Публикации

Разработка комплексных систем защиты информации

Разработка, внедрение и сопровождение комплексных систем защиты секретной, конфиденциальной и служебной информации, персональных данных в информационно-телекоммуникационных системах (автономный компьютер или локальная сеть).

 

По закону Украины «О защите информации в информационно-телекоммуникационных системах» информация, которая является собственностью государства, или информация с ограниченным доступом, требование относительно защиты которой установлено законом, должна обрабатываться в системе с применением комплексной системы защиты информации (КСЗИ) с подтвержденным соответствием.

КСЗИ в ИТС – это совокупность организационных и инженерно-технических мероприятий, программно-аппаратных средств, которые обеспечивают защиту информации в соответствии с нормативно-правовыми документами в отрасли защиты информации и позволяют обрабатывать в ИТС информацию, к которой в соответствии с ее назначением, правового статуса и грифа ограничения доступа выдвигаются требования по обеспечению ее конфиденциальности, целостности и доступности, в ходе обработки ее в ИТС.

Разработка, внедрение и сопровождение комплексных систем защиты, в ИТС – один из основных видов деятельности ООО НИИ «Автопром». Проектирование КСЗИ в ИТС осуществляется как с вырастанием средств защиты информации от несанкционированного доступа собственного производства Лоза™-1 и Лоза™-2, так и других средств защиты информации, что имеют соответствующие экспертные выводы, выданные Госспецсвязи Украины. Разработка и внедрение КСЗИ в в ИТС включает такие основные этапы:

-  обследование объекта информационно телекоммуникационной системы класса «1» (отдельный компьютер) или классу «2» (локальная сеть) и формирование акта обследования;

- разработка технического задания на КСЗИ, согласование его из Госспецсвязи Украины (в случае необходимости);

- проектирование КСЗИ (разработка технического, рабочего или техно-рабочего проекта);

- разработка организационных документов и подготовка предписывающих документов, необходимых для создания и внедрения КСЗИ (приказы, акты и тому подобное);

- внедрение КСЗИ (приобретение и установление средств защиты информации, налаживания системы защиты информации и проведения испытаний, подготовка эксплуатационной документации, формуляра, на АС, учеба пользователей но др.);

- оценка защищенности информации от истока каналом ПЕМВН, разработка программы и методики испытаний КТЗИ, аттестация КТЗИ, в случае, когда защите подлежит информация 2 или 3 категории;

- сопровождение КСЗИ на этапе проведения государственной экспертизы. Деятельность относительно технической защиты информации осуществляется ООО НИИ «Автопром» на основании Лицензии Администрации государственной службы специальной связи и защиты информации на предоставление услуг в отрасли технической защиты информации (оценивание защищенности информации) за № 572268 Серия АГ от 23.09.2011 г. ООО НИИ «Автопром» выполняет работы относительно создания КСЗИ в ИТС, в которых функционирует информация, которая составляет государственную тайну, согласно Специальному разрешению на осуществление деятельности, связанной с государственной тайной, от 11.03.2011 № КИ2 2011 24, выданным Управлением СБУ в г. Киеве.

При необходимости, специалисты ООО НИИ «Автопром» разрабатывают и внедряют специализированные комплексные системы защиты информации, которые учитывают особенности работы с данными. Такие системы внедрены в Министерстве экономического развития и торговли Украины и в Научно-исследовательском экономическом институте.

Наши проекты относительно разработки и внедрения КСЗИ реализованы в Секретариате Президента Украины, Министерстве экономического развития и торговли Украины, Министерстве аграрной политики и продовольствия Украины, Компании «Укрнафта», и на ее дочерних предприятиях, Государственной налоговой администрации, судах Украины, органах прокуратуры Украины, таможнях Украины, аэропорта, «Борисполь», НАК «Нефтегаз Украины», а также в других органах исполнительной власти и предприятиях Украины.

Специалисты нашего предприятия предоставят услугу относительно разработки, внедрения и сопровождения комплексной системы защиты информации в ИТС, построенной на базе одного компьютера или локальной сети не только согласно требованиям нормативно законодательных документов по вопросам ТЗИ, но и с учетом технологии проработки данных любого уровня конфиденциальности, пожеланий заказчика, относительно удобств в работе и сохранением процессов, действующих у заказчика.

