В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для многих российских банков. Это обусловлено тем, что 26 января 2007 г. вступил в силу Федеральный закон «О персональных данных», в котором сформулированы требования по защите персональных данных. Необходимо отметить, что требования данного Закона являются обязательными как для коммерческих, так и для государственных организаций. При этом согласно ст. 25 Закона информационные системы должны быть приведены в соответствие с его требованиями не позднее 1 января 2010. г. В статье генерального директора компании «ДиалогНаука», Виктора Сердюка рассмотрены основные подходы к приведению информационных систем в соответствие с требованиями по защите персональных данных.
По результатам обследования формируется отчет, в котором содержится описание текущего состояния защиты ПДн, а также рекомендации по устранению выявленных недостатков и нарушений.
На втором этапе работ на основе информации, собранной на этапе обследования, проводится классификация ИСПДн. Классификация проводится в соответствии с порядком ее проведения, описанным в приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20. Результаты классификации ИСПДн оформляются соответствующим актом, подписываемым руководителем предприятия.
Информационные системы, обрабатывающие персональные данные, классифицируются по уровням защищенности в зависимости от важности обрабатываемых ПДн, которая зависит от вида и степени ущерба субъекту ПДн, возникающего вследствие реализации угроз безопасности. Информационные системы, обрабатывающие персональные данные, могут относиться к классу типовых или специальных. К типовым ИСПДн относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные ИСПДн — это системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Для типовых ИСПДн определено четыре возможных класса: К1, К2, К3 и К4. В зависимости от класса типовой ИСПДн определяются соответствующие требования по защите персональных данных.
На следующем этапе разрабатывается модель угроз безопасности ПДн в ИСПДн организации. Модель угроз безопасности определяется на основе перечня угроз безопасности персональных данных при их обработке в ИСПДн, который содержится в «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн», определенной ФСТЭК России. При необходимости применения средств криптографической защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Именно Модель угроз и Модель нарушителя являются базовыми документами для дальнейшего проектирования системы защиты персональных данных (СЗПДн).
В рамках проектирования СЗПДн выполняются следующие работы: разработка технического задания, макетирование и стендовые испытания средств защиты информации, а также создание технического проекта.
Далее с учетом исходных данных, полученных на этапе обследования ИСПДн, а также требований, определенных Техническим заданием, проводится анализ применимости, совместимости и внедряемости средств защиты информации в ИСПДн организации. В результате определяется состав средств защиты, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн.
На основе технического задания и результатов стендовых испытаний средств защиты информации осуществляется разработка технического проекта, содержащего детальное описание конкретных программно-технических решений, которые будут использоваться для создания СЗПДн.
В процессе проектирования также осуществляется разработка пакета эксплуатационной и организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности ПДн в организации.
На завершающем этапе проводится разработка проектов документов, необходимых для выполнения аттестационных испытаний. В рамках данного этапа также осуществляется проведение самих испытаний и оформление Аттестата соответствия. Необходимо отметить, что аттестация требуется только для систем класса К1 и К2.
Работы по созданию системы защиты персональных данных могут выполняться силами кредитно-финансовой организации либо при помощи компаний, специализирующихся на оказании такого рода услуг. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства РФ от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» организации для проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн классов К1 и К2 и в распределенных информационных системах класса К3 должны получить лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.
Опыт ЗАО «ДиалогНаука» показывает, что одним из первых шагов к созданию системы безопасности, представляющей собой комплекс организационных, программно-технических и организационно-методических мер, должно являться проведение оценки текущего уровня соответствия требованиям Федерального закона «О персональных данных» и разработки плана работ по поэтапному внедрению необходимых мер защиты. С учетом того, что информационные системы банков должны быть приведены в соответствие с требованиями Федерального закона к 1 января 2010 г., работы в данном направлении необходимо начать уже сейчас.
ЗАО «ДиалогНаука» (www.dialognauka.ru) является лицензиатом ФСТЭК и ФСБ России и оказывает полный спектр услуг по защите персональных данных, начиная с обследования и заканчивая аттестацией информационной системы. По всем интересующим вопросам можно обращаться по тел.: +7 (495) 980-67-76, e-mail: pdn@dialognauka.ru.
