-> Дополнительно

Под условиями использования в панели следует понимать набор документов, регламентирующий использование провайдером персональных данных клиентов. Полный набор существующих условий отображается на странице → "Условия использования" .

При обновлении панели до версии 5.153 произойдёт автоматическая конвертация имеющихся ссылок из раздела "Настройки" → "Настройки бренда" → "Авторское право" на политику конфиденциальности и условия использования в документы раздела "Условия использования" . В разделе будет создано два обязательных условия (документа): "User agreement" и "Privacy policy" . Ссылки на документы не изменятся. Если в настройках бренда ссылки на политику конфиденциальности и условия использования не были указаны, то при обновлении конвертация не выполняется.

Условия могут быть двух типов:

• политика конфиденциальности;
• пользовательское соглашение;

Условия на стороне администратора

Параметры условия

Настройка условия выполняется на странице "Управление персональными данными" → "Условия использования" → выделить условие → кнопка "Изменить" :

Редактирование документа

Тип условия - тип условия использования. Может принимать значения:

• Политика конфиденциальности - согласие клиента с условием такого типа означает, что он принимает политику конфиденциальности провайдера;
• Пользовательское соглашение - согласие клиента с условием такого типа означает, что он принимает условия пользовательского соглашения провайдера.

Название документа - локализованное наименование условия (документа). Отображается в полном списке существующих условий использования.

Описание условия - локализованное описание условия. Отображается на выбранных формах: опции "Отображать на форме регистрации" и "Отображать после авторизации".

Дата вступления в силу - дата вступления документа в силу. Условие не будет доступно клиентам, пока документ не вступил в силу.

Локализация - локализации, на которых доступен данный документ.

Обязательное согласие - флаг для принятия условия появится на форме после авторизации. Без согласия с таким условием невозможно продолжить работу в панели.

Отображать после авторизации - флаг будет отображаться для зарегистрированных пользователей при первой авторизации после внесения изменений в настройки конфиденциальности провайдера. Становится активным и блокируется для изменения, если активен флаг "Обязательное согласие".

Отображать в предупреждениях - флаг для отображения ссылок на документы над полями, где происходит указание персональной информации.

Журнал

Действия, совершённые пользователем и относящиеся к условиям использования персональных данных, логируются и отображаются в разделе "Управление персональными данными" → "Журнал" :

Каждая запись в журнале содержит:

• тип действия (согласие или отказ);
• имя пользователя;
• IP-адрес, с которого выполнялось действие;
• дату и время действия.

Условия на стороне пользователя

Форма после авторизации

Все активные условия с включённой опцией "Отображать после авторизации" будут отображаться пользователя при первой авторизации после внесения изменений в настройки конфиденциальности.

Информация о сборе и обработке данных

В разделе "Настройки" → "Настройки пользователя" пользователь может ознакомиться с документами о сборе и обработке персональных данных, с журналом согласий и отказов, а также запросить информацию об используемых персональных данных. Также пользователь может создать запрос на экспорт данных в CSV файл, удаление и ограничение использования персональных данных:

Эта форма - не обращение в поддержку.
Мы не можем идентифицировать вас и ответить на ваше сообщение.

С 1 июля 2017 года вступают в силу поправки, регламентирующие увеличение штрафов до 75.000 руб. и упрощение процесса проверки, что позволит инспектору Роскомнадзора (РКН) выписать штраф за зафиксированное нарушение, просто зайдя на сайт .

Нужно ли вам это?

• На вашем ресурсе присутствуют формы с запросом любых данных о посетителе (ФИО, телефон, email и т.д.)?
• Осуществляются продажи товаров или услуг через сайт (корзина, покупка в 1 клик, форма заказа и т.д.)?
• Имеется возможность пользования личным кабинетом на вашем сайте (регистрация, авторизация, восстановление пароля)?
• Существует возможность подписки на e-mail уведомления (рассылка новостей, уведомлений, информации и т.д.)?
• Присутствуют любые предложения, в которых необходимо связываться по e-mail?

Во всех случаях вы являетесь оператором по обработке персональных данных, что накладывает на вас обязательства по нормативам Роскомнадзора, в случае невыполнения которых могут возлагаться штрафы.

Что необходимо сделать?

Оформить все необходимые нормативные документы и грамотно представить их на сайте. Не знаете, как это сделать? Мы вам поможем!

Нами будут проведены следующие работы:

• Подготовим соглашение о конфиденциальности, условиям использования сайта и обработке персональных данных
• Добавим страницу «Соглашение об обработке персональных данных»
• Разместим ссылку на страницу «Соглашение об обработке персональных данных» на всех страницах сайта
• Добавим во все формы на сайте, в которых используются персональные данные, поле о согласии на их обработку с ссылкой на страницу «Соглашение об обработке персональных данных»
• Добавим всплывающее сообщение с Дисклеймером – предупреждение, в котором говорится, что на сайте собираются статистические данные
• Проверим, соответствуют ли условия хранения базы данных и дадим рекомендации
• Дадим рекомендации для подачи заявления в Роскомнадзор для регистрации вас как оператора (обращаем ваше внимание, что подача документов осуществляется самостоятельно)
• Проконсультируем по любым возникшим вопросам

Координационный центр доменов.ru/.рф совместно с «Фондом развития интернет» и Федеральным институтом развития образования выпустили второе издание учебно-методического пособия «Практическая психология безопасности: управление персональными данными в Интернете».

Пособие посвящено повышению цифровой компетентности школьников и учителей в сфере управления персональными данными в Интернете. В нем проанализированы теоретические и методические аспекты проблемы защиты частной жизни и персональных данных в сети.

Пособие предназначено в первую очередь для учителей средних школ, но оно будет полезно и интересно и для других работников системы образования, полагают авторы издания.

Пособие состоит из десяти уроков, которые рассказывают, что такое персональные данные, как они попадают в Сеть, почему ими нужно управлять и как их можно защитить. Раскрываются вопросы приватности и личных границ, управления репутацией в Интернете, объясняются способы удаления ПД. Для каждого урока предусмотрено выполнение упражнений, предложены темы для обсуждения, методика оценки результата, прилагаются необходимые дополнительные материалы.

Как отмечается в предисловии к пособию, «по данным ряда опросов, больше половины россиян не знают о своих правах в Интернете. И в целом по стране индекс цифровой грамотности в области безопасного использования информационных технологий остается довольно низким - 4,86 (из 10 возможных)».

«Цель нашего пособия - донести до российских учителей и их учеников необходимость защиты личной информации и доступно объяснить правила безопасного управления личной информацией в Интернете», - сообщил директор КЦ Андрей Воробьев.

В подготовке пособия активное участие приняла Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), отмечают в КЦ.

«В наше время личная информация о детях появляется в Сети разными путями: ее выкладывают сами юные пользователи, их родители и друзья. Но это всего лишь полбеды: как показывает практика, значительная часть информации о несовершеннолетних пользователях оказывается результатом неправильного обращения с персональными данными в образовательных учреждениях», - отметила в предисловии к изданию заместитель руководителя Роскомнадзора и один из авторов пособия Антонина Приезжева.

Основными источниками угроз в киберпространстве являются хищение персональных данных при помощи фишинга, использования пользователями «серых» мобильных приложений и незащищенных каналов коммуникаций, сообщила заместитель руководителя Роскомнадзора Антонина Приезжева на открытии Международного форума по кибербезопасности (Cyber Security Forum-2017).

Открытые источники хранения персональных данных, геолокационные сервисы также могут представлять собой угрозу для утечек личных данных, а повсеместная практика принятия условий пользовательского соглашения «по умолчанию» лишь облегчает задачу злоумышленникам,

По мнению Приезжевой, большинство из рассматриваемых угроз возможно нивелировать путём повышения уровня информированности о правах и обязанностях всех участников процесса обработки персональных данных, уделяя особое внимание субъектам персональных данных.

Для достижения вышеуказанных целей Роскомнадзором определены приоритетные задачи: стимулирование добросовестного поведения в Сети и совершенствование механизмов регулирования области персональных данных, в т.ч. применение механизмов саморегулирования.

Для выявления, пресечения и предотвращения негативных последствий этих угроз необходимо внедрение комплексного системного подхода, который был разработан и презентован Роскомнадзором как «Стратегия информационно-публичной деятельности Уполномоченного органа на период до 2020 года».

