Время разговоров о необходимости защиты персональных данных, применимости норм закона к тем или иным организациям и предприятиям, их информационным системам и конкретным приложениям постепенно закончилось. Правительством Российской Федерации и государственными регулирующими органами определен порядок классификации информационных систем персональных данных, сформированы конкретные технические требования к соответствующим классам систем, установлен порядок уведомления уполномоченного органа об обработке персональных данных, уточняется система мер ответственности за неисполнение норм Федерального закона «О персональных данных». Появилась практика правоприменения законодательства и привлечения к ответственности нарушителей.
Между тем, до 1 января 2010 г. — дня, к которому информационные системы персональных данных должны быть приведены в соответствие требованиям Федерального закона, остался всего год с небольшим. Этого времени для проектирования и ввода в эксплуатацию подсистемы информационной безопасности катастрофически мало. Тем, кто не стартовал, надо срочно начинать очень интенсивную работу или уповать, что государственный контроль и надзор обойдут стороной их компанию. Для тех, кто собирается все-таки строить систему защиты персональных данных, в данной статье приводятся практические советы, сформированные по результатам первых выполняемых нашей компанией проектов по приведению систем, обрабатывающих персональные данные, в соответствие требованиям регуляторов.
Масштаб бедствия
С чего начинать? Что конкретно и в какой последовательности делать? Каковы примерные этапы, трудоемкость и стоимость работ, необходимых для реализации требований средств защиты информации? Без получения ответов на базовые вопросы начинать работу бесполезно. Это все равно, что строить дом без проекта, плана, закупленных материалов и необходимых навыков строительства. Помните эпохальную стройку кума Тыквы в «Чиполлино» Дж. Родари?
Процесс, связанный с приведением порядка обработки персональных данных в соответствие требованиям законодательства, можно разбить на 14 этапов.
Мероприятия по обеспечению безопасности персональных данных сочетают в себе реализацию правовых, организационных и технических мер, причем все они одинаково значимы, а невыполнение одних требований сводит на нет результаты реализации других.
Учитывая состав читателей журнала, далее сделаем акцент на вопросах, связанных с инфокоммуникационной системой, а об остальных мерах будем упоминать лишь в той степени, в какой они влияют на информационные технологии.
Всеобщая перепись
Инвентаризация информационных ресурсов — дело крайне полезное само по себе. Знать, сколько и какие в системе серверы, какие приложения на них работают, кто имеет к ним доступ и кто, собственно, управляет конкретным ресурсом, необходимо как с точки зрения организации бизнес-процессов, так и с точки зрения обеспечения безопасности.
Работы, которые мы выполняли для наших заказчиков после принятия закона о персональных данных, показывают, что приложений, обрабатывающих персональные данные, в информационной системе значительно больше, чем полагали ее владельцы. Среди них есть те, которые принимались на эксплуатацию установленным в организации порядком, а есть и такие, которые в перечне ресурсов не числятся, а установлены (и даже написаны!) пользователями самостоятельно.
Для абсолютного большинства крупных компаний и организаций, работающих в России, практически обязательными стали программы бухгалтерского учета, обрабатывающие сведения о заработной плате работников, налоговых и пенсионных отчислениях, социальных льготах, добровольных платежах (например, негосударственное пенсионное страхование) и платежах принудительных (в частности, алименты).
Почти у всех серьезных компаний есть автоматизированные системы кадрового учета, специализированные или являющиеся частью ERP-систем отечественного и зарубежного производства.
В зависимости от особенностей деятельности в различных организациях и на предприятиях появляются специфические системы, обрабатывающие персональные данные — автоматизированные банковские системы, в которых ведутся базы данных клиентов-вкладчиков, абонентские базы и биллинговые системы операторов связи с данными о клиентах — физических лицах и работниках клиентов — юридических лиц, базы страховых компаний, коллекторских агентств и бюро кредитных историй с данными о гражданах, электронные амбулаторные карты в медицинских учреждениях и т. д.
Все это системы, обслуживающие основные бизнес-процессы, или системы, созданные для автоматизации работ, предусмотренных законом для любого работодателя. Главных проблем две.
Первая состоит в том, что ни одна их них не создавалась как информационная система персональных данных, и, естественно, никто не задумывался на этапе разработки о реализации требований безопасности, выдвинутых в течение последнего года. Кстати, пока каких-либо изменений, связанных с реализацией требований законодательства, на рынке информационных систем не заметно. Ни один из производителей приложений, обрабатывающих сведения о физических лицах, которые подпадают под положения Федерального закона, не заявил о реализации требований безопасности, предусмотренных Постановлением Правительства РФ № 781-2007. Между тем, в указанном постановлении четко определено, что «работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем». Кроме того (цитирую то же постановление), «программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации». Видимо, не почувствовав снижения спроса после вступления в силу закона, разработчики программных средств решили переложить всю тяжесть реализации мер защиты на конечных пользователей систем.
