, изменением инфраструктуры информационной системы и т.д. Все эти изменения отражаются в виде адекватных мероприятий предприятия по защите информации. Например, может потребоваться применение сертифицированных средств защиты, прошедших контроль ФСТЭК на отсутствие недекларированных возможностей. Все мероприятия заносятся в данный журнал.

1.3.2.3. Положение о подразделении, осуществляющем функции по организации обработки и обеспечению защиты персональных данных

В зависимости от размеров предприятия и экономической целесообразности на предприятии или создается специальное подразделение, организующее обработку и защиту персональных данных, или его функции возлагаются на отдел информационных технологий, или его функции возлагаются на администратора безопасности. В положении определяются цели и задачи, функции, права и ответственность соответствующей организационной структуры по обеспечению защиты персональных данных.

1.3.2.4. Инструкция пользователям информационных систем персональных данных

Сотрудник предприятия становится официальным пользователем информационной системы, если он как должностное лицо включен в Приказ «О введении в действие перечня обрабатываемых персональных данных, перечня информационных систем персональных данных и перечня подразделений и сотрудников, допущенных к работе с персональными данными». Эта инструкция определяет его поведение, когда в дополнение к прямым обязанностям (например, обязанностям бухгалтера), добавляются обязанности, ответственность, запреты как пользователя информационной системы, которая может использовать средства автоматизации, так и не использовать такие средства.

1.3.2.5. Инструкция администраторам безопасности информационных систем персональных данных

Сотрудник наделяется полномочиями администратора безопасности приказом по предприятию. Обычно на малом предприятии нет выделенной должности администратора безопасности, и его функции возлагаются на сотрудника более или менее склонного к работе с системным программным обеспечением. В инструкции определяются квалификационные требования, предъявляемые к администратору безопасности, описываются его функции, обязанности, права и ответственность.

1.3.2.6. Инструкция по действию в случае компрометации ключевой информации средств криптозащиты персональных данных

Криптозащита – действенное и порой единственное практическое средство, используемое для обеспечения конфиденциальности при передаче персональных данных через общедоступные сети, такие как Интернет. С каждым днем все большее число предприятий направляют отчетную информацию, в том числе персональные данные, через Интернет.

В данной инструкции определяется признаки компрометации (подозрения или факт раскрытия) открытых и закрытых ключей шифрования и действия пользователей, администраторов безопасности, руководителя предприятия в случае действительной компрометации.

1.3.2.7. План внутренних проверок состояния защиты персональных данных

Практика разработки проектов по защите персональных данных показывает, что без организации внутреннего контроля, т.е. контроля над выполнением требований административного, процедурного и технического уровней защиты со стороны администрации предприятия, отдела информационных технологий, администратора безопасности, действенность защиты со временем падает.

В плане внутренних проверок указываются тип и содержание мероприятий проверки, периодичность проведения проверок, ответственные за проведением проверки, процедуры проверки, результат проверки.

Например, администратор безопасности (ответственный) по этому плану обязан еженедельно (периодичность) анализировать регистрационные журналы (процедура) подсистемы антивирусной защиты (тип). Результатом такой проверки может быть, например, обнаружение отсутствия обязательного ежедневного обновления антивирусных баз.

1.3.2.8. Перечень мест хранения материальных носителей персональных данных

Обычно на предприятиях наряду с автоматизированными системами по-прежнему используется ручная обработка персональных данных. Данный перечень определяет помещения, предназначенные для хранения персональных данных сотрудников предприятия (личная карточка, трудовая книжка, трудовой договор и т.д.), представителей контрагентов, физических лиц (доверенности, копии паспортов).

1.4. Технический уровень обеспечения информационной безопасности

1.4.1.Общие сведения

Итак, законы изучены, инструкции написаны, процедуры определены, приказы подписаны, персонал обучен и работает в соответствии с инструкциями и процедурами. То, что законодательные, административные и процедурные меры защиты необходимы, сомнений на этом этапе изучения материала уже не вызывает, а вот – достаточны ли?

Думается, ответ надо искать в природе человека, а также в функциональных и структурных особенностях информационных систем. В автономной информационной системе обработки персональных данных при поверхностном взгляде организационными мерами можно обеспечить приемлемый уровень конфиденциальности и целостности, если:

Информационная система изначально чиста от вредоносных программ. Вредоносная программа в автономной системе не способна нарушить конфиденциальность, а вот целостность нарушить может.

Пользователи никогда не ошибаются, исключительно добросовестно выполняют все инструкции, исключительно законопослушны и лояльны к работодателю. Пользователи не проносят на предприятие и не используют отстыкуемые носители типа флешки из дома.

Обмен необходимой информацией между информационной системой и внешним миром производится с помощью отстыкуемых носителей, гарантированно свободных от вредоносных программ.

Основные и вспомогательные технические средства, и системы никогда не выходят из строя.

