В.Н. ЛЕБЕДЕВ,
заместитель начальника кафедры информационных технологий управления органами внутренних дел,
кандидат технических наук (Академия управления МВД России)
S H
и о X
л
<
и
H
к
:'5 О X
Л
<
и
H
s
X
<
а
X О О
са <
а
С
<
а s н
¡Ü
<
а С
к S а
О и н
38
V.N. LEBEDEV,
Deputy Head of the Department of Information Technology of Law Enforcement Agencies Management,
PhD in Technical Sciences (the Academy of Management of the Interior Ministry of Russia)
УДК 351
Система технической защиты персональных данных в органах внутренних дел Российской Федерации: основные положения и элементы
System of technical protection of personal data in the law enforcement agencies of the Russian Federation: fundamental principles and elements
В статье рассматриваются вопросы обеспечения безопасности персональных данных в органах внутренних дел (далее - ПДн).
Персональные данные, информационная система персональных данных, защита персональных данных, система защиты персональных данных, организация защиты персональных данных, носители информации, способы, техника и средства защиты персональных данных.
The article examines the issues of providing personal data protection in the law enforcement agencies (hereinafter referred to as PDn).
Personal data, personal data information system, protection of personal data, the system of protection of personal data, providing protection of personal data, data storage devices, engineering, means and methods of data security.
В соответствии со ст. 17 Федерального закона РФ «О полиции» от 7 февраля 2011 г. сотрудники полиции имеют право обрабатывать необходимые данные с последующим внесением полученной информации в банки данных [3]. Обработка таких данных необходима в целях выполнения возложенных на полицию обязанностей.
Вместе с тем само понятие «данные о гражданах» не имеет законодательного закрепления, однако на основе положений, закрепленных в ст. 24 Конституции РФ, а также в других нормативных правовых актах [1, 2, 5], здесь имеется в виду прежде всего информация о частной жизни, личной и семейной тайне, персональных данных [12].
Применительно же к деятельности полиции понятие «данные о гражданах» полностью отождествляется с ПДн граждан, поскольку данные представляются в качестве информации, неразрывно связанной с личностью ее обладате-
ля, относящейся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПДн) [2].
Министерство внутренних дел Российской Федерации является оператором, организующим и осуществляющим обработку ПДн [8], и оно обязано принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, а также от иных неправомерных действий в отношении данных сведений [2, 6, 9].
Законом установлено, что перечень мер, направленных на выполнение своих обязанностей, связанных с обработкой ПДн государственными органами, устанавливает Правительство РФ. Состав и содержание конкретных требований к защите персональных данных, организационных и технических мер по обеспечению безопасности при их обработке в информационных системах персональных данных (далее — ИСПДн)
устанавливаются ФСБ России и ФСТЭК России в пределах их полномочий [2, 11].
В целях обеспечения реализации требований законодательства Российской Федерации в области защиты ПДн при их обработке в органах внутренних дел необходимо создание соответствующей системы защиты ПДн (далее — СЗПДн). Такая система призвана обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн территориальных органов МВД России [4].
СЗПДн представляет собой совокупность органов, исполнителей и используемой ими техники защиты информации, а также объектов защиты информации. Она организуется и функционирует по правилам и нормам, установленным соответствующими документами в области защиты информации [7].
В соответствии с требованием приказа МВД России СЗПДн включает в себя организационные и технические меры, средства защиты информации и средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн, а также используемые в ИСПДн информационные технологии [7].
Вместе с тем наблюдается некоторое отличие в составе элементов системы защиты информации между определенными в ГОСТе и приказе МВД России. Данное несоответствие в элементах системы необходимо устранить путем внесения изменений в ведомственный приказ.
Таким образом, с учетом вышеизложенного, можно определить, что система защиты ПДн в органах внутренних дел состоит из следующих элементов: персональные данные и носители таких данных; должностные лица, подразделения и сотрудники, ответственные за организацию и проведение работ по защите ПДн; способы, техника и средства защиты ПДн; меры и мероприятия, проводимые в целях защиты ПДн.
Проведем краткий анализ каждого элемента системы.
1. Персональные данные и носители таких данных.
Персональные данные (данные о гражданах, подлежащие внесению в банки данных), обрабатываемые в органах внутренних дел, определены в ч. 3 ст. 17 Федерального закона РФ «О полиции» [3].
Помимо них в различных подразделениях и службах органов внутренних дел (медицинские учреждения, кадровые, финансово-экономические, тыловые подразделения) обрабатываются ПДн сотрудников, федеральных государственных служащих, работников, стажеров системы МВД России, а также членов их семей.
В органах внутренних дел обрабатываются ПДн, которые являются государственной тайной [5]. Защита данной категории ПДн осуществляется в соответствии с нормами и правилами, установленными для сведений, составляющих государственную тайну.
