Конспект лекций оглавление 1 информационное общество и его безопасность 6
 Скачать 4.94 Mb.
|
8.5. Государственные регуляторы и их нормативно-правовая документация в области защиты персональных данных8.5.1 Государственные органы исполнительной власти, осуществляющие надзор за соблюдением требований законодательства в области обработки персональных данных Контроль за соблюдением установленных требований является неотъемлемой частью всего общего процесса обработки персональных данных, и для должной реализации данной процедуры в законодательной базе Российской Федерации определены необходимые регламентирующие документы. В данных документах прописаны требования, которые являются обязательными для соблюдения операторами при осуществлении обработки персональных данных. Проверка реализации необходимых требований, в области защиты персональных данных, является одной из обязанностей государственных регулирующих органов, таких как: - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; - Федеральная служба по техническому и экспортному контролю; Федеральная служба безопасности Российской Федерации. Полномочия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Служба) определены Постановлением Правительства РФ от 16.03.2009 N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций". Согласно данному постановлению Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций с целью реализации полномочий в установленной сфере ведения имеет право: - запрашивать и получать в установленном порядке сведения, необходимые для принятия решений по вопросам, отнесенным к компетенции Службы; - проводить необходимые расследования, испытания, экспертизы, анализы и оценки, а также научные исследования по вопросам, отнесенным к компетенции Службы; - привлекать в установленном порядке для проработки вопросов, отнесенных к компетенции Службы, научные и иные организации, а также ученых и специалистов; - давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к компетенции Службы; - применять меры профилактического и пресекательного характера, направленные на недопущение нарушений юридическими лицами и гражданами обязательных требований в этой сфере и (или) ликвидацию последствий таких нарушений, в порядке и в случаях, которые установлены законодательством Российской Федерации; - создавать совещательные и экспертные органы (советы, комиссии, группы и коллегии), в том числе межведомственные, в установленной сфере ведения; - осуществлять контроль за деятельностью территориальных органов Службы, а также за деятельностью подведомственных организаций; - утверждать образцы служебных удостоверений; привлекать к формированию и ведению единого реестра оператора единого реестра - организацию, зарегистрированную на территории Российской Федерации, в порядке и в соответствии с критериями, которые определяются Правительством Российской Федерации. Федеральная служба по техническому и экспортному контролю (далее - ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности. Полномочия данной Службы приведены в указе Президента РФ от 16.08.2004 N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю". В соответствии с данным документом ФСТЭК России в целях реализации своих полномочий в сфере обработки персональных данных имеет право: - вносить в установленном порядке Президенту Российской Федерации, в Правительство Российской Федерации и Совет Безопасности Российской Федерации предложения по нормативно-правовому регулированию в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также в области экспортного контроля; - осуществлять контроль деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти (в Минобороны России, СВР России, ФСБ России, ФСО России и ГУСПе - по согласованию с руководителями указанных органов), в органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях, определять порядок, формы и методы осуществляемого в пределах своей компетенции контроля; - контролировать с применением технических средств эффективность защиты: объектов, на которых выполняются работы, связанные со сведениями, составляющими государственную и (или) служебную тайну; образцов вооружения и военной техники при их разработке, производстве и полигонных испытаниях (военных объектов, образцов вооружения и военной техники при испытаниях на полигонах Минобороны России - по согласованию с Минобороны России, а на полигонах, находящихся в иностранных государствах, - и по согласованию с СВР России); информации в ключевых системах информационной инфраструктуры, в информационных системах, в средствах и системах связи и управления, в том числе от специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней (в отношении технических средств и систем Минобороны России, СВР России, ФСБ России, ФСО России и ГУСПа, а также объектов и технических средств федеральных органов государственной власти, защита которых входит в их компетенцию, - по согласованию с руководителями указанных органов). - осуществлять радиоконтроль за соблюдением установленного порядка передачи служебной информации должностными лицами организаций, выполняющих работы, связанные со сведениями, составляющими государственную и\или служебную тайну, при использовании открытых каналов радио-, радиорелейных, тропосферных, спутниковых и других линий и сетей радиосвязи, доступных для радиоразведки; - осуществлять мониторинг безопасности информации в ключевых системах информационной инфраструктуры; - осуществлять контроль за организацией противодействия техническим разведкам и технической защиты информации при проведении мероприятий по мобилизационной подготовке и мобилизации в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях; - выдавать предписания на приостановление работ на объектах федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций в случае выявления в ходе осуществления контроля нарушений норм и требований, касающихся противодействия техническим разведкам и технической защиты информации; - запрашивать и получать от федеральных органов исполнительной власти, иных государственных органов, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, а также от организаций и должностных лиц необходимые для осуществления деятельности ФСТЭК России