Специфика обеспечения ИТ-безопасности в госсекторе

Специфика обеспечения ИТ-безопасности в госсектореГосударственные организации существенно отличаются от коммерческих компаний в плане обеспечения ИТ-безопасности. Это сказывается не только в том, что на попечении госструктур находится информация, составляющая государственную тайну, но еще и в том, что именно госсектору приходится иметь дело с гигантскими объемами персональных данных граждан, которые также должны быть защищены. При этом последние исследования указывают на то, что наибольшая угроза всей ценной информации сегодня исходит изнутри организации – от ее собственных сотрудников (инсайдеров).

Специфика обеспечения ИТ-безопасности любой организации в первую очередь состоит в характере той информации, которую необходимо защитить. Например, в секторе телекоммуникаций компаниям необходимо сохранить конфиденциальность персональных данных клиентов, а также не допустить утечки информации, представляющей коммерческую тайну (финансовые отчеты, маркетинговые планы и т.д.). Если посмотреть на банковский сектор, то здесь компании точно так же озабочены защитой персональных данных клиентов, но к этому еще добавляется необходимость защитить финансовую информацию в соответствии с законом «О банковской тайне». Однако вернемся теперь к госструктурам.

На первый план в министерствах и ведомствах выходит защита государственной тайны и персональных данных граждан. Причем с секретной информацией государства все более или менее понятно, так как соответствующее законодательство существует уже давно. Вдобавок, еще во время бумажного документооборота были разработаны механизмы защиты государственной тайны, которые сегодня довольно жестко переносятся и используются в электронной сфере. Некоторым «новшеством» можно считать необходимость защищать персональные данные граждан. Соответствующий закон был принят в конце июля 2006 года, а вступил в силу лишь с февраля 2007 года. Рассмотрим его подробнее.

ФЗ «О персональных данных»

27 июля 2006 года Президент России подписал закон «О персональных данных». Новые правила ставят вне закона торговлю приватными базами, обеспечивают контроль над оборотом личных сведений граждан и требуют от организаций обеспечить защиту персональных данных служащих, клиентов и т.д.

Согласно этому федеральному закону, персональные данные — это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)». В качестве примера таких данных закон приводит ФИО, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другую информацию. Чтобы не путаться в терминологии, отметим, что далее в статье в качестве синонима к персональным данным будут использоваться такие словосочетания, как приватные сведения, личная информация и т.д. Во всех этих случаях речь пойдет именно о персональных данных, защищаемых новым федеральным законом. Кроме того, следует обратить внимание, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов компании InfoWatch, специализирующейся на защите от утечек и инсайдеров, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.

Прежде чем перейти к анализу основных положений ФЗ, следует рассмотреть еще два наиболее важных определения. Во-первых, оператор персональных данных – это «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Отметим, что понятие оператора приватных сведений включает любую реально существующую российскую организацию, так как в каждой структуре есть служащие и/или клиенты, чья личная информация находится на попечении организации. Во-вторых, обработка персональных данных – это практически любые действия (операции) с приватными записями. В качестве примера закон указывает сбор, систематизацию, хранение, использование, распространение, обезличивание, уничтожение персональных данных и др. Таким образом, ФЗ «О персональных данных» касается каждой организации и регулирует все аспекты обращения личной информации.

Основные положения закона

Рассмотрим основные положения закона, требующие от госорганов принять соответствующие меры, чтобы защитить персональные данные. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Таким образом, госорганом придется обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, который позволяет заблокировать действия, нарушающие политику ИТ-безопасности.

Согласно ст.19 ч.2, Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».

Ответственность за нарушение закона

При нарушении требований закона «О персональных данных» виновные лица (согласно ст. 24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.

Кроме того, остановимся на новых положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.

Прежде всего, новый ФЗ приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.

Расшифровка требований закона

Собирая воедино все указанные выше требования ФЗ «О персональных данных» и изменения в ТК РФ, можно сделать ряд выводов. Прежде всего, о безопасности приватных сведений персонала и клиентов теперь должна заботиться абсолютно каждая организация. По мнению экспертов компании InfoWatch, российским компаниям теперь придется иметь дело с новым классом данных.

«Если раньше при классификации данных в коммерческой организации достаточно было учитывать три основных категории информации (публичная, конфиденциальная, секретная), то новый федеральный закон практически требует создать еще один класс информации – персональные данные (клиентов, служащих и т.д.). Однако организация – это взаимосвязанный организм. Поэтому изменение принципов классификации влечет за собой модификацию политики ИТ-безопасности. Другими словами, компании обязаны создать политику использования персональных данных. Эта политика должна описывать все случаи, когда приватные сведения могут быть предоставлены третьим лицам (строго согласно положениям ФЗ), и запрещать распространение этой информации во всех других ситуациях. Наконец, политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости», — считает Денис Зенкин, директор по маркетингу компании InfoWatch.

Помимо чисто организационных мер, связанных с классификацией данных и составлением политики использования персональных данных, каждой организации придется удовлетворить требованиям закона к защите приватной информации. Это не должно вызвать проблем у министерств и ведомств, так как на рынке уже присутствуют эффективные решения для предотвращения утечек и искажения персональных данных, мониторинга за неправомерными действиями инсайдеров при доступе к приватным сведениям и т.д. Более того, опыт внедрения таких технических решений есть у целого ряда известных системных интеграторов, так что проблем с внедрением и сопровождением не возникнет даже у крупнейших операторов персональных данных. Тем не менее, госструктурам следует обратить внимание на ряд критических дат, указанных в законе.

Критические даты закона «О персональных данных»

Дата Событие
30 января 2007 года ФЗ «О персональных данных» вступает в силу
1 января 2008 года Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего ФЗ и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган уведомление, предусмотренное ч.3 ст.22 настоящего ФЗ не позднее 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания владеет приватными данными только своих сотрудников, то уведомление направлять не следует).
1 января 2010 года Информационные системы персональных данных, созданные до дня вступления в силу настоящего ФЗ, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. Другими словами, информационная система, включающая в себя базу персональных данных, а также информационные и технические средства для их обработки, должна соответствовать требованиям к защите конфиденциальности приватной информации (ст.19 ч.1).

В заключение заметим, что контроль над выполнением требований ФЗ возложен на федеральный орган исполнительной власти (ст.19 ч.3). Это Россвязьнадзор России. Этот орган может установить свои собственные требования к безопасности персональных данных, которые могут быть оформлены в виде стандарта.

Алексей Доля / Специально для CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Toolbar | КПК-версия | Подписка на новости  | RSS