Важной задачей является определение полного перечня носителей ПДн, используемых в органах внутренних дел, так как именно вид используемого носителя информации во многом определяет количество технических каналов утечки информации и угроз безопасности информации.
Давайте попробуем определить носители, которые используются в органах внутренних дел для обработки ПДн и являются важными с точки зрения их защиты.
В соответствии с ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» [7] носителями защищаемой информации являются физические лица или материальные объекты (бумажные, магнитные, оптические и др.), в том числе — физические поля (акустическое, электромагнитное и др.), где информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Более всего распространен бумажный носитель, который и до настоящего времени широко используется для обработки ПДн. К материальным носителям, используемым в органах внутренних дел, также относятся магнитные носители, а именно: жесткий диск компьютера, сервера и т. п. Часто для хранения и передачи ПДн используется флэш-память, однако качественная его работа требует выполнения определенных условий, связанных с совместной аттестацией данного носителя и автоматизированной системы.
Для целей передачи информации ограниченного доступа в органах внутренних дел одним из основных носителей является оптический диск (CD-R, DVD-R). Это обусловлено тем, что использование данного носителя требует применения только относительно «дешевых» режимных (организационных) мер.
Безусловно, использование электромагнитного излучения или электрических и оптических сигналов в качестве носителей информации является крайне актуальным и необходимым, однако требует создания систем криптографической защиты, электронной подписи, т. е. применения специальных и дорогостоящих средств защиты информации.
Еще одним широко распространенным носителем информации является акустическое поле, которое часто используется для передачи и обработки ПДн в служебных помещениях.
S н и о X
л
<
и н к
:|5
о X
л
<
и н S
X
<
а
X О О
са <
а
С
<
а s н
bS
<
а С
к S а
О и н
39
S н и о X
л
<
и н к
:'5
0 X
Л
<
и н S
1
<
а
X О О
м
<
а
С
<
а s н
bS
<
а С
к S а
О и н
40
Таким образом, в органах внутренних дел для обработки ПДн используются различные виды носителей, а это приводит к увеличению количества угроз и технических каналов утечки ПДн.
2. Должностные лица, подразделения и сотрудники, ответственные за организацию и проведение работ по защите ПДн.
В соответствии с требованиями приказа МВД России [8] руководители (начальники) территориальных органов МВД России, руководители структурных подразделений территориальных органов МВД России, эксплуатирующие ИСПДн, обеспечивают выполнение правовых, организационных и технических мер, направленных на обеспечение безопасности ПДн, и являются ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке в подчиненном органе внутренних дел.
Кроме указанных выше должностных лиц ответственными за соблюдение требований по защите ПДн являются администраторы ИСПДн, пользователи, непосредственно обрабатывающие ПДн в ИСПДн, инженерно-технический персонал, имеющий доступ к элементам ИСПДн.
Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел, осуществляет Департамент информационных технологий связи и защиты информации МВД России, который выполняет функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке [9].
В территориальных органах МВД России функции защиты ПДн и контроля за проведением мероприятий по защите ПДн возложены на подразделение информационных технологий, связи и защиты информации, или на должностных лиц, назначенных ответственными за проведение мероприятий по технической защите информации, или ответственных за организацию обработки ПДн [10].
Таким образом, в территориальных органах МВД России за выполнение мероприятий по обеспечению безопасности ПДн отвечает в первую очередь руководитель (начальник) данного органа и руководитель структурного подразделения, осуществляющего обработку ПДн и (или) эксплуатацию ИСПДн.
Как показывает практика, руководители территориальных органов и структурных подразделений не в полной мере обладают необходимыми знаниями, организационными навыками и умениями в данной области; часто данные лица даже не изучали дисциплин, посвященных вопросам обеспечения безопасности информации.
Кроме этого, для проведения организационно-управленческих мероприятий по созданию
системы защиты информации руководителю территориального органа необходимо изучить около 30 законодательных и иных нормативных правовых актов, большинство из которых являются достаточно специфичными для восприятия неспециалистами в области безопасности информации. Все это приводит к тому, что руководители территориальных органов имеют слабое представление о данном направлении деятельности органа внутренних дел, не знают и не умеют организовывать проведение необходимых мероприятий, направленных на создание системы защиты информации в подчиненном органе, не могут грамотно поставить задачи своим подчиненным, организовать проведение аттестации объектов информатизации. Что касается руководителей подразделения технической защиты информации, то, как правило, обладая специальными знаниями в области безопасности информации, они не обладают необходимыми властными полномочиями по созданию системы защиты информации в территориальном органе МВД России на региональном уровне и подчиненных ему органах.
В качестве решения данной проблемы можно предложить организацию курсов повышения квалификации по направлению «Организация защиты информации» для руководителей территориальных органов МВД России.