Однако, людям свойственно ошибаться, некоторые из них халатно относятся к своим обязанностям. Кто-то может принести флешку с дипломом любимого племянника, чтобы на плоттере предприятия распечатать чертеж и заодно «занести» в информационную систему вредоносную программу.

Согласно исследованию, проведенному аналитически центром InfoWatch, в 2013 году доля нарушения конфиденциальности персональных данных по отношению к общему объему информации составила 85%. Виновниками нарушений примерно в 54% были сотрудники компаний – настоящие или бывшие. «Российские компании и граждане все чаще сталкиваются с тем, что давно стало реальностью для более зрелых в плане информационной безопасности западных стран. Например, мошенничество с использованием персональных данных еще три-четыре года назад было распространено большей частью в США. Сегодня и в нашей стране никого не удивляют сообщения о „краже личности “– сотрудники банков оформляют кредиты, используя украденные паспортные данные россиян».

Надо быть совершенным идеалистом, чтобы ограничивать защиту персональных данных организационными мерами даже в автономных информационных системах. В информационных системах, имеющих подключения к сетям общего пользования, и тем более в распределенных системах, компоненты которых объединяются посредством Интернет, дело обстоит еще хуже.

1.4.2. Обеспечение доступности техническими мерами

В конечном счете, цель любой информационной системы – предоставление информационной услуги ее пользователям. Если услуга не предоставляется или предоставляется с неприемлемой задержкой для пользователя, с задержкой не совместимой с его ожиданиями и штатным поведением системы, то налицо нарушение безопасности.

Величина задержки предоставления информационной услуги – это характеристика конкретной системы. Например, косвенным потребителем результата работы подсистемы расчета заработной платы является каждый сотрудник предприятия, совсем необязательно, чтобы он был пользователем данной подсистемы. Если субъект персональных данных – сотрудник предприятия регулярно, вовремя и полностью получает дважды в месяц вознаграждение за свой труд, то его двухнедельное ожидание – штатное поведение подсистемы.

Другой пример, в котором нарушение доступности информационной системы персональных данных вовсе не влечет никаких негативных последствий для субъекта – это подсистема бухгалтерского учета. Предположим, что господина Иванова направляют в командировку в другой город для получения материальных ценностей. Для выполнения командировочного задания ему необходимо предоставить командировочное предписание и доверенность от предприятия на право получения этих ценностей. Если подсистема бухучета окажется неработоспособной, соответственно не будет сформирована доверенность и командировка окажется сорванной, то собственно Иванов никакого ущерба не получит.

Из предыдущих рассуждений становится ясно, что для предметного рассмотрения технических мер надо определиться с обратным понятием «временем недоступности информации», которое может варьироваться в широких пределах от нескольких секунд для медицинских и иных подобных систем до нескольких дней для менее критичных систем.

Для большинства малых и средних предприятий, которые не занимаются поддержанием жизнедеятельности (например, медицина) с активным использованием информационных систем обработки персональных данных вполне устраивает время недоступности от нескольких часов до нескольких дней. По этой причине из дальнейшего рассмотрения исключаются системы, готовность которых выражается формулой 24 часа в сутки, 7 дней в неделю 365(6) дней в году.

Еще из давних работ Джона фон Неймана и Клода Шеннона известно о возможности создания систем со сколь угодно степенью надежности из ненадежных элементов. С тех пор надежность элементов неизмеримо повысилась, но идея введения избыточности и дублирования осталась непоколебимой, и она активно используется в информационных системах.

Следующие факторы могут влиять на доступность персональных данных:

1) Естественный отказ (без злонамеренных воздействий нарушителей) основных и вспомогательных технических средств, и систем. Выход из строя файлового сервера с базами данных, поломка коммутатора, объединяющего компьютеры в сеть, ошибка программирования в операционной системе и т.д.

2) Ошибки конфигурирования аппаратно-программного обеспечения. Например, автоматический запуск в запланированное время антивирусного сканера с очень высоким приоритетом потребления процессорного времени приведет к «подвисанию» прикладной программы и увеличит ее время отклика.

3) Непреднамеренные ошибки пользователя. В простых системах, работающих по технологии «клиент – файловый сервер» пользователь может случайно удалить базу данных на сервере.

4) Злонамеренные действия нарушителей, приводящие к резкому ухудшению производительности компонентов информационной системы и, как следствие к увеличению времени отклика системы. Например, высокое потребление процессорного времени и оперативной памяти вредоносной программой или чрезмерное занятие полосы пропускания канала передачи данных, ведущего к серверу, имитирующими запросы соединения пакетами, все это примеры снижения доступности.

1.4.2.1. Естественный отказ основных и вспомогательных технических средств.

Естественный отказ может привести к нарушению работоспособности следующих компонентов информационной системы:

1) Аппаратное обеспечение. Это серверы, рабочие станции, коммуникационное оборудование, периферийное оборудование.