"Как защитить персональные данные и не попасть в долговую яму"

Максим Коньков, руководитель IT отдела компании «Рекурс»Наверное, только ленивый не знает, что такое персональные данные и с чем их едят, а все остальные в курсе, что в настоящее время, на территории Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных (далее – ПДн). Правовое регулирование вопросов обработки ПДн осуществляется в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - Закон) и принятых во исполнение его положений, нормативно-правовых актов и методических документов.Жесткость наших законов компенсируется необязательностью их исполнения…, но не в случае защиты персональных данных. К настоящему времени Закон вызвал огромный ажиотаж и некий резонанс среди операторов ПДн в ожидании репрессивных мероприятий со стороны регуляторов, а именно ФСТЭК, Роскомнадзора и ФСБ России. Кроме того, Закон является предметом постоянных обсуждений среди специалистов по защите информации и остается в центре внимания парламентариев http://www.fz-152.org/. В силу требований указанного Федерального закона  все информационные системы персональных данных (далее – ИСПДн), созданные до введения его в действие, должны быть приведены в соответствие установленным требованиям не позднее 1 января 2011 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Закона. И как у нас это обычно бывает, этот самый главный документ - Закон, ссылается на кучу подзаконных актов, руководящих документов и методик. Давайте разбираться.           Начнем с начала, Закон устанавливает основные требования по организации защиты ПДн и ссылается на несколько постановлений Правительства РФ (Статья 19  часть 2 Закона). Но остановимся мы на одном из них: Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от  17 ноября 2007 г. № 781 (далее - Положение). Данное Положение устанавливает основные требования к обеспечению безопасности ПДн при их обработке в ИСПДн и ссылается в свою очередь (ст. 3 Положения) на нормативный документ Федеральной службы по техническому и экспортному контролю РФ (далее - ФСТЭК) - Положение о методах и способах защиты информации в информационных системах персональных данных к Приказу ФСТЭК России от 5 февраля 2010 г. № 58 (далее – Положение ФСТЭК), который мы и возьмем за основной при анализе требований к защите ПДн и выборе соответствующих средств защиты ИСПДн. Требования к криптографии отметаем сразу, это отдельный разговор, будем считать, что в Вашей информационной системе криптографические средства защиты информации отсутствуют, поэтому достаточно руководствоваться только документами ФСТЭК. Отмечу, что действующие требования достаточно лояльны по сравнению с предыдущими, где требования по технической защите  были изрядно завышены и которые в последствии были упразднены под давлением общественности или тех самых операторов ПДн. Общее число требований снизилось в два-три раза. Требования стали более выполнимыми.И так Положение ФСТЭК устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности ПДн при их обработке в ИСПДн государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку ПДн, а также определяющими цели и содержание обработки ПДн, или лицом, которому на основании договора оператор поручает обработку персональных данных.

Рассмотрим требования к ИСПДн 1-2 класса (многопользовательский режим с разными правами доступа) и проведем сравнительный анализ средств защиты информации (далее - СЗИ) для таких ИСПДн в рамках соответствующих подсистем, согласно Положения ФСТЭК: