Наверх

Безопасность информации


В соответствии с Федеральным Законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» к 1 января 2010 года все юридические и физические лица, использующие в своей деятельности персональные данные, должны были осуществить мероприятия по их защите.

Основные понятия информационной безопасности


В целях обеспечения защиты конституционных прав и свобод человека и гражданина при обработке его персональных данных в июле 2006 года был принят, а в январе 2007 года вступил в силу Федеральный Закон от 27 июля 2006 г. №152-ФЗ «О персональных данных». Предметом регулирования данного закона являются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий, совершаемых с персональными данными с использованием средств автоматизации.

Статьей 19 данного закона предусмотрено, что «оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных».

Во исполнение указанной нормы закона Правительство Российской Федерации 1 ноября 2012 года приняло Постановление №1119, которым были утверждены Требования к защите персональных данных в информационных системах персональных данных (далее – Требования). Данное Постановление заменило собой Постановление Правительства Российской Федерации от 17 ноября 2007 года №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Пунктом 2 Требований определено, что «безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных». При этом «система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах». Под актуальными угрозами безопасности персональных данных в соответствии с Требованиями понимается «совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия».

Требования устанавливают типы актуальных угроз для информационной системы и уровни защищенности информационной системы от этих угроз. Пунктом 4 Требований предусмотрено, что выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.

Ниже представлены основные нормативные и методологические документы по технической защите информации:

  • "Методический документ. Меры защиты информации в государственных информационных системах", утвержден ФСТЭК России 11.02.2014 г.
  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» – утвержден Заместителем директора ФСТЭК России 15 февраля 2008 года
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» – утверждена Заместителем директора ФСТЭК России 15 февраля 2008 года
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» – утверждена Заместителем директора ФСТЭК России 14 февраля 2008 года
  • «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» – утвержден Заместителем директора ФСТЭК России 15 февраля 2008 года
  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России 21.02.2008 г. № 149/54-144
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены ФСБ России 21.02.2008 г. № 149/6/6-622

 

Правила по обеспечению информационной безопасности на рабочем месте


Что такое персональные данные



Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В соответствие требованиям Федерального Закона № 152-ФЗ должны быть приведены как новые, так и уже существующие информационные системы, обрабатывающие персональные данные.
Постановление Правительства РФ от 1 ноября 2012 г №1119 вводит требования к обеспечению безопасности персональных данных и определяет порядок классификации систем защиты. Контроль за исполнением Требований к защите персональных данных при их обработке в информационных системах персональных данных возложен на оператора (пункт 17 Требований). Оператором в соответствии с положениями пункта 2 статьи 3 Федерального Закона № 152-ФЗ является «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».


ФСБ России и ФСТЭК России разработали и утвердили методические документы, содержащие требования к защите персональных данных. Так, в информационных системах персональных данных должно быть обеспечено:

  • предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации
  • своевременное обнаружение фактов несанкционированного доступа к персональным данным
  • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование
  • возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
  • постоянный контроль обеспечения уровня защищенности персональных данных

За нарушение требований по защите персональных данных статьей 24 Федерального Закона №152-ФЗ предусматривается гражданская, уголовная, административная, дисциплинарная и иная ответственность. (В частности, величина максимального наказания может составить в денежном выражении от 5÷20 тысяч рублей (например, за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – ст.13.11 КоАП штраф может достигать 10 тысяч рублей). Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет приостановление деятельности на срок до 90 суток (ст.13.12 КоАП) и даже штрафа размером 500 тысяч рублей (невыполнение в установленный срок законного предписания органа, уполномоченного в области экспортного контроля - ст.19.5 КоАП, т.е. при повторной проверке решения).