Вопрос защиты информационных прав человека и его персональных данных уже не первый год стоит на повестке дня. Меняются модели угроз, меняются используемые технические и информационные средства. Документы, издаваемые государственными ведомствами, не только стараются успеть за меняющейся реальностью, но и предоставляют операторам возможность самостоятельно выбирать средства для защиты персональных данных.

Нормативно-правовая документация

Система обеспечения конфиденциальности персональных данных регулируется Федеральным законом «О персональных данных», Постановлением Правительства № 1119, рекомендациями ФСТЭК России. В законе описаны основные термины и определения, устанавливаются права и обязанности оператора, в том числе в области выбора средств обеспечения персональных данных, ответственность операторов. Постановление Правительства определяет, по каким критериям информационные системы персональных данных относятся к различным уровням защищенности. Приказ ФСТЭК России № 21 называет конкретные 15 групп технических мер, применяемых для обеспечения безопасности. В каждой группе определяются и средства, которые вправе использовать оператор.

Классификация систем защиты персональных данных

Информационные системы персональных данных подразделяются по уровням защищенности – от низкого до максимального. Зависит это ранжирование от количества человек, чьи данные обрабатываются, и от характеристики данных. По рангам системы обеспечения безопасности данных разделяются операторами на две группы:

• типовые;
• специальные.

К первой группе относятся системы, чьей задачей становится только обеспечение режима конфиденциальности и безопасности данных. Понятие конфиденциальности подразумевает соблюдение двух параметров:

• обработка данных допустима только силами лиц, специально на это уполномоченных внутренней документацией организации-оператора;
• передача данных осуществляется только при условии их шифрования.

Для специальных систем обеспечения безопасности данных, кроме характеристики конфиденциальности, требуется обеспечить дополнительные меры защиты, хотя бы одну из перечня. К ним относятся:

• целостность. Этот термин подразумевает, что любые изменения данных производятся только в регламентированном порядке, например, изменения в амбулаторную карту больного вправе вносить только лечащий врач. Также целостность обеспечивается передачей данных по телекоммуникационным сетям только с использованием электронной подписи;
• доступность. Понятие предполагает, что система используется только определенными пользователями и в определенных временных рамках.

К специальным системам, требующим применения специальных средств обеспечения безопасности данных, относятся две группы:

• обрабатывающие данные, связанные со здоровьем человека;
• обрабатывающие персональные данные таким образом, что результат работ становится основанием для принятия юридически значимых решений.

Также системы защиты конфиденциальных данных можно разделить на автономные, без прямого подключения к телекоммуникационным сетям, и имеющие такие подключения, требующие повышенной заботы об обеспечении безопасности сведений.

Выбор технических средств защиты персональных данных

Выбор средств автоматизации, применяемых для обеспечения безопасности при обработке персональных данных, в конечном счете зависит от таких параметров:

• требуемого Постановлением Правительства уровня защищенности информационной системы персональных данных;
• финансовых и организационных возможностей операторов;
• применяемых для обеспечения безопасности технических решений;
• наличия или отсутствия лицензии ФСТЭК.

Опираясь на эти параметры, оператор может к базовым средствам защиты безопасности персональных данных добавлять инициативные, для достижения системой уровня безопасности, релевантного актуальным угрозам субъектам персональных данных и их информационным правам.

Таким образом, оператору необходимо обеспечить наличие технических средств, которые способны:

• идентифицировать и аутентифицировать пользователей, устанавливать индивидуальные уровни допуска к тем или иным категориям персональных данных;
• контролировать выход данных из системы, например, передачу по почте или в мессенджере, перенос на съемные носители. Эту задачу могут решить DLP-системы и SIEM-системы. Кроме того, необходимо обеспечить шифрование сведений, передаваемых по штатным каналам связи или находящихся непосредственно в информационных базах, при помощи средств криптографической защиты;
• обеспечивать максимально возможную защиту информационных баз персональных данных, подключенных к телекоммуникационным сетям, от внешних атак. Для этого требуется установка антивирусной защиты, других способов защиты от хакерских и иных атак, использование электронной подписи, шифрование исходящего трафика при помощи ключей и сертификатов, сгенерированных пользователем и зарегистрированных в удостоверяющих центрах;
• производить регистрацию всех действий пользователей в системе, что повышает уровень и безопасности персональных данных, и мотивации сотрудников на ее обеспечение.

Технические средства и программные продукты должны быть аттестованы и сертифицированы ФСТЭК России по классу не ниже АК2 по классификации ФСБ РФ. Для примера, операционной системой, соответствующей этому классу, является Windows XP с пакетом обновления Secure Pack Rus. Для специальных систем требуется соблюдение всех требований этого класса защищенности. Дополнительно потребуется аттестация ФСТЭК РФ помещения, в котором находятся компьютеры. Раз в три года необходимо проводить проверку соответствия применяемых средств текущим предъявляемым требованиям.

От опыта и технической подготовки оператора зависят и выбор средств обеспечения безопасности персональных данных, и сама их защищенность. При возникновении сомнений в своей компетенции лучше обратиться за профессиональными услугами.