Справочно-информационная система по защите персональных данных |
Актуальность проблемы защиты информации.
Защита персональных данных – это требование бизнеса.
Защита персональных данных – это требование законодательства.
Основные определения и критерии классификации угроз.
Классификация источников угроз.
Антропогенные источники угроз.
Классификация уязвимостей безопасности.
Классификация актуальных угроз.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и / или осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Персональные данные(ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Специальные категории персональных данных – персональные данные, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.
Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту. Именно поэтому персональные данные нуждаются в самой серьезной защите.
С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.
Организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации.
Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области ПДн основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.
Одним из основных толчков к принятию закона о персональных данных послужил тот факт, что в 1981 году Совет Европы принял Конвенцию «О защите личности в связи с автоматической обработкой персональных данных». После этого, вышла Директива 95/46/ЕС Евросоюза.
Согласно этой директиве персональные данные могут передаваться только в страны, обеспечивающие такой же уровень защиты, как и в Европе. Это существенно тормозило обмен сведениями европейских госучреждений и компаний со своими зарубежными партнерами, делая невозможными многие коммерчески перспективные проекты. Такие ограничения испытывали на себе не только Россия и страны третьего мира, но и такой экономический монстр, как США. Правительство РФ решило преодолеть этот барьер.
25 ноября 2005 г. Государственная Дума ратифицировала данную Конвенцию (ФЗ от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»), возложив на Российскую Федерацию обязательства по приведению своего внутреннего законодательства в соответствие с нормами Конвенции Совета Европы.
Первым шагом в реализации взятых обязательств стало принятие Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных». Закон вступил в силу в январе 2007 года.
Закон № 152-ФЗ определил высокоуровневые требования, которые затем были конкретизированы в подзаконных актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
Законодательством регулируются отношения, связанные с обработкой ПДн, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
что же нового появляется в области управления документами и информацией в организации?
• Во всех организациях возникает новый, достаточно объемный пласт документации. Это документы, связанные с получением согласия физических лиц на обработку их персональных данных, с регистрацией баз данных в уполномоченном органе, с документированием всех операций с персональными данными и т.д.
• Возникает необходимость выделения содержащих персональные данные документов и информации; их особой маркировки как на бумажных, так и на электронных носителях; ведения отдельного учета и отслеживания доступа к ним. Можно говорить о появлении еще одного вида грифа доступа к документам.
• Принципиально изменяется подход к установлению сроков хранения документов и информации. Впервые в отечественной практике устанавливается максимальный срок хранения, причем срок условный, который достаточно непросто будет соблюдать и отслеживать.
• При работе с персональными данными необходимо заранее четко продумать и зафиксировать в нормативных документах все, что связано с их обработкой. В противном случае организация может быть привлечена к ответственности, и, что еще более неприятно, возможны многочисленные судебные иски от самих субъектов персональных данных3.
• Законом вводятся весьма жесткие сроки исполнения всех обращений граждан, связанных с обработкой персональных данных.
Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность.
Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.
Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Действие, произведенное источником угрозы, может привести к отрицательным последствиям.
Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.
Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние источники. Все источники угроз безопасности информации можно разделить на три основные группы:
Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.
Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств. К ним относятся:
Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания.
Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними:
и внутренними:
Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.
Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы:
Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации. Уязвимости присущи объекту информатизации, неотделимы от него.
Уязвимости безопасности информации могут быть:
Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним можно отнести:
Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами:
Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств:
При определении актуальных угроз, экспертно-аналитическим методом определяются объекты защиты, подверженные воздействию той или иной угрозы, характерные источники этих угроз и уязвимости, способствующие реализации угроз.
На основании анализа составляется матрица взаимосвязи источников угроз и уязвимостей из которой определяются возможные последствия реализации угроз (атаки) и вычисляется коэффициент опасности этих атак как произведение коэффициентов опасности соответствующих угроз и источников угроз, определенных ранее. При этом предполагается, что атаки, имеющие коэффициент опасности менее 0,1 (предположение экспертов), в дальнейшем могут не рассматриваться из-за малой вероятности их совершения на рассматриваемом объекте.
Такая матрица составляется отдельно для каждой угрозы.
В результате действия угрозы возникают некоторые отрицательные последствия.
Последствия различны от действий различных источников угроз.
В соответствии с пунктом 3 статьи 19 Федерального закона «О персональных данных» контроль и надзор за выполнением требований федерального законодательства о защите ПДн осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с ПДн, обрабатываемыми в информационных системах персональных данных.
Федеральными органами, регулирующими деятельность в сфере обработки персональных данных (регуляторы), являются:
Эти три ведомства имеют право проводить проверки операторов ПДн по вопросам, связанным с соблюдением законодательства о защите ПДн. В Таблица 1 приведены основные нормативные правовые акты регуляторов в сфере защиты ПДн.
Таблица 1 Основные нормативные правовые акты регуляторов в сфере защиты ПДн.
