+7 (495) 980-67-76

Защита персональных данных в кредитно-финансовых организациях в соответствии с требованиями Федерального закона «О персональных данных»

07 августа 2009

В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для многих российских банков. Это обусловлено тем, что 26 января 2007 года вступил в силу Федеральный закон «О персональных данных», в котором сформулированы требования по защите персональных данных. Необходимо отметить, что требования данного закона являются обязательными как для коммерческих, так и государственных организаций. При этом согласно статье 25, информационные системы должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

В настоящей статье рассматриваются основные положения закона «О персональных данных», а также подходы к приведению информационных систем в соответствие с требованиями по защите персональных данных.

Процесс создания системы защиты персональных данных

Для создания и внедрения системы защиты персональных данных необходимо реализовать комплекс мероприятий, который, как правило, включает в себя следующие основные этапы работ:

  • проведение обследования с целью определения степени оценки соответствия компании требованиям Федерального закона «О персональных данных»;
  • классификация информационных систем, обрабатывающие персональные данные;
  • разработка модели угроз безопасности персональных данных и модели нарушителя;
  • проектирование системы защиты в составе информационной системы, обрабатывающей персональные данные;
  • разработка пакета организационно-распорядительной документации;
  • внедрение системы защиты персональных данных;
  • аттестация информационной системы, обрабатывающей персональных данных.

Процедура обследования информационных систем, обрабатывающих персональные данные (ИСПДн) включает следующие работы:

  • анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты персональные данные (ПДн);
  • определение используемых средств защиты ПДн, и оценка их соответствия требованиям нормативных документов РФ;
  • определение перечня ПДн, подлежащих защите;
  • определение перечня ИСПДн, обрабатывающих ПДн;
  • определение степени участия персонала в обработке ПДн, характера взаимодействия персонала между собой.

По результатам обследования формируется отчет, в котором содержится описание текущего состояния защиты ПДн, а также рекомендации по устранению выявленных недостатков и нарушений.

На втором этапе работ на основе информации, собранной на этапе обследования, проведена классификация ИСПДн. Классификация проводится в соответствии с порядком проведения классификации, описанным в приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20. Результаты классификации ИСПДн оформляются соответствующим актом подписываемым руководителем предприятия.

Информационные системы, обрабатывающие персональные данные, классифицируются по уровням защищенности в зависимости от важности обрабатываемых ПДн, которая зависит от вида и степени ущерба субъекту ПДн, возникающего вследствие реализации угроз безопасности. ИСПДн могут относиться к классу типовых или специальных. К типовым ИСПДн относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные ИСПДн - системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Для типовых ИСПДн определёно четыре возможных класса: К1, К2, К3 и К4. В зависимости от класса типовой ИСПДн определяются соответствующие требования по защите персональных данных.

На следующем этапе разрабатывается модель угроз безопасности ПДн в ИСПДн организации. Модель угроз безопасности определяется на основе перечня угроз безопасности персональных данных при их обработке в ИСПДн, который содержится в «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн», определённой ФСТЭК. При необходимости применения средств криптографических защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Именно модель угроз и модель нарушителя являются базовыми документами для дальнейшего проектирования системы защиты персональных данных (СЗПДн).

В рамках проектирования СЗПДн выполняются следующие работы: разработка технического задания, макетирование и стендовые испытания средств защиты информации, а также создание технического проекта.

Техническое задание, как правило, содержит следующие разделы:

  • обоснование разработки СЗПДн;
  • исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах;
  • класс ИСПДн;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • мероприятия и требования к СЗПДн, которые определяются в соответствии с классом и типом ИСПДн на основе методических документов ФСТЭК России;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

Далее с учетом исходных данных, полученных на этапе обследования ИСПДн, а также требований, определенных Техническим заданием, проводится анализ применимости, совместимости и внедряемости средств защиты информации в ИСПДн организации. В результате определяется состав средств защиты, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн.

На основе технического задания и результатов стендовых испытаний средств защиты информации осуществляется разработка технического проекта, которые содержит детальное описание конкретных программно-технических решений, которые будут использоваться для создания СЗПДн.

В процессе проектирования также осуществляется разработка пакета эксплуатационной и организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности ПДн в организации.

На завершающем этапе проводится разработка проектов документов, необходимых для выполнения аттестационных испытаний. В рамках этапа также осуществляется проведение самих испытаний, а также оформление Аттестата соответствия. Необходимо отметить, что аттестация требуется только для систем класса К1 и К2.

Работы по созданию системы защиты персональных данных могут выполняться силами кредитно-финансовой организации, либо при помощи компаний, специализирующихся на оказании такого рода услуг. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» организации для проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн классов К1 и К2 и в распределенных информационных системах класса К3 должны получить лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.

Заключение

Опыт ЗАО «ДиалогНаука» показывает, что одним из первых шагов к созданию такой системы безопасности, представляющей собой комплекс организационных, программно-технических и организационно-методических мер, должно являться проведение оценки текущего уровня соответствия требованиям Федерального закона «О персональных данных» и разработки плана работ по поэтапному внедрению необходимых мер защиты. С учетом того что информационные системы банков должны быть приведены в соответствие с требованиями Федерального закона уже к 01.01.2010, работы в данном направлении необходимо начать уже сейчас.Б

Услуги ЗАО «ДиалогНаука» по защите персональных данных

ЗАО «ДиалогНаука» является лицензиатом ФСТЭК и ФСБ и оказывает полный спектр услуг по защите персональных данных, начиная с обследования и заканчивая аттестацией информационной системы. По всем интересующим Вас вопросам Вы можете обращаться по телефону +7 (495) 980-67-76, e-mail: pdn@dialognauka.ru.

284
Услуги
Оценка соответствия требованиям Федерального закона «О персональных данных»
Все услуги
Подписаться на статьи

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

;