Шрифт: Arial Times
Размер: A A A
Кернинг: абв абв абв
Цвета: Ц Ц Ц Ц
Рус  /  Eng
Телефон приемной
(831) 216-33-33

 

Официальный интернет-портал государственных услугИТ-проект года - 2017Подарок за доброITForum 2020Противодействие коррупцииПравительство Нижегородской областиМежведомственное взаимодействиеЦТВСистема 112ГЛОНАССФедеральное агентство по делам национальностейВместе ярчеЕДИНЫЙ РЕЕСТР

Актуальные вопросы защиты персональных данных в системе – 112. Часть1

Актуальные вопросы защиты
персональных данных в системе – 112
Часть 1

С 2012 года в рамках Федеральной целевой программы ««Создание системы обеспечения вызова экстренных оперативных служб по единому номеру «112» в Российской Федерации на 2012-2017 годы»  началась активная работа по созданию системы-112. Работа системы-112 связана с обработкой персональных данных, поэтому вопросы их защиты являются весьма актуальными.

  1. Правовые основы защиты персональных данных в системе–112

Россия имеет обязательства перед мировым сообществом по обеспечению права каждого человека на неприкосновенность его этической сферы. Это обязательство перешло к России от СССР, который 28 января 1981 года, в Страсбурге,  присоединился к «Конвенции Совета Европы по защите личности в связи с автоматической обработкой персональных данных».  Конвенция была ратифицирована в России Федеральным законом от 19 декабря 2005 года № 160-ФЗ. Конвенция обязывает принимать надлежащие меры для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

В последнее десятилетие в России был издан и принят целый ряд законов и других нормативно-правовых актов, которые создали реальное правовое поле для обеспечения защиты персональных данных. Основным правовым документом является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» в редакции Федеральных законов от 25 ноября 2009 года № 266-ФЗ и от 27 декабря 2009 года № 363-ФЗ. В нем дано понятие «персональных данных» как любой информации, относящейся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Этим законом также определены принципы и условия обработки персональных данных, права субъекта персональных данных, обязанности оператора по сбору и обработке персональных данных, контроль и надзор за обработкой персональных данных и ответственность за нарушение требований данного Федерального закона. В том или ином виде вопросы обработки и защиты персональных данных отражены в ряде других законов, таких как Федеральный закон от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», Федеральный закон от 9 февраля 2007 года № 16-ФЗ «О транспортной безопасности».

Отдельные вопросы защиты персональных данных регламентированы Постановлениями Правительства и Указами Президента Российской Федерации. Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 утверждено «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В Положении присутствуют несколько важных моментов. Во-первых, система защиты персональных данных должна включать организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии. Во-вторых, методы и способы защиты информации в информационных системах устанавливают Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ) в пределах своих полномочий и они же осуществляют государственный контроль и надзор за достаточностью принятых мер по обеспечению безопасности по защите персональных данных в информационных системах. В-третьих, работы по обеспечению безопасности персональных данных при их обработке в информационных системах должна являться неотъемлемой частью работ по созданию информационных систем. Особенности обработки персональных данных без использования средств автоматизации определены в Постановлении Правительства Российской Федерации от 15 сентября 2008 года № 687.

Указом Президента Российской Федерации от 6 марта 1997 года № 188 утвержден «Перечень сведений конфиденциального характера», где в п. 1 к ним отнесены «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные)». В системе–112 будет обрабатываться и другая информация, относящаяся к конфиденциальной.

Общие принципы построения и функционирования системы–112, в том числе виды информации, определены в утвержденном Постановлением Правительства от 21 ноября 2011 года № 958  «Положении о системе обеспечения вызова экстренных оперативных служб по единому номеру «112».

Ряд документов определяют порядок лицензирования деятельности по защите информации, в том числе защите персональных данных в составе конфиденциальной информации, правила контроля, надзора, классификации, определения методов и способов защиты информации, анализа ее эффективности и ряд других вопросов.