информацию, документы и материалы, в том числе добытые по специальным каналам; - приостанавливать или отменять действие выданных сертификатов; вносить в установленном порядке представления о применении мер ответственности за нарушения законодательства Российской Федерации по вопросам ее деятельности; - рассматривать в пределах своей компетенции дела об административных правонарушениях; - издавать в пределах своей компетенции нормативные правовые акты, методические документы и индивидуальные правовые акты; - отказывать при наличии соответствующих оснований в выдаче лицензий, осуществлять контроль за соблюдением соответствующих лицензионных требований и условий организациями, имеющими лицензии ФСТЭК России, при осуществлении ими лицензируемых видов деятельности, приостанавливать в установленном порядке действие выданных лицензий; - заслушивать на заседаниях коллегии ФСТЭК России должностных лиц, уполномоченных руководителями федеральных органов исполнительной власти, по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также должностных лиц, ответственных за организацию противодействия техническим разведкам и технической защиты информации в органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях. Федеральная служба безопасности Российской Федерации (далее - ФСБ России) является федеральным органом исполнительной власти, в пределах своих полномочий осуществляющим государственное управление в области обеспечения безопасности Российской Федерации, борьбы с терроризмом, защиты и охраны государственной границы Российской Федерации, охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа Российской Федерации и их природных ресурсов, обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление. Основными задачами ФСБ России являются: - координация осуществляемых федеральными органами исполнительной власти контрразведывательных мероприятий и мер по обеспечению собственной безопасности, включая защиту персональных данных; - организация выявления, предупреждения, пресечения и раскрытия преступлений, включая нарушения законодательства в сфере информационной безопасности и защиты персональных данных, осуществление досудебного производства по которым отнесено к ведению органов безопасности; - обеспечение производства по делам об административных правонарушениях, рассмотрение которых отнесено Кодексом Российской Федерации об административных правонарушениях к ведению органов безопасности; - формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности. 8.5.2 Нормативно-правовая документация государственных органов исполнительной власти, осуществляющих надзор за соблюдением требований законодательства в области обработки персональных данных Нормативно-правовая база в Российской Федерации является основным источником, регламентирующим вопросы порядка обработки персональных данных. В данной области можно выделить следующий перечень документов: - Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" - Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" - Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" - Постановление Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" - Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" - Постановление Правительства Российской Федерации от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" - "Трудовой Кодекс Российской Федерации" (ТК РФ) от 30.12.2001 N 197 ФЗ статья - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год - Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год - Приказ ФСТЭК России от 31 августа 2010 г. N 489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования» - «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ РФ 21.02.2008 N 149/54-144) - «Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли» (утв. ФСБ России от 10.08.2010 г. № 149/7/2/6-1203) - «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСБ РФ 21.02.2008 N 149/6/6-622) Каждый из данных документов позволяет операторам наиболее правильно реализовать меры по организации работ с персональными данными. В зависимости от того, является ли организация, осуществляющая работу с информацией конфиденциального характера, в том числе и персональными данными, государственной или негосударственной, меры соблюдаемые при организации процесса работы с персональными данными, будут различаться. Органы государственной власти при осуществлении своей деятельности должны руководствоваться приказом ФСТЭК России от 11.02.2013 N 17. Негосударственные организации - приказом ФСТЭК России от 18.02.2013 N 21. В этих документах рассмотрены меры по обеспечению безопасности 68 персональных данных, которые должны приниматься для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения такой информации, а также от иных неправомерных действий в отношении персональных данных. Существующие меры, направленные на предотвращение актуальных угроз должны быть реализованы в соответствии с требованиями к защите персональных данных при их обработке в информационных системах, которые утверждены постановлением Правительства Российской Федерации от 01.11.2012г. N 1119. В данном постановлении также определены уровни защищенности персональных данных. Также основной перечень мер, направленных на обеспечение выполнение обязанностей, для государственных организаций, предусмотренный Федеральным законом от 27.07.2006 N 152-ФЗ, указан в постановлении Правительства РФ от 21.03.2012 N 211. В случае, если обработка информации должна происходить без использования средств автоматизации и осуществляется при непосредственном участии человека, Оператор должен руководствоваться положениями, указанными в постановлении Правительства Российской федерации от 15.09.2008 г. N 687. В данном документе указаны особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации, в частности: - правила фиксации персональных данных на материальных носителях; правила ознакомления лиц, осуществляющих обработку персональных данных без использования средств автоматизации, с их обязанностями; - условия, которые должны быть соблюдены, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных; - условия, которые должны быть соблюдены, при ведении журналов, содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор; - меры