Вторая проблема заключается в том, что практически нигде не существуют информационные системы персональных данных (ИСПДн) в чистом виде.
Федеральный закон определяет, что ИСПДн представляет собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без них.
В жизни же мы сталкиваемся с огромной гетерогенной территориально-распределенной инфокоммуникационной системой без четко выраженного периметра, в которой среди прочих категорий обрабатываются и персональные данные. Если сегмент бухгалтерии еще можно выделить в самостоятельный VLAN, отгородив его от остальной сети межсетевым экраном и, таким образом, четко обозначить границы ИСПДн, то провести такую работу в отношении HR-модуля (модуля учета кадров) ERP-системы невозможно. Поэтому предусмотренные регуляторами требования придется выполнять в отношении практически всей сети предприятия. А это другие деньги и другие средства.
Перечень информационных систем, обрабатывающих персональные данные, указанными системами отнюдь не ограничивается. Нередко при инвентаризации ресурсов специалисты ИТ-подразделения и службы информационной безопасности с удивлением обнаруживают, что персональные данные обрабатываются и в массе других приложений (по опыту выполняемых нашей компанией проектов — от 20 до 30 в крупной компании). Есть эти категории сведений в CRM-системах (о клиентах — физических лицах и представителях клиентов — юридических лиц), в OSS-/BSS-системах (о специалистах и контактных лицах контрагентов), в бюро пропусков (о посетителях), на рабочих станциях структурных подразделений, ведущих работу с письмами и жалобами граждан, и т. д. Заполненные карточки в адресных книгах почтовых систем — это тоже, строго говоря, часть ИСПДн.
И каждую такую систему надо выявить, составить для нее перечень персональных данных, разграничить и документально оформить доступ, классифицировать и защитить.
Учитывая специфику издания, не будем останавливаться на вопросах законности обработки персональных данных и внесения изменений в договора с гражданами и контрагентами. Отметим лишь, что передача персональных данных третьим сторонам, в том числе в информационных системах, допустима лишь в случаях, предусмотренных законом. Особое место здесь занимает проблема трансграничной передачи в связи со ставшим в последнее время модным хостингом серверов приложений на территориях иностранных государств.
Перечни и сроки обработки
Так уж у законодателей получилось, что ни в одном из нормативных документов нет требования о формировании перечня персональных данных, как, например, для другой категории сведений конфиденциального характера — коммерческой тайны.
Тем не менее, статьи 9 и 14 Федерального закона «О персональных данных» гласят:
- письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя… перечень персональных данных, на обработку которых дается согласие субъекта;
- субъект персональных данных имеет право на получение… информации, касающейся обработки его персональных данных, в том числе содержащей… перечень обрабатываемых персданных и источник их получения.
Требования эти, в общем-то, справедливые, иначе как определить, что обрабатывается в системе и на основании чего?
Сформировать перечень было бы логично на основании требований, в соответствии с которыми создается то или иное приложение, обрабатывающее персональные данные.
Так, если речь идет о кадровой системе, в ней к персональным данным логично отнести сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением Госкомстата России от 05.01.2004 № 1. А если мы говорим о системе продажи авиационных или железнодорожных билетов, то к сведениям, предусмотренным правилами продажи билетов (ФИО, номер паспорта пассажира), надо добавить дату его рождения, фиксирование которой при пассажироперевозках предусмотрено Федеральным законом о транспортной безопасности.
Перечень персональных данных для популярных в последнее время систем лояльности клиентов должен включать контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. В этом случае на обработку потребуется подтверждаемое согласие клиента.
Исходя из требований трудового, гражданского (исковая давность), пенсионного законодательства, а также законодательства о безопасности определяются и сроки обработки персональных данных. Для карточек Т-2, например, это 75 лет, а для сведений о предоставленных абоненту услугах связи — 3 года (Постановление Правительства 2005 г. № 538).
Определение таких сроков крайне важно потому, что Федеральный закон определяет, что «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки».
Доступ и допуск
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах в обязательном порядке должны включать в себя учет лиц, допущенных к работе с персональными данными в информационной системе. При этом лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к соответствующим данным на основании списка, утвержденного оператором или уполномоченным лицом.
Но сам по себе утвержденный список для информационной системы мало что значит. Важно обеспечить разграничение доступа к приложениям в соответствии со списком и дать пользователям именно те права, которые им необходимы для выполнения должностных обязанностей. Сделать это без эффективной системы управления идентификацией и доступа (IAMS) будет весьма затруднительно.