На ФСТЭК России возложена основная работа по обеспечению защиты персональных данных в составе конфиденциальной информации. В рамках этой работы  ФСТЭК России разработал и выпустил несколько документов:

  1. Базовая модель угроз персональных данных при их обработке в информационных системах персональных данных;
  2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  3. Типовое положение по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации);
  4. Совместный приказ ФСТЭК/ФСБ/Минкомсвязи от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  5. Приказ ФСТЭК от 5 февраля 2010 года № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

ФСБ России в рамках работы по защите персональных данных определяет порядок и осуществляет контроль за использованием шифровальных (криптографических) средств защиты информации. В этом вопросе действуют ведомственные документы:

  1. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в системах персональных данных с использованием средств автоматизации;
  2. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;
  3. Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
  4. Приказ ФСБ от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) осуществляет федеральный государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных и ведет реестр Операторов персональных данных.

  1. Основные требования к системе–112 по организации защиты персональных данных

Работы и мероприятия по защите персональных данных в системе–112 должны проводиться как на этапе создания, так и на этапе функционирования системы.

На этапе создания эта работа должна проводиться Подрядчиком в комплексе с созданием самой информационной системы. Реализация методов и способов защиты персональных данных в ходе функционирования системы–112 должна возлагаться на специальное структурное подразделение (должностное лицо) в организации, либо с привлечением организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Выбор и реализация методов и способов защиты информации должна осуществляться на этапе создания на основе анализа актуальных угроз безопасности персональных данных, разработанной Модели угроз безопасности персональных данных и рассчитанного класса информационной системы. Кроме того,  необходимо учитывать, что система–112 характеризуется как распределенная информационная система с подключением к сетям связи общего пользования, с многопользовательским режимом обработки персональных данных, с разграничением прав доступа к персональным данным и территориально расположена только в пределах Российской Федерации.

В системе–112 должны быть реализованы методы и способы защиты информации от несанкционированного доступа и от утечки по техническим каналам.

В общем случае, для защиты информации от несанкционированного доступа могут применяться следующие методы и способы:

  • реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанными с ее использованием работами, документами;
  • ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
  • регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
  • учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
  • резервирование технических средств, дублирование массивов и носителей информации;
  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • использование защищенных каналов связи;
  • размещение технических средств, позволяющих осуществить обработку персональных данных, в пределах охраняемой территории;
  • организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
  • предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок;
  • межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для сокрытия структуры информационной системы;
  • обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
  • анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
  • защита информации при ее передачи по каналам связи;
  • использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
  • использование средств антивирусной защиты;
  • централизованное управление системой защиты персональных данных информационной системы.

С их помощью должны быть реализованы функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

От утечки информации по техническим каналам в системе–112 могут быть реализованы способы и методы защиты:

  • использование технических средств в защищенном исполнении;
  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • размещение объектов защиты в соответствии с предписанием на эксплуатацию;
  • размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
  • обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров блокирующих (подавляющих) информационный сигнал;
  • обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация;
  • обеспечение звукоизоляции ограждающих конструкций помещений, их систем вентиляции и кондиционирования при голосовом вводе персональных данных или воспроизведении информации акустическими средствами;
  • размещение дисплеев, других средств вывода графической, буквенно-цифровой информации таким образом, чтобы исключить возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.

Необходимость использования средств криптографической защиты информации определяется оператором персональных данных, если другие принятые меры не гарантируют необходимую безопасность персональных данных. Средства криптографической защиты информации должны использоваться для защиты персональных данных от несанкционированного доступа при их передаче, обработке и хранении. При организации обмена информацией между операторами связи и системой-112 необходимость ее криптографической защиты и выбор средств криптографической защиты определяется соглашением между участниками обмена.

Выбранные и реализованные методы и способы защиты информации должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их передаче, обработке и хранении. Оценка эффективности принятых мер должна проверяться путем проведения аттестации системы защиты персональных данных.

Реализация Федеральной целевой программы по созданию системы-112 постановлением Правительства Российской Федерации от 21 ноября 2011 №958 возложена на несколько министерств, федеральные органы исполнительной власти, органы исполнительной власти субъектов федерации и  органы местного самоуправления. Координация работы по созданию, развитию и организации эксплуатации системы-112 возложена на МЧС России.

Система Orphus
TwitterLjFacebookДобавить в LinkedinВконтактеМой МирОдноклассникиLiveinternetЯ-ру
Яндекс.Метрика