по обеспечению раздельной обработки персональных данных, которые должны быть приняты при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных отдельно от других зафиксированных на том же носителе персональных данных; - порядок уничтожения, обезличивания персональных данных, обрабатываемых без использования средств автоматизации; - порядок уточнения персональных данных, обрабатываемых без использования средств автоматизации; - меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации. Чтобы снизить уровень защищенности информационной системы персональных данных, а соответственно упростить требования, предъявляемые к организации системы защиты обработки, Оператор может провести процедуру по обезличиванию такой информации. Данная необходимость может появиться в случае достижения целей обработки персональных данных или в случае утраты необходимости в достижении этих целей. Также обезличивание персональных данных происходит при необходимости обработки такой информации в статистических или иных исследовательских целях. Согласно Федеральному закону от 27.07.2006 N 152-ФЗ, обезличивание персональных данных – это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Для проведения данной процедуры Оператор, осуществляющий обработку информации ограниченного доступа, в том числе персональных данных, должен руководствоваться положениями приказа Роскомнадзора от 05.09.2013 N 996, где рассмотрены следующие требования и методы по обезличиванию персональных данных: - свойства обезличенных данных; характеристика методов обезличивания персональных данных; требования к методам обезличивания; требования к свойствам получаемых обезличенных данных; требования к свойствам методов обезличивания; метод введения идентификаторов; метод изменения состава или семантики; метод декомпозиции; метод перемешивания. После проведения процедуры обезличивания персональных данных появляется возможность их использования для целей организации без запроса согласия субъекта на обработку такой информации. При проектировании системы защиты информации Оператор должен иметь представления о возможных угрозах безопасности персональных данных при процессе их обработки в информационных системах. Для этих целей был разработан документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год». В нем содержится систематизированный перечень угроз, которые обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или 70 организаций, а также криминальных группировок, создающих условия для нарушения безопасности персональных данных, которое ведет к ущербу жизненно важных интересов личности, общества и государства. В частности, в данном документе рассмотрены: классификация угроз безопасности персональных данных; угрозы утечки информации по техническим каналам: угрозы утечки акустической (речевой) информации; угрозы утечки видовой информации; угрозы утечки информации по каналам побочных электромагнитных излучений и наводок. угрозы несанкционированного доступа к информации в информационной системе персональных данных: - общая характеристика источников угроз несанкционированного доступа в информационной системе персональных данных; - общая характеристика уязвимостей информационной системы персональных данных: a. общая характеристика уязвимостей системного программного обеспечения; b. общая характеристика уязвимостей прикладного программного обеспечения; общая характеристика угроз непосредственного доступа в операционную среду информационной системы персональных данных; - общая характеристика угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия; - общая характеристика угроз программно-математических воздействий; - общая характеристика нетрадиционных информационных каналов; - общая характеристика результатов несанкционированного или случайного доступа. - типовые модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных (типовая модель угроз безопасности персональных данных, обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена; типовая модель угроз безопасности персональных данных, обрабатываемых в автоматизированных рабочих местах, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена; типовая модель угроз безопасности персональных данных, обрабатываемых в локальных информационных системах персональных данных, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена; типовая модель угроз безопасности персональных данных обрабатываемых в локальных информационных системах персональных данных, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена; типовая модель угроз безопасности персональных данных, обрабатываемых в распределенных информационных системах персональных данных, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена; типовая модель угроз безопасности персональных данных, обрабатываемых в распределенных информационных системах персональных данных, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена). Применение модели угроз позволяет решить следующие задачи: - разработка частных моделей угроз безопасности персональных данных в конкретных информационных систем персональных данных с учетом их назначения, условий и особенностей функционирования; - анализ защищенности информационной системы персональных данных от угроз безопасности персональных данных в ходе организации и выполнения работ по обеспечению безопасности такой информации; - разработка системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты такой информации, предусмотренных для соответствующего класса информационной системы персональных данных; - проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональных данных и (или) передачи их лицам, не имеющим права доступа к такой информации; - недопущение воздействия на технические средства информационной системы персональных данных, в результате которого может быть нарушено их функционирование; - контроль обеспечения уровня защищенности персональных данных. Также при построении модели угроз Оператор должен руководствоваться «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.» ФСТЭК России, 2008 год. В данном документе определен порядок выявления актуальных угроз безопасности персональных данных в информационных системах персональных данных. |