Обеспечение безопасности ПДн в кредитно-финансовых организациях

К персональным данным для сегмента автоматизированной банковской системы, связанного с ведением кредитной истории клиента, перечень обрабатываемых ПДн можно определить на основании Федерального закона от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях». В соответствии с данным Законом необходимо иметь следующие сведения о заемщике:

· фамилия, имя, отчество;

· дата и место рождения;

· данные паспорта или иного документа, удостоверяющего личность (номер, дата и место выдачи, наименование выдавшего его органа);

· ИНН;

· страховой номер индивидуального лицевого счета;

· место регистрации и фактическое место жительства;

· сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя.

Если учесть, что количество клиентов, кредитование которых осуществляет среднестатистический Банк, составляет не менее 80 000 человек, то такая совокупность параметров позволяет сделать вывод о том, что АБС относится к ИСПДн 2-го класса. А так как эти данные требуют обеспечения не только конфиденциальности, но и доступности и целостности, то мы относим АБС к специальной ИСПДн 2-го класса. По режиму обработки персональных данных рассматриваемая ИСПДн относится к многопользовательской, а по разграничению прав доступа – к системе с разными правами доступа к ПДн. Это требует проведения определенных мероприятий по обеспечению безопасности.

В подсистеме управления доступом должны осуществляться следующие мероприятия:

· идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов;

· межсетевое экранирование – не ниже третьего уровня защищенности (при наличии подключения к сетям общего пользования в распределенной ИСПДн МЭ должен выполнять функции, как и с ИСПДн 1 класса с многопользовательским режимом и равными правами доступа пользователей);

· идентификация терминалов, компьютеров, узлов сети ИСПДн, каналов связи, внешних устройств компьютеров по логическим именам;

· идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

· контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

В подсистеме регистрации и учета должны осуществляться следующие мероприятия:

· регистрация входа (выхода) субъектов доступа в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее корректного выключения;

· учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

· учет защищаемых носителей в журнале (картотеке) с регистрацией их выдачи (приема);

· регистрация выдачи печатных (графических) документов на «твердую» копию;

· регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;

· регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

· регистрация попыток доступа программных средств к следующим объектам доступа: терминалам, компьютерам, узлам сети ИСПДн, линиям (каналам) связи, внешним устройствам компьютеров, программам, томам, каталогам, файлам, записям, полям записей;

· учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

· очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютеров и внешних накопителей.

В подсистеме обеспечения целостности должны проводиться следующие мероприятия:

· резервное копирование ПДн на отчуждаемые носители информации;

· обеспечение целостности средств защиты от программно-математических воздействий.

В подсистеме антивирусной защиты должны проводиться следующие мероприятия:

· на всех технических средствах ИСПДн должен проводиться непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена в ИСПДн с целью выявления проявлений программно-математических воздействий.

В подсистеме защиты от утечки данных в ИСПДн по техническим каналам для ИСПДн 2-го класса использовались СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

Контроль и надзор за выполнением требований законодательства

В соответствии со статьей 23 Федерального Закона «О персональных данных» для обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона назначается Уполномоченный орган по защите прав субъектов персональных данных (далее, регулятор). Такие функции возложены на три организации:

· на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в части, касающейся соблюдения норм и требований по обработке персональных данных;

· на Федеральную службу безопасности РФ в части, касающейся соблюдения требований по организации и обеспечению функционирования шифровальных (криптографических) средств в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн;

· на Федеральную службу по техническому и экспортному контролю в части, касающейся контроля и выполнения требований по организации и техническому обеспечению безопасности ПДн (не криптографическими методами) при их обработке в ИСПДн.

В рамках своих полномочий регуляторы имеют право проводить плановые и внеплановые проверки.

Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных в уведомлении уполномоченного органа по защите ПДн, а также внеплановые – на основании заявления физических лиц с целью проверки информации, указанной в данном заявлении.
ФСБ России имеет право проводить плановые проверки:

· представление по запросу отчета по лицензируемым видам деятельности;

· представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы, в составе которых эксплуатируются системы криптографической защиты информации (СКЗИ);

· явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности.

ФСТЭК РФ уполномочен осуществлять плановые проверки:

· представление по запросу отчета по лицензируемым видам деятельности;

· представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы;

· представление копий аттестатов соответствия на защищаемые помещения по требованиям безопасности;

· явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности.

В рамках межведомственного сотрудничества между Роскомнадзором, ФСТЭК России и ФСБ РФ достигнута договоренность о проведении совместных мероприятий по контролю и надзору в области персональных данных.

Роскомнадзор

Роскомнадзор рассматривает обращения субъекта ПДн о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Он имеет право:

· запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

· осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

· требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

· принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

· обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

· направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

· направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

· вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

· привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

Итоги Роскомнадзора за 2008 год

В рамках выполнения функций по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий.

