Глава II. Специальная
Приступая к обработке чужих персональных данных, помните, что в этот момент кто-то обрабатывает Ваши персональные данные.
Обеспечить защиту персональных данных усилиями только одного-двух специально назначенных сотрудников школы нельзя. Здесь необходимы усилия практически всего персонала школы. Безопасность персональных данных достигается, в частности:
определением угроз безопасности персональных данных;
оценкой и выбором уровня защищенности персональных данных;
применением организационных и технических мер защиты;
применением сертифицированных средств защиты информации;
оценкой эффективности принимаемых мер защиты;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным;
восстановлением модифицированных или уничтоженных персональных данных;
установлением правил доступа к персональным данным;
обеспечением регистрации действий, совершаемых с персональными данными;
контролем за принимаемыми мерами защиты персональных данных.
Кроме того, защита предполагает применение технических мер, поэтому могут потребоваться консультации специалистов. А так как защита информации является лицензируемым видом деятельности, то такие специалисты должны быть из организаций, имеющих лицензии на оказание услуг по защите конфиденциальной информации.
С чего начать защиту данных?
Для защиты персональных данных целесообразно создавать единую целостную систему, которая охватывает все аспекты защиты. Система защиты персональных данных включает в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в школьных информационных системах. Создание любой сложной системы, а именно таковой является система защиты персональных данных, целесообразно проводить по этапам.
Ревизия информационных ресурсов
Существует несколько факторов, влияющих на состав мер защиты:
способ обработки персональных данных;
требуемый уровень защищенности персональных данных.
Способ обработки может быть либо автоматизированный, либо без использования средств автоматизации.
Критерии, определяющие требуемый уровень защищенности персональных данных установлены Постановлением Правительства РФ.
Чтобы правильно определить состав мер защиты персональных данных, необходимо представлять кто, где и какие категории персональных данных обрабатывает в школе. Для этого целесообразно провести инвентаризацию всех информационных ресурсов36, которые могут быть в школе.
Проводим инвентаризацию ресурсов
Инвентаризация – процесс трудоемкий, но он оправдывает себя. Для проведения инвентаризации информационных ресурсов целесообразно назначить сотрудников, имеющих представление о составе школьных информационных систем и знающих какая информация может обрабатываться. Комиссия должна определить:
в каких школьных подразделениях могут находиться документы (информационные ресурсы), содержащие персональные данные;
способ обработки персональных данных (автоматизированный, не автоматизированный);
состав документов (информационных ресурсов) в которых могут находиться персональные данные и состав находящихся в них персональных данных;
категории субъектов, чьи персональные данные обрабатываются (учащиеся, родители и законные представители учащихся, учителя, обеспечивающий персонал, персонал взаимодействующих организаций и др.);
категории обрабатываемых персональных данных (специальные, биометрические, общедоступные, идентификационные, иные).
Особое внимание (но не только!) необходимо обратить на документы, обрабатываемые в таких школьных подразделениях, как:
медицинский пункт (кабинет);
канцелярия (делопроизводство);
кадровое делопроизводство;
бухгалтерия;
серверные школьных информационных систем;
преподавательские (учительские);
архивы, в том числе электронные;
библиотека.
В ходе работы комиссии надо проанализировать все возможные документы (информационные ресурсы), которые могут быть в школе на предмет наличия в них персональных данных. За основу, в этой работе можно взять Примерный перечень документов (ресурсов) обрабатываемых в образовательном учреждении, в которых могут находиться персональные данные, приведенный в Приложении № 2. Однако, это не окончательный перечень, в каждой школе могут найтись и свои специфические ресурсы, содержащие персональные данные.
Результатом работы комиссии должен стать перечень документов (ресурсов) обрабатываемых в образовательном учреждении, в которых могут находиться персональные данные. Такой перечень будет являться исходными данными для дальнейших действий по организации защиты персональных данных. Отметим, что при подготовке перечня могут возникнуть некоторые сложности. И одной из них является определения способа обработки персональных данных.
Способ обработки: автоматизированный или неавтоматизированный?