За справками и разъяснениями обращайтесь по телефону: (044) 502-49-44 (Ирина Анатольевна).

Защита конфиденциальной информации - персональных данных

Некоторые вопросы практического применения
Закона Украины «О защите персональных данных».


  1. Правовые принципы защиты персональных данных.
  1.1. В 2005 году Украина ратифицировала Конвенцию 1981 года Совета Европы № 108 «О защите лиц в связи с автоматизированной обработкой персональных данных». Среди основных обязательств государства по данной Конвенции есть также принятие нормативно-правовых актов, которые должны способствовать защите персональных данных. В связи с этим Верховной Радой Украины 01.06.2010 года был принят Закон Украины «О защите персональных данных», который определил:
  понятие персональных данных – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано (например: информация о наёмном работнике является базой персональных данных, поскольку личное дело, трудовые книжки, копии паспорта, документов об образовании хранятся и обрабатываются работодателем);
  понятие владелец базы персональных данных – физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных дано право на обработку этих данных, которое  утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуру их обработки, если другое не определено законом;
  понятие распорядитель базы персональных данных – физическое или юридическое лицо, которое является владельцем базы персональных данных, или по закону имеет право обрабатывать эти данные;
  - необходимость регистрации базы персональных данных в Государственном реестре баз персональных данных;
  - требования к обработке персональных данных владельцами и распорядителями баз персональных данных, как общие требования к организационным и техническим мероприятиям по защите персональных данных во время их обработки в базе персональных данных (согласие субъекта персональных данных, порядок использования и распространения персональных данных и порядок доступа к персональным данным третьих лиц и др.);
  - необходимость контроля за соблюдением законодательства о защите персональных данных,
  - ответственность за нарушение законодательства о защите персональных данных.
  1.2.З. Целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями, организациями, независимо от форм их собственности, требований Закона Украины «О защите персональных данных» Верховной Радой Украины:
  - принят Закон Украины «О внесении изменений в некоторые законодательные акты в Украине об усилении ответственности за нарушения законодательства о защите персональных данных» № 3454-VI от 2 июня 2011 года;
  - внесены изменения в Кодекс Украины об административных правонарушениях.
 
   2. Регистрация баз персональных данных.
  2.1. База персональных данных подлежит государственной регистрации путём внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.
  2.2. Регистрация  баз  персональных  данных осуществляется по заявочному принципу путём уведомления.
  2.3. Заявка о регистрации базы персональных данных подаётся владельцем базы персональных данных в уполномоченный государственный орган по вопросам защиты персональных данных.
Заявка должна содержать:
  - обращение о внесении базы персональных данных в Государственный реестр баз персональных данных;
  - информацию о владельце базы персональных данных;
  - информацию о наименовании и местонахождении базы персональных данных;
  - информацию о цели обработки персональных данных в  базе персональных данных;
  - информацию о других распорядителях базы персональных данных;
  - подтверждение обязательств относительно исполнения требований защиты персональных  данных,  установленных законодательством про защиту персональных данных.
  2.4. Уполномоченный государственный орган по вопросам защиты персональных данных в порядке, утвержденном Кабинетом Министров Украины:
  - сообщает заявителю не позднее следующего рабочего дня с дня поступления заявки о её получении;
  - принимает решение  о  регистрации базы персональных данных на протяжении десяти рабочих дней с дня поступления заявки.
  Владельцу базы персональных  данных  выдаётся  документ установленного образца о регистрации базы персональных данных в Государственном реестре баз персональных данных.
  2.5. Уполномоченный Государственный орган по вопросам защиты персональных данных отказывает в регистрации базы персональных данных, если заявка о регистрации не отвечает установленным требованиям.
  2.6. Владелец базы персональных данных обязан оповещать уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем на протяжении десяти рабочих дней со дня наступления таких изменений.
  2.7. Уполномоченный Государственный орган по вопросам защиты персональных данных на протяжении десяти рабочих дней со дня поступления сообщения об изменении сведений, необходимых для регистрации соответствующей базы, должен принять решение относительно указанных изменений и сообщить об этом владельцу базы персональных данных.
 
