ДиалогНаука

Пресс-центр

Выберите интересующие вас разделы:

Периодичность рассылки:

Формат письма:

Назад к списку статей

Защита персональных данных в кредитно-финансовых организациях в соответствии с требованиями Федерального закона «О персональных данных»

В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для многих российских банков. Это обусловлено тем, что 26 января 2007 года вступил в силу Федеральный закон «О персональных данных», в котором сформулированы требования по защите персональных данных. Необходимо отметить, что требования данного закона являются обязательными как для коммерческих, так и государственных организаций. При этом согласно статье 25, информационные системы должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

В настоящей статье рассматриваются основные положения закона «О персональных данных», а также подходы к приведению информационных систем в соответствие с требованиями по защите персональных данных.

Процесс создания системы защиты персональных данных

Для создания и внедрения системы защиты персональных данных необходимо реализовать комплекс мероприятий, который, как правило, включает в себя следующие основные этапы работ:

  • проведение обследования с целью определения степени оценки соответствия компании требованиям Федерального закона «О персональных данных»;
  • классификация информационных систем, обрабатывающие персональные данные;
  • разработка модели угроз безопасности персональных данных и модели нарушителя;
  • проектирование системы защиты в составе информационной системы, обрабатывающей персональные данные;
  • разработка пакета организационно-распорядительной документации;
  • внедрение системы защиты персональных данных;
  • аттестация информационной системы, обрабатывающей персональных данных.

Процедура обследования информационных систем, обрабатывающих персональные данные (ИСПДн) включает следующие работы:

  • анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты персональные данные (ПДн);
  • определение используемых средств защиты ПДн, и оценка их соответствия требованиям нормативных документов РФ;
  • определение перечня ПДн, подлежащих защите;
  • определение перечня ИСПДн, обрабатывающих ПДн;
  • определение степени участия персонала в обработке ПДн, характера взаимодействия персонала между собой.

По результатам обследования формируется отчет, в котором содержится описание текущего состояния защиты ПДн, а также рекомендации по устранению выявленных недостатков и нарушений.

На втором этапе работ на основе информации, собранной на этапе обследования, проведена классификация ИСПДн. Классификация проводится в соответствии с порядком проведения классификации, описанным в приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20. Результаты классификации ИСПДн оформляются соответствующим актом подписываемым руководителем предприятия.

Информационные системы, обрабатывающие персональные данные, классифицируются по уровням защищенности в зависимости от важности обрабатываемых ПДн, которая зависит от вида и степени ущерба субъекту ПДн, возникающего вследствие реализации угроз безопасности. ИСПДн могут относиться к классу типовых или специальных. К типовым ИСПДн относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные ИСПДн - системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Для типовых ИСПДн определёно четыре возможных класса: К1, К2, К3 и К4. В зависимости от класса типовой ИСПДн определяются соответствующие требования по защите персональных данных.

На следующем этапе разрабатывается модель угроз безопасности ПДн в ИСПДн организации. Модель угроз безопасности определяется на основе перечня угроз безопасности персональных данных при их обработке в ИСПДн, который содержится в «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн», определённой ФСТЭК. При необходимости применения средств криптографических защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Именно модель угроз и модель нарушителя являются базовыми документами для дальнейшего проектирования системы защиты персональных данных (СЗПДн).

В рамках проектирования СЗПДн выполняются следующие работы: разработка технического задания, макетирование и стендовые испытания средств защиты информации, а также создание технического проекта.

Техническое задание, как правило, содержит следующие разделы:

  • обоснование разработки СЗПДн;
  • исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах;
  • класс ИСПДн;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • мероприятия и требования к СЗПДн, которые определяются в соответствии с классом и типом ИСПДн на основе методических документов ФСТЭК России;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

Далее с учетом исходных данных, полученных на этапе обследования ИСПДн, а также требований, определенных Техническим заданием, проводится анализ применимости, совместимости и внедряемости средств защиты информации в ИСПДн организации. В результате определяется состав средств защиты, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн.

На основе технического задания и результатов стендовых испытаний средств защиты информации осуществляется разработка технического проекта, которые содержит детальное описание конкретных программно-технических решений, которые будут использоваться для создания СЗПДн.

В процессе проектирования также осуществляется разработка пакета эксплуатационной и организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности ПДн в организации.

На завершающем этапе проводится разработка проектов документов, необходимых для выполнения аттестационных испытаний. В рамках этапа также осуществляется проведение самих испытаний, а также оформление Аттестата соответствия. Необходимо отметить, что аттестация требуется только для систем класса К1 и К2.

Работы по созданию системы защиты персональных данных могут выполняться силами кредитно-финансовой организации, либо при помощи компаний, специализирующихся на оказании такого рода услуг. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» организации для проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн классов К1 и К2 и в распределенных информационных системах класса К3 должны получить лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.

Заключение

Опыт ЗАО «ДиалогНаука» показывает, что одним из первых шагов к созданию такой системы безопасности, представляющей собой комплекс организационных, программно-технических и организационно-методических мер, должно являться проведение оценки текущего уровня соответствия требованиям Федерального закона «О персональных данных» и разработки плана работ по поэтапному внедрению необходимых мер защиты. С учетом того что информационные системы банков должны быть приведены в соответствие с требованиями Федерального закона уже к 01.01.2010, работы в данном направлении необходимо начать уже сейчас.Б

Услуги ЗАО «ДиалогНаука» по защите персональных данных

ЗАО «ДиалогНаука» является лицензиатом ФСТЭК и ФСБ и оказывает полный спектр услуг по защите персональных данных, начиная с обследования и заканчивая аттестацией информационной системы. По всем интересующим Вас вопросам Вы можете обращаться по телефону +7 (495) 980-67-76, e-mail: pdn@dialognauka.ru.