Определение способа обработки персональных данных оказывает существенное влияние на состав мер их защиты. Если при автоматизированной обработке обязательно применение тех или иных технических мер, то при неавтоматизированной – можно обойтись только некоторыми организационными мерами, что проще и дешевле. Вместе с тем, этот, казалось бы, простой вопрос на практике вызывает много споров. Определения способов обработки, данные в нормативных актах, запутанны и противоречивы. При этом, сам по себе факт использования в процессе обработки персональных данных средств автоматизации не всегда является критерием отнесения этого процесса к тому или ному способу.
С одной стороны нормативными актами определено, что обработка персональных данных, содержащихся в информационной системе либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека, а сами персональные данные отделены от другой информации (путем фиксации их на отдельных материальных носителях, в специальных разделах или полях форм). Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе либо были извлечены из нее37. Исходя из этого, некоторые организации полагают, что всю обработку персональных данных можно отнести к неавтоматизированной, поскольку во всех случаях имеется факт «обработки при непосредственном участии человека». Дело в том, что почти во всех операциях по обработке персональных данных в информационных системах участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка станет автоматизированной (хранение персональных данных это действие, которое относится к их обработке, а хранение в памяти компьютера – это использование средств автоматизации для обработки). Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию школы. Проще говоря, обработка персональных данных будет являться неавтоматизированной при условии, что компьютер используется в качестве «пишущей машинки», а набранные с его помощью тексты, содержащие персональные данные, распечатаны на листе бумаги (материальном носителе), при условии что они не будут сохранены в памяти компьютера. Если же такие документы сохранены в виде файла в памяти компьютера, то в этом случае нужно рассматривать такие действия как автоматизированную обработку персональных данных.
С другой стороны, нормативные акты устанавливают, что если обработка персональных данных без использования средств автоматизации соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях38, то такая обработка признается равнозначной автоматизированной со всеми вытекающими отсюда последствиями.
Определив способ обработки тех или иных информационных ресурсов в школе, необходимо выделить те, обработка которых осуществляется неавтоматизированными способами. Защита этих ресурсов будет проводиться организационными методам о которых мы поговорим позже.
Для остальных ресурсов, которые обрабатываются с использованием средств автоматизации (автоматизированная обработка) необходимо определить требуемый уровень защищенности. Для этого надо выделить категории персональных данных, подлежащих обработке и на их основе определить тип информационной системы.
Определяем тип информационных систем
Для определения требуемого уровня защищенности, в зависимости от категории персональных данных выделяются следующие типы информационных систем:
обрабатывающие специальные персональные данные;
обрабатывающие биометрические персональные данные;
обрабатывающие общедоступные персональные данные;
обрабатывающие иные категории персональных данных;
обрабатывающие обезличенные данные;
обрабатывающие персональные данные только сотрудников оператора;
обрабатывающие персональные данные субъектов, не являющихся сотрудниками оператора.
Информационная система считается информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней для целей идентификации субъекта обрабатываются сведения, которые характеризуют его физиологические и биологические особенности, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов, полученные только из общедоступных источников персональных данных.
Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные выше. К этому типу информационных систем относятся и информационные системы, обрабатывающие идентификационные персональные данные.
Информационная система является информационной системой, обрабатывающей обезличенные данные, если перед вводом в информационную систему персональные данные прошли процедуру обезличивания и в самой информационной системе отсутствуют идентификационные персональные данные.
Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях считается, что информационная система, обрабатывает персональные данные субъектов, не являющихся сотрудниками оператора. Для школ характерно то, что их информационные системы, как правило, относятся к информационным системам, обрабатывающим персональные данные субъектов персональных данных, не являющихся сотрудниками оператора. Это объясняется тем, что учащиеся, чьи персональные данные обрабатываются на ряду с персональными данными учителей, не относятся к персоналу школы.
Формируем перечень обрабатываемых персональных данных
Результатом, завершающим этап ревизии информационных ресурсов, является формирование Перечня персональных данных, обрабатываемых в образовательном учреждении. Жестких требований к такому перечню – нет, поэтому он оформляется в любой произвольной форме. Вместе с тем, в этом перечне целесообразно отразить:
подразделение школы, где обрабатываются персональные данные;
помещения школы в которых хранятся и обрабатываются персональные данные;
состав ресурсов (документов), содержащих персональные данные;
цели обработки персональных данных;
состав обрабатываемых персональных данных;
категория обрабатываемых персональных данных;
способ обработки персональных данных;
тип информационной системы (при автоматизированной обработке);
состав лиц, допущенных к обработке персональных данных (по должности).
Определяем уровень защищенности персональных данных
В школе могут быть несколько обособленных или взаимосвязанных информационных систем, обрабатывающих персональные данные. Например, информационная система бухгалтерии (на базе программы 1С), информационная система, обеспечивающая работу школьного сайта, специальные информационные системы (Школьный офис, Карта учащегося, База данных ЕГЭ) и пр. Эти информационные системы могут объединять несколько средств обработки (компьютеры, серверы, принтеры) или состоять только из одного рабочего места (компьютера). Но для каждой информационной системы необходимо выбрать требуемый уровень защищенности персональных данных. Выделяются четыре основных критерия39, определяющие требуемый уровень защищенности персональных данных:
категория обрабатываемых персональных данных (тип информационной системы);
объем обрабатываемых персональных данных;
тип угроз персональным данным;
принадлежность обрабатываемых данных к сотрудникам оператора.
Алгоритм действий по выбору требуемого уровня защищенности и таблица выбора уровней защищенности персональных данных в соответствии с этими критериями приведена в Приложениях № 4 и № 5.
Как определить категорию обрабатываемых персональных данных (тип информационной системы) и принадлежность обрабатываемых данных к сотрудникам оператора мы рассмотрели выше.
Относительно объема обрабатываемых персональных данных Постановление Правительства РФ устанавливает граничное значение, влияющее на требуемый уровень защищенности, в 100 000 записей о субъектах. В школе вряд ли будут обрабатываться персональные данные более, чем 100 000 субъектов. Поэтому, при выборе этого критерия проблем не возникает.
Таким образом, для определения требуемого уровня защищенности персональных данных, обрабатываемых в школьных информационных системах остается разобраться с типом угроз. Отметим, что определение типа угроз безопасности персональных данных, актуальных для информационной системы, является прерогативной оператора, который проводит эту работу с учетом оценки возможного вреда субъекту персональных данных40.
Типы угроз безопасности персональным данным.
Правительством РФ установлены три типа угроз:
Угрозы 1-го типа – связаны с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа – связаны с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа – не связаны с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Видно, что тип угроз напрямую зависит от наличия так называемых недокументированных (недекларированных) возможностей в программном обеспечении.
С типом программного обеспечения разобраться просто. Под системным программным обеспечением понимается комплекс программ, которые обеспечивают управление компонентами компьютерной системы, такими как процессор, оперативная память, устройства ввода-вывода, сетевое оборудование. Оно является, своеобразным интерфейсом между компьютером и прикладными программами (приложениями). Как правило, к системному программному обеспечению относятся операционные системы, специальные утилиты (дефрагментаторы, утилиты работы с реестром, утилиты очистки памяти и пр.), системы программирования (ассемблеры, компиляторы, компоновщики, отладчики и пр.), системы управления базами данных. Прикладное программное обеспечение (приложение) – это программа, предназначенная для выполнения определенных пользовательских задач и рассчитанная на непосредственное взаимодействие с пользователем. Прикладные программы не могут обращаться к ресурсам компьютера напрямую, а взаимодействуют с оборудованием посредством операционной системы. К этому типу программного обеспечения относятся компьютерные программы, написанные для пользователей или самими пользователями для решения практических задач (текстовые и графические редакторы, мультимедийные программы, гипертекстовые программы, компьютерные игры и пр.) В отличие от прикладного, системное программного обеспечения не решает конкретные практические задачи, а лишь обеспечивает работу других программ, предоставляя им сервисные функции и управляет аппаратными ресурсами вычислительной системы.
Гораздо сложнее разобраться с наличием недокументированных (недекларированных) возможностей, так как это специальное понятие, используемое в профессиональной среде защитников информации.
Что такое недекларированные возможности программного обеспечения?
Нормативные документы определяют недекларированные возможности, как функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности информации41. Например, специальные комбинации клавиш сотовых телефонов, открывающие доступ к инженерным или диагностическим меню (команда ӿ#06#, которая позволяет получить доступ к идентификационным данным телефона или его конфигурации).