№ п/п |
Нормативные правовые акты |
1 |
Приказ ФСТЭК, ФСБ, Мининформсвязи от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» |
2 |
Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.03.2008 № 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных» |
3 |
Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций от 17.07.2008 № 08 «Об утверждении образца формы уведомления об обработке персональных данных»4 |
4 |
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15.02.2008 г.5 |
5 |
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14.02.2008 г.6 |
6 |
«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21.02.2008 №149/5-144 " |
7 |
«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21.02.2008 №149/6/6-622.10 |
8 |
Приказ Мининформсвязи от 01.12.2009 № 630 «Об утверждении административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных» |
9 |
Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» |
Вопросы защиты персональных данных рассмотрены в следующих основных законодательных актах:
Приведем основные части закона «О персональных данных», применительно к медицинским учреждениям. Будут даны ссылки на статьи этого закона с комментариями.
1 статья определяет сферу действия закона «О персональных данных». Ст. 1. ч 2. говорит об исключениях. Ст. 1 ч.2 п.2 определяет, что закон «О персональных данных» не распространяется на документы, которые передаются в архив и обрабатываются в соответствии с законодательством об архивном деле РФ.
5 статья определяет принципы обработки персональных данных. Эти принципы прописаны в качестве основных требований, предъявляемых к персональным данным Конвенцией Советы Европы «О защите личности в связи с автоматической обработкой персональных данных».
6 статья определяет условия обработки персональных данных. Важным положением в этой статье является то, что одним из условий возможности обработки персональных данным является получение согласия субъекта на обработку ПДн. В медицинских учреждениях возможны и другие случаи обработки ПДн без получения согласия. Эти случаи описаны в Ст. 10 ч. 2. Так же в ст. 6 сказано, что обработка персональных данных допустима для оказания медицинской помощи пациенту в случае, если пациент поступил к врачу в таком состоянии, что не может дать свое согласие на обработку ПДн.
9 статья говорит о том, что представляет из себя согласие на обработку ПДн. Субъект персональных данных вправе отозвать свое согласие. В этом случае можно продолжать обработку ПДн в медицинских учреждениях и без согласия субъекта в тех случаях, которые описаны в Ст. 10 ч. 2. Ст. 9 ч. 4 определяет, что именно должно содержаться в письменном согласии субъекта на обработку ПДн. Обращаем внимание на то, что обязательно должен указываться максимальный срок хранения ПДн. Логично увязать этот срок со сроком хранения первичных медицинских документов (медкарты).
10 статья определяет условия обработки специальных категорий ПДн, в число которых входят сведения о состоянии здоровья и интимной жизни пациентов. Обработка таких категорий ПДн не допускается, но в Ст. 10. ч. 2 приведены исключения. Согласно этим исключения специальные категории ПДн можно обрабатывать в следующих случаях:
Статья 11 говорит об условиях обработки биометрических персональных данных. Обработка возможно только при наличии письменного согласия субъекта на обработку его ПДн. Во 2 части этой статьи приведены исключения, но эти исключения мало подходят для медицинских учреждений.
Статья 12 определяет трансграничную передачу персональных данных. Если в больницу обращаются за медицинской помощью иностранцы и встает вопрос передачи их ПДн за границу, то необходимо руководствоваться этой статьей.
Статья 14 дает субъектам ПДн право на доступ к своим ПДн. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Статья 17 дает субъектам право на обжалований действия или бездействий оператора, если субъект подозревает, что его ПДн обрабатываются с нарушением закона.
Статья 18 говорит об обязанностях оператора при сборе ПДн. В Ст. 18. ч. 2 сказано, что если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. При этом можно сослаться на закон «Об обязательном медицинском страховании», согласно которому сбор ПДн с пациентов является обязательным. Обращаем внимание на то, что согласно Ст. 18.1 ч. 2 в медицинском учреждении должен быть документ, определяющий политику учреждения в области защиты персональных данных и к этому документу должен быть предоставлен доступ как сотрудников, так и пациентов.
Статья 19 определяет меры, необходимы для защиты ПДн.
Статья 20 определяет то, каким образом и в какой срок необходимо реагировать на обращения граждан. Необходимо сообщить субъекту персональных данных информацию о наличии его ПДн при обращении субъекта персональных данных либо в течение тридцати дней с даты получения запроса субъекта персональных данных. При отказе в выполнении такого запроса необходим письменный мотивированный ответ. Причем такая информация предоставляется безвозмездно.
21 статья накладывает на оператора обязанности по устранению нарушений законодательства и по уточнению ПДн. Если обнаружены нарушения, неточности, то следует заблокировать ПДн до устранения этих неточностей.
Статья 22.1 говорит о том, что в организациях должно быть назначено лицо, ответственно за организацию обработки ПДн.
24 статья говорит об ответственности, которая наступает при нарушении данного законодательства.