По результатам проверок выписано 19 предписаний об устранении выявленных нарушений Федерального закона «О персональных данных», 5 материалов направлено в органы прокуратуры, 11 – в судебные органы.

Выявленные нарушения классифицированы по следующим статьям Кодекса Российской Федерации об административных правонарушениях:

• ст. 13.11. – нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
• ст. 19.7. – непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде.

С начала возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных поступило 146 обращений: из них даны ответы заявителям – 60, направлены в правоохранительные органы – 5, органы прокуратуры – 24, в судебные органы – 22, на момент выхода данной статьи находилось на рассмотрении – 35.

В результате взаимодействия с правоохранительными органами приостановлена деятельность интернет-ресурсов www.nomer.org.ru и www.vslomaj.com, предоставляющих услуги доступа к персональным данным граждан Российской Федерации.

В 2008 году прошли первые судебные процессы по искам в области защиты прав субъектов персональных данных. Судебными инстанциями из 22 административных дел семь рассмотрены в пользу субъектов персональных данных, в шести случаях вынесены решения об отказе в исковых требованиях, девять административных дел на конец года находились в судебном производстве.

Чаще всего субъекты персональных данных обращаются по фактам нарушений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:

• главы 2 статьи 5 «Принципы обработки персональных данных»;
• статьи 6 «Условия обработки персональных данных»;
• статьи 9 «Согласие субъекта персональных данных на обработку своих персональных данных».

Изложенные в обращениях факты нарушения федерального законодательства в ходе рассмотрения подтвердились в большинстве случаев.

Анализ категорий операторов, осуществляющих обработку персональных данных, на действия которых чаще всего поступают обращения от субъектов персональных данных, позволяет утверждать, что «лидерами» являются:

• кредитные учреждения – 34;
• жилищнокоммунальные организации – 21;
• операторы связи – 10;
• страховые компании – 9.

Для решения поставленных задач Уполномоченным органом по защите прав субъектов персональных данных 28 декабря 2007 года был создан координационный центр на федеральном уровне – Управление по защите прав субъектов персональных данных и территориальные органы в субъектах Российской Федерации – соответствующие структурные подразделения в 78 территориальных органах.

Выводы

Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах.

Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах.

Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, компании-интеграторы способны реализовать требования законодательства в конкретных решениях.

Защита персональных данных является сегодня приоритетным направлением деятельности Центра информационной безопасности компании «Инфосистемы Джет». Специалисты нашей компании рассматривают эту задачу не только как выполнение требований российского и международного законодательства, но и как возможность создать полноценную систему обеспечения безопасности.

Накопив значительный опыт в проведении проектов по обеспечению информационной безопасности, специалисты компании «Инфосистемы Джет» разработали свой подход к реализации задачи защиты персональных данных. Он базируется на государственных стандартах (ГОСТ 34.201-89, ГОСТ 34.601-90), нормативных актах и документах регулирующих органов, а также на экспертном опыте наших специалистов.

При этом главными принципами при проведении проектов по реализации требований российского законодательства в области защиты персональных данных наша компания считает:

· Минимизацию затрат на создание СЗПДн. Компания «Инфосистемы Джет» одной из основных задач в проектах по приведению ИСПДн в соответствие с нормативной базой видит минимизацию расходов заказчиков. Это становится возможным, в первую очередь, за счет оптимизации процессов обработки и хранения персональных данных, из которых исключаются избыточные звенья и ненужные процедуры, сокращения неоправданно большого объема ПДн, рассмотрения возможности их обезличивания, замены персональных данных на условные обозначения или коды, исключения избыточных ИСПДн и сужения круга лиц, вовлеченных в процесс обработки ПДн, а также внедрения альтернативных механизмов защиты.

· Защиту персональных данных как важнейшего элемента общей системы информационной безопасности организации. Компания «Инфосистемы Джет» делает акцент не только на удовлетворении нормативных требований, но и на повышении фактической защищенности персональных данных, защите не только средств обработки ПДн, но и самих персональных данных. Здесь речь идет об информации, которая выходит за рамки ИСПДн и попадает в руки сотрудников, имеющих легальный доступ к персональным данным. По статистике более 80% утечек происходит по вине этих сотрудников (как умышленно, так и по неосторожности). Специалисты компании «Инфосистемы Джет» видят решение этой задачи в построении правильного процесса обработки персональных данных всеми вовлеченными в него сотрудниками, использовании дополнительных механизмов защиты, что в свою очередь повышает общий уровень информационной безопасности компании.

Необходимость учета отраслевой специфики при проведении проектов. Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. При этом наши специалисты стараются избежать типового подхода как к этапности проведения работ, так и к подбору средств защиты. Это позволяет находить такие решения, которые могли бы одновременно закрывать требования и Закона, и отраслевых стандартов, учитывать при разработке решений по защите персональных данных специфику деятельности организации и ведения ее бизнес-процессов.