К сожалению, очень часто под недокументированными (недекларированными) возможностями понимают уязвимость программного обеспечения. Но понятие уязвимости гораздо шире, чем понятие недекларированные возможности. Уязвимость принадлежит системе в целом, а не программному обеспечению в частности и может возникнуть в результате ошибок программирования и проектирования информационной системы, использования ненадежных паролей, вирусных атак и применения других вредоносных программ. Недекларированные возможности могут служить уязвимостью, но не всякая уязвимость обусловлена ими.
Неправомерные действия с информацией могут совершать либо субъекты (санкционированные пользователи), имеющие легальный доступ к информации, но превышающие свои права, либо субъекты (несанкционированные пользователи), не имеющие легального доступа к информации, но стремящиеся получить такой доступ для достижения своих преступных целей, в том числе и имеющих желание самовыразиться или потешить свое самолюбие. При этом, злоумышленнику надо решить сразу две задачи: найти способ как проникнуть в информационную систему и найти способ как воспользоваться недекларированными возможностями. Он должен иметь высокую квалификацию и иметь доступ к материалам, описывающим недекларированные возможности. Использовать недекларированные возможности «в слепую» вряд ли кто-то будет. Использовать такой механизм добывания информации в силу сложности его реализации будут в случае, если надо получить какие-то конкретные персональные данные о каком-то конкретном субъекте. В противном случае это экономически не оправдано.
При оценке актуальности угроз учтем следующее:
Для получения общедоступных персональных данных вряд ли будут использоваться недекларированные возможности программного обеспечения. Их можно получить из открытых источников не прибегая ни к каким хитростям.
Биометрические персональные данные для целей идентификации обрабатываются не во всех организациях и с использованием специального программного обеспечения. Такое программное обеспечение, как правило, написано под заказ и проходит строгий выходной контроль. Наличие недекларированных возможностей в таком программном обеспечении маловероятно.
Обработка специальных категорий персональных данных – явление редкое.
Таким образом, для оценки актуальности угроз, которые могут быть реализованы с использованием недекларированных возможностей, прежде всего надо оценивать важность самой информации (персональных данных), а так же квалификацию и возможности злоумышленника.
Как оценить вред субъекту?
Это, пожалуй, самый сложный вопрос. Закон устанавливает42, что оценка вреда производится в целях определения соотношения вреда субъекту и принимаемых оператором мер защиты. Формально размер потенциального вреда должен влиять на требуемый уровень защищенности персональных данных и чем выше потенциальный вред, тем более строгие меры защиты обязан принимать оператор. Вместе с тем, к сожалению, в настоящее время никакой единой методологии оценки вреда и определения влияния его размера на состав принимаемых оператором мер защиты персональных данных, нет.
Поэтому оценку степени возможного вреда, который может быть причинён субъекту в результате нарушения свойств безопасности персональных данных (конфиденциальности, целостности, доступности) целесообразно проводить экспертным методом комиссионно (внутренней комиссией) на основании качественных экспертных оценок в зависимости от степени возможных негативных последствий для субъектов по следующей качественной (вербальной) шкале:
значительный вред – при возникновении значительных негативных последствий;
средний вред – при возникновении умеренных негативных последствий;
незначительный вред – при возникновении незначительных негативных последствий;
отсутствие вреда – при отсутствии негативных последствий.
Оценка вреда проводится относительно каждого информационного ресурса, установленного в ходе инвентаризации. При этом, вначале определяется нарушение каких свойств безопасности может причинить вред, а затем определяется степень вреда. Например, имеются информационные ресурсы, содержащие паспортные данные учителей. Несанкционированное разглашение (нарушение конфиденциальности) этих сведений может повлечь за собой их использование для получения злоумышленником кредита в банке или совершения иного противоправного действия, что может причинить значительный ущерб субъекту. Вместе с тем, искажение в записи паспортных данных (нарушение целостности) или задержка в получении необходимых сведений (нарушение доступности) не принесет существенного вреда субъекту. Таким образом, ресурсы, содержащие паспортные данные учителей, критичны к нарушению конфиденциальности, что приводит к значительному вреду для субъекта и мало критичны к нарушению целостности и доступности, что может привести к незначительному вреду или полному его отсутствию для субъекта. С другой стороны, для ресурсов, содержащих текущие оценки деятельности учеников, разглашение содержащихся в них сведений (нарушение конфиденциальности) не принесет существенного вреда субъекту, искажение нескольких оценок (нарушение целостности) может привести к неправильной годовой оценке деятельности ученика и тем самым причинить ему вред средней тяжести. Поэтому такие ресурсы критичны к нарушению целостности, что может привести к среднему вреду субъекту и не критичны к нарушению конфиденциальности, не влекущей никакого ущерба для субъекта.
