Вопрос: Чем является обезличенные персональные данные?
Ответ: Согласно ст.3 п.9 Федерального закона №152-ФЗ «О персональных данных»: «обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных»
Вопрос: Какова необходимость проведения мероприятий по защите информации от ПЭМИН и вибро-акустического канала съема информации в ИСПДн? Как можно ее избежать?
Ответ: Прямой необходимости нет, данные угрозы можно принять не актуальными в Модели угроз.
Вопрос: Имеется ли необходимость защищать рабочие места, если обработка персональных данных ведется на сервере через терминальный доступ?
Ответ: Нет, если только технически исключить возможность сохранения защищаемой информации на рабочих местах и установить сертифицированный межсетевой экран между терминальным сервером и подключаемым по терминальным сессиям рабочем месте.
Вопрос: Можно ли защитить ИСПДн, установив средства защиты информации только на сервере, где расположены персональные данные (СУБД или расшаренные файлы)?
Ответ: Нет, нельзя. Всегда есть возможность сохранения обрабатываемой защищаемой информации на локальном рабочем месте пользователя (как намеренно пользователем, так и не намеренно – кэш при работе приложений с защищаемой информацией хранится на локальном рабочем месте).
Вопрос: Какие существуют общие (типовые) методы защиты ИСПДн в общей локальной сети компании?
Ответ: Во-первых, изолировать ИСПДн от общей локальной сети (физически или логически (VLAN или созданием сертифицированного криптографического канала связи между обрабатывающими рабочими станциями и серверами)). В данном случае защищать необходимо только рабочие стации и сервера, обрабатывающие персональные данные. Точку подключения к общей локальной сети и выхода в интернет защитить сертифицированным межсетевым экраном.
Во-вторых, можно защитить все рабочие станции и сервера, как обрабатывающие, так и не обрабатывающие персональные данные. Точку выхода в интернет защитить сертифицированным межсетевым экраном.
Вопрос: Какой вид согласия требуется от владельца персональных данных на обработку его персональных данных?
Ответ: Вид согласия владельца персональных данных определен в ст.9 п.4 Федерального закона №152-ФЗ «О персональных данных», который гласит:
«Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных»
Вопрос: Какова необходимость обращаться к компаниям-лицензиатам для создания системы защиты персональных данных? Можно ли сделать все собственными силами?
Ответ: Собственными силами, естественно, выполнить безопасность персональных данных, конечно можно, но есть немалые риски, которые возникнут при проверке регуляторов:
– Техническая защита конфиденциальных данных (персональные данных) лицензируемый вид деятельности и требует наличие лицензии по технической защите конфиденциальных данных выданной ФСТЭК России;
– неполноценный пакет необходимых документов;
– упущение многих рисков в рассмотрении и создании Модели угроз;
– отсутствие опыта создания документов по безопасности информации;
– отсутствие специализированного образования по защите информации ваших сотрудников;
– прямые риски попасть под несоответствие выполнения Федерального закона №152 «О персональных данных»;
– отсутствие опыта провести должное технико-экономическое обоснование выбранных средств защиты (снизить финансовую составляющую по созданию системы защиты);
– не правильно выбрать средства защиты информации и их конфигурации (в связи с отсутствием опыта и специфики работы с ними).
Имеются также риски полной переделки существующей сетевой инфраструктуры из-за неправильного проектирования системы защиты персональных данных, что опять же ударит по карману оператора.
При обращении к организации-лицензиату все риски по выбранным средствам защиты, созданным документам, ложится на плечи организации-лицензиата, а не оператора.
Вопрос: Какие существуют методы снижения класса ИСПДн?
Ответ: Во-первых, имеется возможность дробить ИСПДн (как по количеству обрабатываемых персональных данных, так и по перечню (типу) содержимого).
Во-вторых, имеется возможность обезличить персональные данные.
В-третьих, продекларировать принадлежность ИСПДн к «специальной» информационной системе, создать Модель угроз, грамотно описав риски, и, на основании п.16 Приказа от 13.02.2008г. №55/86/20 ФСТЭК России, ФСБ России и Мининформсвязи России, снизить класс ИСПДн. На данные работы целесообразно приглашать на договорной основе компанию-лицензиата, так как у таких организация имеется опыт анализа рисков и имеется свои нематериальные активы по данному вопросу (опыт в данной тематике).
Вопрос: Какова необходимость аттестации ИСПДн?
Ответ: Согласно действующим на данный момент времени нормативно-методическим документам аттестация не является обязательной, но может проводиться на основании согласия или требования оператора. По практике, к аттестации склонны операторы, обрабатывающие персональные данные на государственных информационных ресурсах.