Наряду с собственно разграничением доступа в ИСПДн должны быть реализованы мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, которые не имеют права доступа к такой информации, кроме того, обеспечивающие своевременное обнаружение фактов несанкционированного доступа к персональным данным. Все запросы пользователей ИСПДн на получение персональных данных и факты предоставления персональных данных по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений, содержание которого должно периодически проверяться ответственными лицами оператора.
Многие приложения, обрабатывающие персональные данные, управление доступом вообще не поддерживают, средств логирования запросов и получения по ним отчетов не имеют. Значит, придется использовать внешние средства, которые в этом случае должны рассматриваться как средства защиты информации и, следовательно, пройти процедуру оценки соответствия, проще говоря, сертификацию во ФСТЭК или ФСБ. Для некоторых зарубежных продуктов это может стать непреодолимым барьером.
Модель угроз и классификация ИСПДн
От результатов актуализации модели угроз и присвоенного ИСПДн класса зависят состав и стоимость работ по защите информации. Классификацию оператор персональных данных должен осуществить самостоятельно, а модель угроз создать не исходя из своего опыта и здравого смысла, а на основании базовой модели, утвержденной ФСТЭК и по методике того же ведомства. От того, типовая у вас система или специальная, какие требования вы к ней выдвигаете, зависит, какие конкретно средства защиты придется использовать для обеспечения безопасности. Кстати, при классификации различных систем неизбежно выявится целый ряд факторов, влияющих на построение подсистемы информационной безопасности. Например, если в электронной справочной системе используются цифровые фотографии работников, такая система будет обрабатывать уже и биометрические данные. Если кроме фамилии, имени и отчества работников, их должности и номеров телефонов в справочнике указывается и дата рождения, велика вероятность того, что ИСПДн придется признать содержащей дополнительную информацию о субъекте и отнести к классу 2, а не 3.
Если в приложении вместо фамилии, имени и отчества использовать некий идентификационный код (номер лицевого счета клиента, табельный номер работника и т. п.), такая система будет уже обрабатывать обезличенные персональные данные, требования к защищенности которых минимальны.
Оптимизация состава и формы представления данных в информационных системах может в дальнейшем оказать существенное влияние на модернизацию подсистемы безопасности или ее проектирование, выбор средств защиты и общую стоимость работ.
Строим систему защиты
Общие требования безопасности ИСПДн определены в законе. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. Защитные механизмы в значительной степени уточнены в постановлении Правительства 2007 г. № 781. А конкретные требования по нейтрализации выявленных угроз безопасности и конкретные функциональные требования к защитным механизмам определяются после классификации системы и актуализации модели угроз на основании методических документов ФСТЭК и ФСБ.
Необходимо подчеркнуть, что требований этих достаточно много, и они весьма жесткие. Так, для ИСПДн класса 2 они в основном (но не полностью) повторяют требования по предотвращению несанкционированного доступа для многопользовательских автоматизированных систем класса 1Г, а для ИСПДн класса 1 — для АС класса 1В. Выдвигаются и дополнительные требования, которых в руководящих документах ФСТЭК ранее не было, например по уровню защищенности межсетевых экранов, функциональности систем выявления вторжений, противодействия программно-математическим воздействиям и др.
Конкретные механизмы защиты и их функционал в рамках данной статьи рассмотреть не представляется возможным, отметим лишь, что обладатели информационных систем класса 1 и 2 должны будут впоследствии провести валидацию выполнения требований путем аттестации или сертификации ИСПДн, так что уклонение от реализации каких-либо из предъявляемых требований будет чревато проблемами при проведении аттестационных испытаний.
Важно понимать, что в силу изложенных причин защищать придется всю информационную систему предприятия или, в лучшем случае, сегменты, разграниченные сертифицированными межсетевыми экранами. Строить подсистему безопасности необходимо не с нуля, а интегрируя в существующую систему дополнительные средства защиты, что существенно усложняет задачу как проектирования, так и внедрения. Для функционирования защитных механизмов могут потребоваться дополнительные вычислительные мощности, более высокая пропускная способность сетевого оборудования и каналов передачи данных, мониторинг и обслуживание новых подсистем и средств.
В заключение хотелось бы еще раз подчеркнуть, что работа по обеспечению безопасности обработки персональных данных — длительная, затратная и сложная, требующая специальных знаний и навыков, материальных средств и подготовленных специалистов. В этих условиях неизбежно возрастает значение аутсорсинга информационной системы как при проектировании и вводе в эксплуатацию средств и систем защиты информации, так и на этапе ее сопровождения, в том числе с использованием современных средств, например центров управления безопасностью (SOC).
Автор: Михаил Емельянников
Опубликовано 15 октября 2008 года
Источник: cio-world.ru