  3. Порядок обработки персональных данных в базах персональных данных.
  3.1. Порядок обработки персональных данных устанавливает общие требования к организационным и техническим мероприятиям защиты персональных данных во время их обработки в базах персональных данных владельцами и распорядителями баз персональных данных. Обработка персональных данных может совершаться полностью или частично в информационной (автоматизированной) системе и/или в форме картотеки персональных данных.
  3.2. Защита персональных данных возлагается на владельца базы персональных данных. Распорядитель базы персональных данных осуществляет обработку персональных данных согласно закону или на основании заключённого с владельцем базы персональных данных договора в письменной форме с целью и в объёме, определёнными договором. На действия владельца и/или распорядителя базы персональных данных  распространяются все требования относительно защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним.
  3.3. Владелец или распорядитель базы персональных данных даёт субъекту персональных данных информацию о цели обработки персональных данных до момента получения согласия от субъекта персональных данных.
  3.4. Владелец базы персональных данных сохраняет персональные данные в срок не более, чем это необходимо согласно цели их обработки, если другое не предусмотрено законодательством.
  3.5. Владелец базы персональных данных определяет:
  - цель обработки, состав персональных данных в базе персональных данных и её местонахождение;
  - порядок внесения изменений, обновлений, использование, распространение, обезличение, уничтожение персональных данных в базе персональных данных;
  - ответственное лицо или структурное подразделение;
  - порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним.
  3.6. Ответственное лицо или структурное подразделение согласно возложенным заданиям:
  - обеспечивает ознакомление работников владельца и распорядителя базы персональных данных с требованиями законодательства о защите персональных данных, в частности относительно их обязанности не допускать разглашения любым способом персональных данных, которые им были доверены, или которые стали им известны в связи с выполнением служебных,  профессиональных или трудовых обязанностей;
  - обеспечивает организацию обработки персональных данных работниками владельца и распорядителя базы персональных данных соответственно их профессиональным, служебным или трудовым обязательствам в объёме, необходимом для исполнения таких обязанностей;
  - организовывает работу по обработке запросов относительно доступа к персональным данным субъектов отношений, связанных с обработкой персональных данных;
  - обеспечивает доступ субъектов персональных данных к собственным персональным данным;
  - информирует руководителя владельца и распорядителя базы персональных данных о мероприятиях, необходимых для приведения состава персональных данных и процедуры их обработки в соответствие закону;
 - информирует руководителя владельца и распорядителя базы персональных данных о нарушениях установленных процедур по обработке персональных данных.
  3.7. Владелец базы персональных данных ведет учёт:
  - фактов предоставления и лишения работников права доступа к персональным данным и их обработке;
  - попыток и фактов несанкционированных и/или незаконных действий по обработке персональных данных.
  3.8. Владелец базы персональных данных может размежевать режимы доступа работников к обработке персональных данных в базе персональных данных в соответствии с их профессиональными, трудовыми или служебными обязанностями.
  3.9. Уничтожение персональных данных осуществляется способом, исключающим последующую возможность восстановления таких персональных данных.
  3.10. Владелец базы персональных данных обрабатывает персональные данные в составе информационной (автоматизированной) системы, в которой обеспечивается защита персональных данных от незаконной обработки, а также от незаконного доступа к ним в соответствии с требованиями закона Украины «О защите персональных данных» и согласно требованиям нормативно-законодательных актов по вопросам технической защиты информации.