3. Способы, методы, техника и средства защиты ПДн.
К способам и методам защиты персональных данных в ИСПДн органов внутренних дел относятся следующие:
— способы и методы защиты ПДн, обрабатываемой техническими средствами информационной системы, от несанкционированного доступа к ПДн, а также иных несанкционированных действий;
— способы и методы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к ПДн.
Обеспечение безопасности персональных данных достигается, в частности, применением средств защиты информации, прошедших процедуру оценки соответствия требованиям по безопасности информации.
В общем виде к средствам защиты ПДн можно отнести технические, криптографические, программные и другие средства, предназначенные для защиты ПДн, средства, в которых они реализованы, а также средства контроля эффективности защиты ПДн.
В целях защиты ПДн, обрабатываемых в ИСПДн, от несанкционированного доступа применяются средства управления и разграни-
чения доступа пользователей к ПДн; обеспечения регистрации и учета действий с информацией; обеспечивающие целостность данных; антивирусной защиты; межсетевого экранирования; анализа защищенности; обнаружения вторжений; криптографической защиты ПДн при их передаче по каналам связи сетей общего и (или) международного обмена.
В целях защиты ПДн, обрабатываемых в ИСПДн, от утечки по техническим каналам применяются генераторы активного акустического, виброакустического и электромагнитного маскирующего зашумления, сетевые помехо-подавляющие и телефонные фильтры, методы экранирования, заземления и др.
Для обеспечения защиты ПДн, содержащихся в ИСПДн, применяются средства защиты информации, прошедшие оценку в форме обязательной сертификации на соответствие требованиям по безопасности информации [3, 10].
4. Меры и мероприятия, проводимые в целях защиты ПДн.
Обязанностью оператора, обрабатывающего ПДн, является применение организационных мер по обеспечению безопасности персональных данных при их обработке в ИСПДн. Законодательством регламентировано, что состав
Список литературы
1. 2.
3.
4.
5.
6.
Конституция Российской Федерации. О персональных данных: Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ (в ред. от 25 июля 2011 г.) // СЗ РФ. 2006. № 31. Ст. 3448. Ч. 1.
О полиции: Федеральный закон РФ от 7 февраля 2011 г. № 3-ФЗ (в ред. от 2 июля 2013 г.) // СЗ РФ. 2011. № 7. Ст. 900. О техническом регулировании: Федеральный закон РФ от 27 декабря 2002 г. № 184-ФЗ (в ред. от 23 июля 2013 г.) // СЗ РФ. 2002. № 52. Ст. 5140. Ч. 1.
Об информации, информационных технологиях и защите информации: Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ (в ред. от 6 апреля 2011 г.) // СЗ РФ. 2006. № 31. Ст. 3448. Ч. 1.
Об утверждении перечня сведений, отнесенных к государственной тайне: Указ Президента РФ от 30 ноября 1995 г. № 1203 (в ред. от 19 марта 2013 г.) // СЗ РФ. 1995. № 49. Ст. 4775. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения: приказ Ростехрегулирования от 27 декабря 2006 г. № 373. М., 2008.
и содержание указанных мер устанавливаются ФСТЭК России и ФСБ России [11].
В настоящее время порядок организации защиты ПДн, содержащихся в информационной системе персональных данных органов внутренних дел, установлен приказами ФСТЭК России и МВД России [10, 11].
В целях обеспечения безопасности ПДн в органах внутренних дел создается система их защиты, призванная обеспечивать их конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн.
Необходимо обратить внимание на то, что обработка ПДн в ИСПДн органов внутренних дел должна осуществляться только после завершения работ по созданию системы защиты ПДн и ввода в эксплуатацию ИСПДн. Ввод в эксплуатацию ИСПДн осуществляется на основе приказа руководителя (начальника) территориального органа внутренних дел после аттестации данной системы на предмет требований по защите информации.
Определение основных мероприятий, направленных на организацию работ по обеспечению безопасности ПДн при их автоматизированной обработке и созданию системы защиты ПДн в территориальных органах МВД России, является необходимой и важной задачей.
8. Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации: приказ МВД России от 6 июля 2012 г. № 678.
9. Об утверждении Положения о Департаменте информационных технологий, связи и защиты информации МВД России: приказ МВД России от 16 июня 2011 г. № 681.
10. Об утверждении типового Положения о подразделении информационных технологий, связи и защиты информации территориального органа Министерства внутренних дел Российской Федерации: приказ МВД России от 2 июля 2012 г. № 660.
11. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК России от 11 февраля 2013 г. № 17.
12. Баглай М.В. Конституционное право Российской Федерации. М., 2011.
E-mail: [email protected]
S н и о X
л
<
и н к
:|5
о X
л
<
и н S
X
<
а
X О О
са <
а
С
<
а s н
bS
<
а С
к S а
О и н
41