Классификация информации по уровню доступа к ней

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Содержание

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Согласно статье 25 закона «О персональных данных», информационные системы предприятий и организаций должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 г. С одной стороны, времени еще вполне достаточно, но, с другой, перечень необходимых действий не так уж мал и требует организационных и финансовых затрат.

Федеральный закон «О персональных данных» (№152-ФЗ), подписанный Президентом РФ в июле 2006 г., вступил в силу в январе 2007 г., однако основные нормативные документы, детализирующие его применение, и орган, контролирующий выполнение закона, появились только в 2007-8 гг. Кроме того, в 2008 г. в Федеральной службе по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) было создано Управление по защите прав субъектов персональных данных в Российской Федерации. В его состав включено три отдела: отдел организации ведения реестра операторов, осуществляющих обработку персональных данных (ПД), отдел организации контроля и надзора за соответствием обработки ПД и отдел анализа и методологического обеспечения в области ПД. Дополнительно организованы специальные отделы в 78 территориальных органах Россвязькомнадзора.

Ранее принятые законы «Об информации, информационных технологиях и защите информации» (№149-ФЗ от 27 июля 2006 г.), «О коммерческой тайне» (№98-ФЗ от 29 июля 2004 г.), а также Постановление Правительства РФ «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (№781 от 17 ноября 2007 г.) и совместный Приказ ФСТЭК, ФСБ и Мининформсвязи «Об утверждении порядка проведения классификации информационных систем персональных данных» (№55/86/20 от 13.02.2008) образуют нормативную базу для построения систем защиты ПД.

Различным аспектам защиты информационных систем персональных данных (ИСПДн) были посвящены семинары и круглые столы на проходившей в октябре в Москве выставке «Инфосекьюрити-2008», по материалам которых и написана в основном данная реферативная работа, цель которой – осветить основные направления деятельности в области  защиты информации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Классификация  информации по уровню доступа к ней

По степени доступа информация подразделяется на открытую и информацию ограниченного доступа, распространение которой возможно в условиях конфиденциальности или секретности.

1.1. Открытая  информация

Открытая информация как объект гражданских прав (произведения, патенты и авторские свидетельства, другая информация, создаваемая с целью извлечения прибыли);

Массовая информация

Информация о выборах, референдуме

Официальные документы

Обязательно представляемая информация

Другая открытая информация

1.2. Информация  ограниченного доступа

В данный тип информации входит:

Государственная тайна, служебная тайна

Ноу-хау (секреты производства) и коммерческая тайна

Персональные данные (в порядке защиты личной тайны}

Другие виды тайн

Информация как объект гражданских правоотношений — произведения науки и литературы, другие формы, отображающие информацию (например, карты, фотографии и т.п.), а также информация, содержащаяся в документах, закрепляющих авторские права на изобретения, полезные модели, промышленные образцы (патенты, свидетельства).

Массовая информация — информация, содержащая сообщения информационного характера, подготавливаемая и распространяемая СМИ и (или) через Интернете целью информирования населения, в том числе реклама деятельности физических и юридических лиц, производимых продуктов и предоставляемых услугах, предлагаемых потребителям.

Официальные документы — законы, судебные решения, иные тексты законодательного, административного и судебного характера, а также их официальные переводы. Эта информация создается в порядке законотворческой или иной правовой деятельности.

Обязательно представляемая документированная информация -обязательные контрольные экземпляры документов, информация в учетных документах, данные документов, представляемых в органы статистики, налоговая, регистрационная и другая такого типа информация. Такая информация создается юридическими и физическими лицами в порядке учета и отчетности и направляется в обязательном порядке разным органам и организациям в соответствии с действующим законодательством.

Государственная тайна — защищаемые государством сведения, создаваемые в условиях секретности в соответствии с законодательством РФ.

Коммерческая тайна (информация, составляющая коммерческую тайну) — научно-техническая, технологическая, коммерческая, организационная или иная используемая в экономической деятельности информация, включая ноу-хау. Режим защиты такой информации устанавливается законом.

Информация о гражданах (персональные данные) создается самими гражданами в их повседневной деятельности, в том числе связанной с реализацией прав и свобод (права на труд, на жилище, на отдых, медицинское обслуживание, социальное страхование, пенсионное обеспечение, па свободу слова и многое другое) и выполнением обязанностей (например, воинской обязанности) и представляется как сведения о себе (персональные данные) разным субъектам. Документированной информацией здесь являются анкеты, истории болезни, декларации о доходах, банковские записи и т.п.

Научно-юридическая информация - сведения, содержащиеся в юридических монографиях, статьях, справочниках, комментариях, докладах на юридические темы и т.п.

Можно говорить и о других основаниях классификации, проводимой для исследований информации как объекта информационных правоотношений.

 

2. Понятие о защите информационных систем

Определение персональных данных дано в Законе №152-ФЗ: «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Кроме этого, введено определение оператора персональных данных: «государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».

Согласно статье 19 ФЗ-№152, «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». С 1 января 2008 г. деятельность операторов ПД считается законной при наличии регистрации этих операторов в реестре. Но только 28 марта 2008 г. Управление по защите прав субъектов ПД Россвязькомнадзора выпустит приказ №154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных».