  4. Обеспечение защиты персональных данных в информационной (автоматизированной) системе.
  4.1. Владелец базы персональных данных должен создать условия для защиты в информационной (автоматизированной) системе персональных данных и обеспечить защиту этих персональных данных от незаконной обработки, а также от незаконного доступа к ним.
  4.2. Условия для защиты персональных данных зависят от конкретных реальных угроз, природы персональных данных, которые обрабатываются, технологии обработки информации и типа информационной системы, в рамках которой обрабатываются персональные данные.
  4.3. Обеспечение условий для защиты в информационной (автоматизированной) системе персональных данных не решается реализацией определённой совокупности мероприятий, а является постоянным процессом, который включает:
  - разработку политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним, исходя из характеристик деятельности организации, целей, процессов и процедур, существенных для управления риском нежелательных событий относительно обработки персональных данных с учётом серьёзности последствий таких нежелательных событий. Политика защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним должна быть согласована с общей политикой информационной безопасности организации и с контекстом стратегического управления рисками организации;
  - внедрение политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним и обеспечения функционирования мероприятий, процессов и процедур защиты персональных данных;
  - оценивание и, по возможности, измерение производительности процессов защиты персональных данных согласно принятой политике, целям и практическому опыту, подготовка предложений относительно корректирующих мероприятий;
  - употребление корректирующих и предохранительных действий относительно защиты персональных данных на основании результатов внутренних проверок, периодический пересмотр политики защиты персональных данных, постоянное усовершенствование мероприятий;
  4.4. В случае, когда обработка персональных данных осуществляется в информационной (автоматизированной) системе, создаётся комплексная система защиты информации в соответствии с Правилами обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах, утвержденными Постановлением Кабинета Министров Украины от 29 марта в 2006 г. N 373.
  4.5. Комплексная система защиты информации обеспечивает защиту персональных данных от незаконной обработки, а также от незаконного доступа к ним в соответствии с планом защиты информации в системе, который содержит:
  - задание защиты персональной информации, классификации персональной информации, описание особенностей технологии обработки информации;
  - модель угроз для персональных данных в системе;
  - требования относительно защиты персональных данных и правила доступа к ним;
  - перечень документов, согласно которым осуществляется защита информации в информационной системе.
  4.6. Для защиты персональных данных важно, чтобы организационные мероприятия и используемые средства защиты, которые определяют уровень защиты, отвечали реальным конкретным угрозам, данным, которые обрабатываются, и процессам, обработки данных, которые выполняются. Должны браться во внимание вероятные риски нежелательных событий и серьезность последствий таких нежелательных событий. Чем выше риски, тем более строгие мероприятия защиты должны быть реализованы.
  4.7. Если обработка персональных данных осуществляется в информационной (автоматизированной) системе, в которой создаётся комплексная система защиты информации, оценка рисков нежелательных событий для персональных данных, которые обрабатываются в автоматизированной системе, является составной частью оценки рисков в соответствии с рекомендациями согласно нормативному документу НД ТЗИ 1.1-002-99 "Общие положения относительно защиты информации в компьютерных системах от несанкционированного доступа". Утверждено приказом ДСТСЗИ СБ Украины от 28.04.1999 № 22.
  4.8. К основным факторам, которые влияют на уровень требуемой защиты, относятся:
  - внимание, уделяемое обществом к обрабатываемым данным;
  - уровень осведомленности персонала владельца и/или распорядителя базы персональных данных относительно информационной безопасности, защиты персональных данных, уважения к авторским правам, и тому подобное;
  - тип информационно-телекоммуникационной системы, в рамках которой обрабатываются персональные данные.

  5. Обработка персональных данных в форме картотек.
  5.1. Владелец базы персональных данных осуществляет обработку персональных данных в картотеках в порядке, описанном в разделе 4, с учётом таких требований:
  - документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
  - дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных;
  - картотеки хранятся в помещениях (шкафах, сейфах), защищённых от несанкционированного доступа.
  5.2. Двери в помещениях (шкафах, сейфах) должны быть оборудованы замком или контролем доступа.

