Существующая в современном мире концепция защиты информационных прав человека нашла свое отражение в национальном законодательстве об охране персональных данных. Разработаны многочисленные стандарты и нормы, обеспечивающие их надлежащую защиту, но каждая компания, системно работающая с большими массивами информации, обязана создать собственную информационную систему защиты. Это позволит избежать утечек информации, репутационных потерь, исков клиентов и штрафов от контролирующих органов.

Существующие угрозы

Система защиты персональных данных призвана обеспечить охрану находящейся в распоряжении организации информации, относящейся к конкретным физическим лицам. Это не только анкетные данные, но и сведения о здоровье, финансовом состоянии. Эти данные представляют собой информационный актив, на который могут осуществляться покушения со стороны разнообразных субъектов. Среди основных угроз безопасности:

• конкуренты конкретной компании, желающие нанести ей ущерб;
• международные кибертеррористические организации, заинтересованные в утечках персональных данных в целях обеспечения собственного пиара;
• инсайдеры, сотрудники компании, руководствующиеся своими целями или действующие по чужим поручениям.

В большинстве случаев утечки носят внутренний характер, наиболее частым риском становится предоставление сотрудником персональных данных других лиц своему знакомому по его запросу вне профессиональных отношений. Как показывает судебная практика, иногда утечка персональных данных одного человека может причинить больший репутационный и финансовый вред, чем случайная, вызванная несовершенством программного обеспечения и каналов коммуникаций утрата большого массива данных. Все это приводит к необходимости разработки собственной информационной системы защиты персональных данных.

Что такое система защиты персональных данных

Базовые требования к таким системам устанавливаются Постановлением Правительства РФ № 1119. Оно устанавливает параметры самих систем и определяет необходимые средства и методы обеспечения безопасности персональных сведений, размещенных в информационных базах данных. После изучения этого постановления становится понятно, что системы защиты персональных данных (СЗПД) характеризуются следующими параметрами:

• представляют собой комплекс мер и мероприятий, носящих как организационный, так и технический характер;
• эта совокупность призвана предотвратить нелегитимный доступ к персональным данным;
• система должна быть разработана с учетом актуальности текущих угроз;
• она разрабатывается операторами персональных данных с учетом уровня их задач и степени ответственности.

В законе под оператором персональных данных понимается юридическое лицо или предприниматель, которые в ходе решения своих уставных задач получают в свое распоряжение сведения, относящиеся к тому или иному человеку. Не считаются операторами и не несут соответствующие обязанности только работодатели, которые не имеют в своем распоряжении никаких иных данных, кроме сведений кадрового учета. Если же лицо обязано принять меры к защите этой информации, ему придется создать собственную информационную систему безопасности с учетом уровня своей ответственности, зависящей от характеристик доверенных ему сведений. Система безопасности должна одновременно:

• быть эффективной;
• не мешать протеканию обычных рабочих процессов.

Уровни защиты

Согласно требованиям нормативно-правовых актов, для СЗПД компаний выделяется несколько уровней безопасности, обусловливающих применение тех или иных средств защиты. Всего их четыре:

• максимальный;
• высокий;
• средний;
• низкий.

В целях упрощения указания уровней в технической документации они маркируются литерами «У» с цифрой, означающей класс защиты: 1 – наиболее высокий, 4 – низкий. Для каждого оператора требованиями устанавливается свой уровень защиты. Его выбор определяется, исходя из следующих характеристик:

• количества субъектов, чьи данные подлежат обработке;
• класса и степени ценности обрабатываемой информации;
• используемых видов обработки, выбранных из перечня, установленного законом;
• актуальности и типа угроз.

Учет этих параметров помогает разработать эффективную систему мер, способную справиться с угрозами сохранности данных всех предполагаемых уровней. В выборе класса средств можно сориентироваться, изучив п. 4-16 Постановления Правительства № 1119. Оператор разрабатывает систему безопасности персональных данных и выбирает меры и средства или самостоятельно, или привлекая специализированную организацию. Такая компания должна иметь лицензию, позволяющую ей заниматься разработкой и внедрением СЗПД. При выстраивании отношений с такой организацией особое внимание необходимо уделить документированию поставки всех элементов системы по защите персональных данных, наличию как эксплуатационной, так и финансовой документации. Оба эти момента могут стать объектом проверки, проводимой Роскомнадзором или ФСТЭК.