Рисунок 1

В октябре 2012 года зарегистрировано около 30 тыс. операторов ПД, но потенциально таким оператором может быть каждое юридическое и даже физическое лицо, работающее с ПД, а таковых в России около 7 млн. Зарегистрировать миллионы операторов в одном госреестре чрезвычайно сложно, поэтому Россвязькомнадзор принял решение о проведении регистрации по территориальному признаку — в каждом субъекте федерации.

Прежде чем приступить к обработке ПД, оператор обязан уведомить Уполномоченный орган по защите прав субъектов ПД (Управление Россвязькомнадзора) о своем намерении. В свою очередь Управление ведет реестр операторов ПД и имеет право на контроль их деятельности, вплоть до приостановления или прекращения работ, если они производятся с нарушением требований, установленных Правительством РФ.

Субъект ПД самостоятельно решает вопрос передачи кому-либо своих ПД, документально оформляя свое намерение. В соответствии со статьей 9 ФЗ-№152 обработка персональных данных осуществляется только при условии согласия в письменной форме с указанием следующих данных:

1. фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2. наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3. цель обработки персональных данных;
4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6. срок, в течение которого действует согласие, а также порядок его отзыва.

Лица, виновные в нарушении требований обработки и хранения ПД, несут гражданскую, уголовную, дисциплинарную и иную, предусмотренную законодательством РФ, ответственность.

Субъект ПД имеет право на получение сведений об операторе и информации, касающейся обработки его ПД, на доступ к своим ПД, а также на обжалование действий или бездействия оператора. Кроме того, субъект ПД может обратиться за защитой своих прав и законных интересов,  
в том числе за возмещением убытков и (или) компенсацией морального вреда в судебном порядке.

В Постановлении Правительства №781 содержится определение информационной системы персональных данных (ИСПДн): «информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств».

Это же постановление №781 возлагает на ФСТЭК и ФСБ России разработку методов и способов защиты ПД в информационных системах, а на оператора ПД — задачу обеспечения безопасности ПД и обязанность классификации ИС. Оно устанавливает, что работы по обеспечению безопасности ПД являются неотъемлемой частью работ по созданию ИСПДн, а средства защиты ПД должны пройти оценку соответствия (во ФСТЭК России и ФСБ России). Достаточность принятых мер по обеспечению безопасности ПД оценивается при проведении государственного контроля и надзора.

Для создания и внедрения системы защиты персональных данных необходима реализация комплекса мероприятий. Как правило, проект по созданию такой системы включает следующие этапы: предпроектная стадия (разработка технического задания на ИСПДн), стадия проектирования и реализации (разработка системы защиты ИСПДн), стадия ввода в эксплуатацию системы защиты (в том числе этап опытной эксплуатации ИСПДн), приемо-сдаточные испытания, а также оценка соответствия ИСПДн нормативным требованиям.

 

3. Системы шифрования информации

Правила разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию ПД при их обработке в ИС устанавливает ФСБ РФ. Целесообразность их применения выясняется на этапе определения модели угроз. Если они признаются необходимыми, то применяемые средства криптографической защиты информации (СКЗИ) должны соответствовать требованиям российского законодательства. Типовые требования в отношении информации, не содержащей секретных сведений и государственной тайны, разработаны ФСБ и предоставляются по запросу оператора ПД. По данным Perimetrix, шифрование ПД и других конфиденциальных данных в местах хранения внедрено только в 36% российских компаний.

Ни Федеральный закон, ни Постановление Правительства № 791-2007, ни нормативные документы ФСБ и ФСТЭК, к сожалению, однозначного ответа о необходимости применения СКЗИ не дают. Чтобы его получить, придется построить модель угроз безопасности персональным данным, выявить угрозы, актуальные для конкретной информационной системы с учетом класса ее защищенности, и внедрить криптографические средства защиты информации для нейтрализации угроз, против которых они оказываются действенными. Применение СКЗИ представляется очевидным в следующих ситуациях:

1. наличие территориально распределенных систем, где в качестве транспорта для передачи персональных данных служат глобальные информационные сети (Internet) и сети связи общего пользования, в которых невозможно обеспечить контроль оператора персональных данных за доступом к передаваемой информации (на транзитных узлах Internet, телефонных станциях при использовании коммутируемого доступа и т.п.);
2. вынос за пределы контролируемой территории мобильных устройств обработки персональных данных, в том числе используемых для удаленного доступа к ИСПДн (ноутбуки, КПК и т.п.). В этом случае необходимо шифровать как информацию, передаваемую по незащищенным каналам связи, так и персональные данные, хранящиеся на жестких дисках мобильных устройств, поскольку возможен несанкционированный доступ к устройствам в результате их хищения, изъятия правоохранительными органами и органами пограничного контроля, в том числе зарубежных государств, и т.п.;
3. применение многопользовательских систем персональных данных первого класса, где разграничение доступа обеспечивается исключительно шифрованием информации на дисках и управлением криптографическими ключами.