Большинство компаний в стране являются операторами персональных данных, так как обрабатывают большие объемы информации, прямо относящейся к личности граждан, которую они получают в ходе выполнения свих уставных задач. Существующие модели угроз требуют адекватных уровню угроз технических средств защиты данных от утечек, неправомерного доступа и использования, утраты при передаче по каналам связи. Перечень таких мер устанавливается нормативными актами ФСТЭК России. Это же ведомство вместе с ФСБ РФ контролирует правомерность их выбора и правильность применения. Требования ФСТЭК обязательны для применения, в противном случае организация может лишиться права на обработку персональных данных.

Для чего требуется техническая защита персональных данных

По своей правовой природе персональные данные относятся к конфиденциальной, охраняемой законом информации. Федеральный закон «О персональных данных» причисляет к ним любую информацию, которая прямо относится к тому или иному человеку. После того, как она доверена операторам-компаниям, осуществляющим ее обработку, сведения, переданные физическими лицами при условии оформления согласия на их обработку определенными способами и в определенных целях, получают охраняемый статус. В отличие от коммерческой тайны, способы защиты персональных данных устанавливаются государством. Перечень конкретных технических средств определяется ФСТЭК России в Приказе № 21. Рекомендации вводят 15 групп технических мер, в каждой группе прописаны базовые, обязательные для применения, меры и рекомендуемые, которые оператор может использовать по своему усмотрению, сравнивая с актуальной на текущий момент моделью угроз безопасности персональных данных.

Этапы создания системы защиты персональных данных

До направления уведомления о начале осуществления деятельности, связанной с защитой персональных данных, оператор должен позаботиться о том, чтобы его информационная система соответствовала установленным требованиям, и о выборе технических средств. Процесс внедрения делится на несколько последовательных этапов, их количество зависит от выбранного способа защиты, который, в свою очередь, зависит от типа информации, класса защищенности, определяемого по параметрам, устанавливаемым Постановлением Правительства РФ № 1119, наличия или отсутствия подключения системы к телекоммуникационным каналам связи.

Первичные организационные меры

Прежде чем переходить к реализации системы технических мер по защите персональных данных, необходимо осуществить некоторые организационные меры, относящиеся к классификации угроз и оценке имеющихся в наличии технических средств. Это потребуется для оценки необходимости установки и выбора антивирусных средств и средств криптографической защиты.

В рамках такого анализа устанавливаются:

• перечень персональных данных, имеющихся в распоряжении организации, и требуемая степень их защиты. Усиленная потребуется при обработке данных, составляющих врачебную тайну, и тех сведений, на основании которых будут приниматься решения, имеющие юридические последствия;
• цели обработки данных. Это может быть сбор кадровой информации, оказание услуг, связанных с обработкой, услуги по передаче сведений;
• сроки работы с данными. Закон устанавливает, что они являются ограниченными. Необходимо определить объемы данных, которые должны быть уничтожены, сроки, средства и порядок такого уничтожения.

После определения объекта технической защиты надо перейти к определению технических средств, необходимых для обеспечения защиты персональных данных.

Способы обработки персональных данных

На практике персональные данные на первом этапе обрабатываются вручную, и от оператора требуется только физическая защита материальных носителей, для которой используются такие средства, как пропускная система и оборудование помещений согласно определенному классу безопасности, и только на следующем этапе они поступают в автоматизированные информационные системы. В рамках ручного и технического методов обработки выделяется несколько отдельных способов, при автоматизированной обработке необходимо определить те элементы конфигурации системы, в которых происходит обработка. Это могут быть кадровый и бухгалтерский модуль, модуль по работе с клиентами.

Определение характеристик технических систем

Следующим этапом работы по обеспечению технической защиты персональных данных становится определение основных характеристик автоматизированных систем обработки, их конфигурации, потребности в генерации электронной подписи, установлении сертифицированных средств антивирусной или криптографической защиты. Далее проводится классификация системы в зависимости от качества данных. Выделяются такие группы, как:

• категория 1. Это сведения, касающиеся здоровья, личной жизни, политических взглядов;
• категория 2. Любые данные, позволяющие идентифицировать человека и получить о нем в дальнейшем дополнительную информацию;
• категория 3. Сведения, которые только позволяют идентифицировать субъекта персональных данных;
• категория 4. Обезличенные данные.

При обработке данных 1-й категории автоматизированная система, в которой хранятся персональные данные, должна быть оборудована техническими средствами защиты как специальная, для остальных будет достаточно базовой модели. Кроме категории данных, на параметры системы влияет количество человек, чьи сведения обрабатываются. Исходя из этого, устанавливается четыре уровня защищенности системы – от максимального до низкого.

Оценка соответствия системы требованиям ФСТЭК России

После определения класса данных и требований к системе нужно установить, какие именно требования ФСТЭК России предъявляет в целях оценки соответствия применяемых для обеспечения безопасности персональных данных технических средств своим требованиям. Они выглядят следующим образом:

• если система относится к 1-му или 2-му классу, то ее соответствие требованиям, предъявляемым к уровню защищенности, подтверждается обязательной сертификацией (в ряде нормативных документов эта процедура называется аттестацией). Она проводится ФСТЭК России;
• если система относится к 3-му классу, то от оператора потребуется декларирование соответствия ее параметров предъявляемым требованиям;
• для систем 4-го класса выбор метода защиты и применяемых технических средств остается на волеизъявление оператора.

После того, как определено, каким параметрам должна отвечать система и какие технические средства для ее работоспособности и надлежащей защиты персональных данных необходимы, начинается построение ее конфигурации. Оценку правильности применяемых решений раз в три года проводит оператор, также соответствие системы требованиям может контролировать ФСТЭК РФ в рамках документарных или выездных проверок.

Установка технических средств защиты

После того, как параметры системы определены, начинается выбор необходимых программных и технических средств, соответствующих заявленному классу безопасности. При выборе базовых и компенсирующих средств необходимо соблюдать баланс между уровнем безопасности и финансовой целесообразностью. Иногда для такой оценки правильным решением будет привлечь специализированную организацию.

Качество средств, требования к их сертификации определяются согласно нормативным документам ФСТЭК Российской Федерации. Все технические средства делятся на две группы:

• защищающие персональные данные и другую конфиденциальную информацию от несанкционированного доступа. К ним относятся средства антивирусной и криптографической защиты, межсетевые экраны, средства блокировки устройств ввода-вывода информации, системы, ограничивающие возможности вывода информации из защищаемого периметра;
• средства защиты информации, отвечающие за исключение утечек сведений по техническим каналам связи. Это генераторы шумов, экранированные кабели, исключающие перехват электромагнитного излучения, высокочастотные фильтры на линии связи.

При привлечении специализированной организации для создания технической системы защиты персональных данных необходимо проконтролировать наличие у нее соответствующих лицензий, а также то, чтобы все применяемые средства были сертифицированы в установленном порядке.

Выбор технических средств защиты должен обусловливаться классом защищенности системы, тем, относится она к категории обычных или специальных, собственными возможностями.