Результаты работы комиссии по оценке возможного вреда отражаются в Перечне персональных данных, обрабатываемых в образовательном учреждении, добавляя в него следующие графы для каждого ресурса:
критичные свойства безопасности (конфиденциальность, целостность, доступность);
оценка возможного вреда от нарушения критичных свойств.
Оценка возможного вреда не может повлиять на выбор типа угроз, но учитывается при определении актуальности угроз и при выборе мер защиты. Так, отсутствие вреда субъекту при реализации той или иной угрозы относительно критичных свойств безопасности, может явиться причиной признания ее не актуальной и, следовательно, сокращению количества мер защиты. А наличие незначительного вреда субъекту при реализации угрозы – основанием для замены рекомендованных мер защиты более простыми компенсирующими мерами.
Пример выбора требуемого уровня защищенности персональных данных.
Разберем ситуацию на примере обычной среднестатистической школы43 и таблицы выбора уровней защищенности персональных данных, приведенной в Приложении № 5. Положим в школе имеется информационная система, которая обрабатывает персональные данные постоянного состава (учителей) для целей исполнения трудовых отношений и информационная система обрабатывающая персональные данные переменного состава (школьников) для целей обеспечения учебного процесса.
В первой информационной системе (учителя) обрабатываются: паспортные данные, ИНН, СНИЛС, сведения об образовании, квалификации и наличии специальных знаний, анкетные данные, сведения о малолетних детях, сведения о состоянии здоровья (инвалидность, беременность), трудовой договор, копии приказов о назначении, форма Т-2, заявления, результаты аттестации. Видно, что данная информационная система обрабатывает только персональные данные сотрудников оператора. Перечень показывает, что биометрические персональные данные для идентификации учителей не используются. Есть, конечно специальные персональные данные (о состоянии здоровья учителя и его родственников), но вероятность, что для получения этих сведений будут применяться методы, основанные на использовании недекларированных возможностей системного и прикладного программного обеспечения – весьма мала в силу незначительности степени возможного вреда субъекту. Для данной информационной системы актуальны угрозы только 3-го типа. Таким образом, для данной информационной системы требуется 3 (специальные категории персональных данных и биометрические персональные данные) или 4 (общедоступные и иные категории персональных данных) уровни защищенности персональных данных.
Во второй информационной системе (школьники): обрабатываются сведения, из документов удостоверяющих личность школьника, сведения о составе семьи, паспортные данные родителей, номер полиса медицинского страхования, сведения о состоянии здоровья, сведения о праве на дополнительные гарантии и компенсации, предусмотренные законом. Можно с уверенностью сказать, что число учащихся в среднестатистической школе менее 100 000 человек. Также видно, что биометрические данные для идентификации личности школьника не используются. Получается, что за исключением сведений о состоянии здоровья, приведенные персональные данные можно отнести к «иным» персональным данным. Для таких информационных систем актуальны угрозы 3-го типа и, соответственно, требуется 4 уровень защищенности персональных данных. Со сведениями о состоянии здоровья школьника для среднестатистической школы также проблемы нет. Использовать недекларированные возможности программного обеспечения для получения таких сведений гораздо дороже, чем обыкновенный и тривиальный подкуп школьной медсестры. Поэтому и для этой категории персональных данных актуальны угрозы 3-го типа (и, может быть, в редких случаях, угрозы 2-го типа). Поэтому и в данном случае можно считать, что требуется 3 уровень защищенности персональных данных.
Это, конечно, весьма грубая оценка актуальности угроз. Более точную картину можно будет получить, когда появятся отраслевые модели актуальных угроз. Но и такая оценка показывает, что для персональных данных, обрабатываемых в школьных информационных системах, как правило, требуется 3 уровень защищенности персональных данных при обработке специальных категорий персональных данных и биометрических персональных данных и 4 уровень защищенности при обработке общедоступных и иных категорий персональных данных. И только в некоторых конкретных случаях, в зависимости от реальных условий, требуемый уровень защищенности может быть и повышен.
|
