Конституция РФ закрепила демократический путь развития нашего государства, главная ценность которого – человек и защита его прав. Но и сегодня нерешенными остаются некоторые вопросы, в том числе обеспечение права граждан на частную жизнь и проблемы защиты личной информации.
В 2006 году был подписан ФЗ РФ № 152 «О персональных данных», по ужесточенным требованиям которого модернизированы базы данных, предназначенные для накопления, сохранения или выдачи персональных данных. Детально требования по защите персональных данных прописаны в:
- Положении о безопасности информационных систем личных данных, утвержденном Постановлением Правительства России № 781 в 2007 году.
- Совместном приказе ФСБ, Мининформсвязи, ФСТЭК № 55/86/20 2008 года.
- Внутренних инструкциях ФСБ и ФСТЭК.
Указанные требования по защите персональных данных распространяются на все компании, учреждения и организации и направлены на предупреждение утечек конфиденциальной информации.
Проблемы защиты личной информации
Существует перечень распространенных проблем защиты персональных данных, обусловленных организационными и техническими аспектами.
По Указу Президента России № 188, утвердившему перечень закрытых данных, подлежащих правовой защите, к таким относят персональные данные. Поэтому для их защиты требуется наличие лицензии ФСТЭК на организацию безопасности конфиденциальных данных. Аналогичные требования предъявляет ФСТЭК РФ к операторам информационных баз данных 1, 2 и 3 класса. Они распространяются на большинство коммерческих и государственных учреждений. Для применения средств криптографической защиты обрабатываемых конфиденциальных данных нужна лицензия ФСБ.
Для получения таких лицензий сотрудники организации должны обладать соответствующей квалификацией и опытом работы. Также потребуется специализированное оборудование и помещение, что сложно обеспечить в небольших компаниях.
Еще одной распространенной проблемой являются жесткие императивные требования к системам по защите персональных данных. Защита информационных систем персональных данных 1 класса приравнена к защите сведений, содержащих государственную или коммерческую тайну. Обязательное требование – защита конфиденциальных баз данных от утечек из-за электромагнитных импульсов вычислительной техники и средств связи.
Под защиту 1 класса попадают базы персональных данных, а также базы, содержащие и обрабатывающие одновременно большое количество сведений. Такие базы данных встречаются в большинстве корпораций (частных и муниципальных). А нормативы ФСТЭК, регламентирующие порядок обработки персональных данных, обозначены грифом «Для служебного использования». Получить указанные акты могут операторы персональных данных и организации, обеспечивающие защиту персональных данных по лицензии ФСТЭК.
Одна из проблем защиты конфиденциальных сведений, которыми являются персональные данные, – это отсутствие сертифицированных компьютерных программ. Предлагаемые программы не соответствуют требованиям, предъявляемым к 1 и 2 уровням защиты персональных данных. К примеру, сертифицированные программы по защите и управлению базами данных (открытый код MySQL) не представлены на российском рынке, а лицензионная ОС Microsoft Windows применима только для защиты информационных баз данных до 2 уровня. Нерешенной проблемой остается защита баз данных при использовании 64-разрядных ОС и операционных систем Unix и Linux.
Предлагаемые лицензионные защиты персональных данных не соответствуют требованиям нормативных актов или неприменимы в условиях хранения и обработки больших объемов данных, поскольку не отвечают техническим требованиям. Так, для работы программы безопасности баз данных Secret Net необходимы аппаратные компоненты, установить которые через blade-сервер невозможно.
А программы, используемые при работе с персональными данными, проверяются перед установкой на наличие недекларированных возможностей. Для проведения указанной проверки предоставляются исходные коды программ, на что согласны далеко не все компании-производители программ для ПК, особенно иностранные.
До начала работы с информационными базами персональных данных подтверждают, соответствует ли защита требованиям, предъявляемым к 1, 2 и 3 классу. Для этого проводится аттестация системы обработки данных. Если раньше подобная процедура проводилась только в государственных учреждениях, то сегодня проверка уровня защиты персональных данных обязательна для всех организаций. По результатам оформляется аттестат, который действует в течение трех лет. А для внесения корректировок (в том числе установки новых программ, перестановки компьютера из одного кабинета в другой) требуется согласование с органом, проводившим проверку безопасности базы данных.
Еще одной проблемой является недостаточное количество российских компаний, специализирующихся на предоставлении услуг по технической защите конфиденциальных данных, получивших лицензию, не способных удовлетворить увеличивающийся с каждым годом спрос на техническую защиту персональных данных. А порядок лицензирования неприменим к большому количеству желающих получить аттестат на работу с персональными данными.