  6. Ответственность за нарушение законодательства о защите персональных данных.
  6.1.  С целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями, организациями независимо от форм собственности требований Закона Украины «О защите персональных данных», Верховной Радой Украины 2 июня 2011 года принят Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» № 3454-VI, которым внесены изменения в Кодекс Украины об административных нарушениях.
  6.2. 1 июля 2012 года за нарушения в сфере защиты персональных данных на граждан, должностных лиц, граждан – субъектов предпринимательской деятельности возлагается административная ответственность.
  6.3. Административная ответственность граждан, должностных лиц, граждан – субъектов предпринимательской деятельности может наступать за следующие виды деяний:
  - несообщение или несвоевременное сообщение субъекту персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цель сбора этих данных и лиц, которым эти данные передаются, тянет за собой наложение штрафа от 3400 до 6800 грн.,
  - несообщение или несвоевременное сообщение специально уполномоченному центральному органу исполнительной власти по вопросам защиты персональных данных об изменении сведений, которые подаются для государственной регистрации базы персональных данных влечет за собой наложение штрафа от 1700 до 6800 грн.,
  - уклонение от государственной регистрации базы персональных данных влечет за собой наложение штрафа от 5100 до 17000 грн.,
  - несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, приведшее к незаконному доступу к ним, влечет за собой наложение штрафа от 5100 до 17000 грн.
  6.4. Незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации, караются:
  - штрафом от 8500 до 17000 грн. или
  - исправительными работами сроком до двух лет, или
  - арестом сроком до шести месяцев, или ограничением свободы сроком до трех лет.
  Те же действия, совершенные повторно, или если они нанесли существенный вред охраняемым законом правам, свободам и интересам лица, - караются:
  - арестом на срок от трех до шести месяцев или
  - ограничением свободы на срок от трех до  пяти  лет,
  - лишением свободы на тот же срок.

  7. Создание условий работы с персональными данными на предприятии.
  7.1. С момента принятия Закона Украины «О внесении изменений в некоторые законодательные акты  Украины  усиления  ответственности  за  нарушение законодательства  о  защите  персональных  данных» № 3454-VI от 2 июня 2011 года нормы Закона Украины «О защите персональных данных» перестают быть сугубо декларативными, а превращаются в действенный правовой инструмент в руках государства, так как нарушение законодательства в сфере защиты персональных данных ведёт к административной или уголовной ответственности.
  7.2. Во исполнение требований Закона Украины «О защите персональных данных» и с целью недопущения правонарушений в сфере защиты персональных данных на предприятии необходимо создать систему управления персональными данными, которая соединит организационные и технические мероприятия по созданию условий работы с персональными данными.
  7.3. На этапе создания системы управления персональными данными на предприятии необходимо осуществить такие организационные мероприятия:
  - определить цель обработки и состав персональных данных в базе персональных данных. Как правило, на предприятии может быть три базы персональных данных – база работников, база контрагентов (клиентов),  база основателей;
  - разработать и утвердить Порядок обработки персональных данных в базах персональных данных предприятия;
  - назначить отдельного исполнителя или структурное подразделение, ответственное за сведения, содержащие персональные данные, которые обеспечат создание и функционирование на предприятии комплексной системы защиты информации в информационной (автоматизированной) системе от незаконной обработки и незаконного доступа, а также контроль за выполнением требований законодательства относительно защиты персональных данных;
  - провести регистрацию баз персональных данных, функционирующих на предприятии, в Государственном реестре баз персональных данных;
  - обеспечить оформление письменного согласия субъектов персональных данных на обработку их персональных данных в базах персональных данных предприятия в случае создания условий относительно защиты информации;
  - обеспечить оформление письменного обязательства работников предприятия не допускать разглашения персональных данных, которые им доверены или которые стали им известны в связи с выполнением профессиональных и трудовых отношений;
  - создать комплексную система защиты информации, обеспечивающую защиту персональных данных в информационной (автоматизированной) системе;
  - разработать и утвердить необходимые положения, инструкции и другие предписывающие документы, в соответствии с которыми будет обеспечиваться защита персональных данных в базах персональных данных предприятия.
  7.4. Создание комплексной система защиты информации, которая обеспечит защиту персональных данных в информационной (автоматизированной) системе от незаконной обработки, а также от незаконного доступа к ним осуществляется в соответствии с Правилами обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах, утверждённых Постановлением Кабинета Министров Украины от 29 марта 2006 г. № 373 и другими нормативно-законодательными документами в сфере технической защиты информации.

Subscribe to Front page feed