Основные мероприятия

Помимо технических средств, система защиты предполагает реализацию определенных мер и мероприятий, направленных на обеспечение надлежащей безопасности персональных данных, обусловленных требованиями нормативных актов. Меры носят как технический, так и организационный характер. Мероприятие представляет собой комплекс мер, которые держатель данных обязан предпринять, чтобы гарантировать их сохранность от:

• утечки;
• утери;
• искажения;
• уничтожения.

Организационные меры

Эта группа действий обычно не представляет трудности для оператора, к ней не предъявляются строгие требования регуляторов. Она не влечет необходимости привлечения лицензированных специалистов. Среди обязательных мероприятий по обеспечению безопасности данных присутствуют:

• направление сообщения в Роскомнадзор о начале занятий соответствующим видом предпринимательской деятельности, предполагающим обработку персональных данных. Сообщение заполняется в форме на сайте ведомства и направляется по почте;
• разработка локальных нормативных актов, опосредующих передачу данных. К этим документам относятся Положение о защите персональных данных, приказ о назначении ответственного за эту деятельность. Подготовить их можно самостоятельно. Утверждает документы руководитель организации, требований по регистрации их в государственных ведомствах не существует;
• разработка и внедрение режима прохода на объект, на котором расположены массивы информации, содержащей персональные данные. При оформлении пропусков не надо забывать, что даже предоставление фотографии требует подписания согласия на обработку данных, как говорит судебная практика;
• разработка соглашений с третьими лицами, согласно которым им поручается обработка данных с внедрением в них мер ответственности и норм о возмещении возможного ущерба;
• определение актуальной модели угроз с учетом анализа внешних и внутренних факторов;
• ранжирование лиц, имеющих разные степени допуска к конфиденциальным данным, подписание с ними соглашений о соблюдении коммерческой тайны;
• разработка системы внутреннего контроля, позволяющей увидеть все моменты нарушения режима конфиденциальности и в кооперации со службой безопасности оперативно пресечь их.

Технические меры

Эту систему компания не всегда может разработать самостоятельно, силами ИТ-отдела. Соответствие требованиям по защите персональных данных предполагает разработку, установку и обслуживание сложных программных комплексов, которые решают следующие задачи:

• избежать неправомерного доступа к данным как со стороны внешних посягателей, так и со стороны инсайдеров. Для этого применяются межсетевые экраны, различные системы разграничения доступа, используются криптографические и блокировочные средства;
• предотвратить утечку данных по техническим каналам, например, в виде электромагнитного излучения или звуковой информации. Для этого применяют генераторы шума, экранированные кабели, высокочастотные фильтры.

Все необходимые средства защиты персональных данных от утечки компания выбирает самостоятельно, предъявляются требования по их возможностям и сертификации, а не по конкретным наименованиям или типам программных продуктов. Расходы на приобретение средств защиты данных компания также несет самостоятельно.

Как разработать собственную систему защиты

Задача разработки собственной системы обеспечения безопасности данных должна решаться пошагово. Любые методы управления проектами предлагают несколько последовательных этапов внедрения нового типа работы. Это:

• разработка;
• тестирование;
• внедрение;
• анализ результатов;
• доработка с учетом выявленных недостатков.

По тому же принципу должна разрабатываться и устанавливаться и система защиты данных. Таким образом, выделяются следующие шаги:

• издание внутреннего распорядительного документа, которым до персонала доводится решение о начале работы по построению СЗПД. В документе указываются комплекс мер и лицо, ответственное за выполнение приказа;
• обследование информационных систем, которые содержат персональные данные. В ходе диагностики необходимо установить категорию защищаемых данных. Результатом обследования становится отчет, в котором должны содержаться модель угроз, описание системы, характеристика уровня ее защищенности;
• организационные меры – направление уведомления в Роскомнадзор и разработка пакета внутренних локальных нормативных актов, посвященных вопросу защиты данных;
• создание документов, посвященных информационной безопасности и освещающих вопросы допуска, степеней конфиденциальности, коммерческой тайны, пользования ключами и паролями, физического допуска к рабочим местам, связанным с обработкой персональных данных;
• определение перечня технических мер. После определения основных угроз безопасности выяснение необходимости применения криптографических способов защиты данных;
• приобретение сертифицированных средств защиты данных, их настройка;
• издание документации по работе с данными – новой структуры организации, журнала учета данных, формата актов уничтожения носителей информации.

Весь этот комплекс действий должен происходить под контролем руководителя организации. В этом случае создание системы обеспечения безопасности персональных данных окажется успешным и не потребует доработок и переделок.