Организационно-технические решения
Организации, специализирующиеся на обработке и хранении персональных данных, используют автоматизированные базы данных. Это компьютерные базы данных, связь с которыми происходит по техническим каналам. Вот почему вопросы защиты персональных данных, информационных процессов, а также действия государственных норм регулирования отношений между сотрудником и работодателем остаются актуальными. Решение данной задачи не бывает сегментарным. Требуется комплекс мероприятий, направленных на защиту (техническую и правовую) персональных данных сотрудников и клиентов организации.
Несмотря на проблемы, данная задача решаема. Возможны два варианта защиты обрабатываемых и передаваемых персональных данных, учитывающих требования законодательства и имеющийся у компании бюджет.
Сократить расходы на защиту конфиденциальных баз данных позволит грамотная подготовка и организация всей информационной системы. В корпорации целесообразно разделить базы данных на территориальные, что позволит сократить объем обрабатываемых в каждой базе персональных данных. В результате этого снизится их класс безопасности. А применение зашифрованных идентификаторов обезличит передаваемые персональные данные.
Сокращает расходы методика терминального доступа, используемая в программах обработки персональных данных. При использовании данной технологии информация обрабатывается на сервере, а через рабочие станции выводятся и отображаются данные.
Применение данной технологии позволяет понизить класс безопасности рабочих станций до третьего и снизить затраты на защиту и аттестацию системы обработки данных. Используя данную методику, компания экономит на приобретении сложной вычислительной техники и управлении информационными базами данных, благодаря децентрализации информационной базы и уменьшению требований к техническим характеристикам пользовательских компьютеров.
Внедрение новых программ обработки персональных данных с использованием программ с встроенной лицензионной защитой, прошедших аттестацию по требованиям безопасной передачи данных и проверку на наличие недекларированных возможностей, снижает расходы на приобретение в будущем дополнительного ПО и оплату обучения сотрудников компании. Также при согласовании с ФСТЭК допускается применение программ, не прошедших проверку на недекларированные возможности.
Дополнительно обозначают сотрудников, отвечающих за безопасность персональных данных. В корпорациях более экономным будет создание собственного отдела информационной безопасности, получение необходимых аттестатов и лицензий, самостоятельная защита баз данных.
Далее уточняют, какие персональные данные требуются компании. Чем выше степень обработки данных сотрудников и клиентов, тем сложнее процесс их защиты. Более усиленный вариант защиты предусмотрен для данных, касающихся здоровья и личной жизни сотрудников или клиентов, – политических и религиозных взглядов, национальности, родственных отношений, а вот данные, необходимые для идентификации лица, в такой охране не нуждаются.
Персонал компании, обеспечивающий безопасность персональным данным сотрудников и клиентов, отбирает данные, которые не требуются для работы компании, исключая их из объема собираемой и обрабатываемой информации.
В завершение сотрудники службы безопасности баз данных подготавливают в форме таблицы списки работников, получивших доступ к сбору, обработке и хранению конфиденциальных данных о служащих и клиентах. Предупреждает утечку закрытых данных при увольнении работник, проверяя, что данные о нем заблокированы или удалены.
А для небольших компаний экономически выгодное решение – подписание соглашения с организацией, которая подготовит и внедрит программу безопасности баз данных с последующим аутсорсингом (передачей компании-заказчику) функционирующей системы по защите персональных данных сотрудников и клиентов. Данное соглашение позволит снизить затраты на обучение и выплату зарплаты штатным работникам, а также минимизирует риски утечки конфиденциальной информации.
Перед заключением данного соглашения составляется список требований к внедряемой системе защиты информации. При этом учитывают, что все системы защиты конфиденциальных данных имеют специальное назначение. Они призваны предупредить утечку защищаемых данных и обеспечить их сохранность и доступность. Требования к системам защиты баз данных варьируются в зависимости от выявленной модели угроз.
Индивидуальная разработка программ информационной безопасности потребует от разработчика высокой квалификации и повышенной ответственности за функционирование и значимость представленной модели. В то же время такие системы защиты персональных данных нацелены исключительно на выявленную модель угроз и уступают по функциональности типовым системам информационной безопасности.
Данное направление постоянно развивается, поскольку государственное регулирование в сфере технических требований к обеспечению информационной безопасности также меняется. До появления сети Интернет основную угрозу представляли модели зарубежных технических разведок, поэтому система защиты от них была четко прописана в нормативных актах. На основании существующих норм строится и защита личной информации сотрудников компании с учетом специфики ее работы.
Решение проблем, возникающих в сфере обеспечения информационной безопасности, возможно при взаимодействии сотрудников, собирающих и обрабатывающих персональные данные, разработчиков компьютерных программ и систем защиты информации и государственных структур.