Показатели эффективности Стратегии:

• повышение правовой грамотности населения Российской Федерации: ежегодное увеличение на 0,2-0,5% показателя числа респондентов, подтвердивших знание своих прав и законных интересов как субъектов персональных данных в ходе соответствующих социологических исследований;
• снижение с 70 до 40% показателя общего числа нарушений в области персональных данных;
• пропаганда образа жизни, направленного на бережное отношение к личным данным среди несовершеннолетних, в том числе, посредством создания молодежного медийного пространства: увеличение с 0,1 до 1% доли несовершеннолетних, вовлеченных в мероприятия реализации стратегии;
• повышение качества образовательного аспекта в области ПД путем развития неформального и самостоятельного образования: повышение с 2% до 15% доли операторов, воспользовавшихся ресурсами неформального образования;
• развитие международного взаимодействия и сотрудничества;
• ежегодное снижение на 2% доли выявленных инцидентов в области персональных данных по сравнению с предшествующим периодом.

Скачать учебно-методическое пособие «Практическая психология безопасности: управление персональными данными в Интернете» можно по нижеследующей ссылке (.zip, ~ 4.5 Мб):

См. также .

Когда вы делитесь с приложениями и сервисами определённой информацией, ваши устройства Apple начинают работать ещё лучше. Существует множество настроек, которые позволят вам выбирать, к каким данным открыть доступ, куда они будут отправляться и когда будет создаваться резервная копия. Важно знать, как настроены параметры в данный момент и как ими управлять.

Информация о данных и конфиден­циальности.

Мы создали новые информационные экраны «Данные и конфиденциальность», на которых вы можете легко разобраться, как именно Apple работает с вашими данными, ещё до того, как войдёте в свою учётную запись и начнёте пользоваться новыми функциями. Нажав значок «Данныеи конфиденциальность», вы увидите полезную информацию о том, какие данные могут быть отправлены и как они улучшат работу наших сервисов.

Проверьте настройки iCloud.

Вы можете управлять синхронизацией фотографий, сведений о здоровье, документов и других данных на ваших устройствах с учётной записью iCloud. Выбирайте, какие службы iCloud включить, а какие отключить. На устройствах iOS это можно сделать в настройках iCloud, а на Mac - в разделе iCloud в Системных настройках. Если вы пользуетесь PC с Windows, вам нужно будет открыть Панель управления iCloud.

Настройте доступ к своей геопозиции.

Иногда бывает полезно, чтобы устройство знало, где вы находитесь - например, когда вы планируете встречи в Календаре или пользуетесь навигацией. Службы геолокации определяют ваше местонахождение, используя данные GPS, Bluetooth, точек доступа Wi-Fi и вышек мобильной связи. Apple позволяет вам управлять тем, как собираются и используются эти данные. Вы должны включить службы геолокации самостоятельно - они всегда отключены по умолчанию. В любой момент от этого решения можно отказаться.

Функция SOS для экстренных вызовов.

С функцией SOS вы можете вызвать экстренные службы с помощью Apple Watch. Вы также можете настроить для выбранных вами людей автоматическое уведомление о ваших звонках в экстренные службы и показывать им ваше местонахождение в течение определённого промежутка времени. Эти уведомления можно отключить в любой момент. Даже если службы геолокации выключены, они включатся на некоторое время, чтобы выбранные вами «контакты SOS» узнали, где вас искать. Данные о вашем местонахождении также отправляются в местные экстренные службы, использующие сервис Rapid SOS. Все отправленные данные удаляются через 24 часа.

Контролируйте доступ приложений к вашим данным.

Приложения из App Store могут запрашивать доступ к данным о вашем местонахождении, контактам, календарям или фотографиям. Каждый раз, когда стороннее приложение впервые запрашивает какие-либо данные, вы видите диалоговое окно, поясняющее, какому приложению они нужны. Только вы можете предоставить доступ к своей информации. И если вы его разрешили, то в любой момент можете изменить это в Настройках.

Ваши действия на сайтах будут конфиденциальны.

Включите «Частный доступ», и Safari не будет добавлять посещаемые вами сайты в историю просмотра, запоминать ваши поисковые запросы и сохранять информацию из онлайн-форм, которые вы заполняете. Вы можете использовать средства блокировки контента, чтобы контролировать всё, что загружается в ваш браузер, и не позволять отслеживать вашу сетевую активность. Кроме того, поддержка средств блокировки контента устроена таким образом, чтобы их разработчики тоже не могли получать никаких данных о ваших поисковых запросах.

Safari также стал первым браузером со встроенной поддержкой анонимного поискового сервиса DuckDuckGo. Установите его в качестве поиска по умолчанию, и вы сможете пользоваться интернетом, не опасаясь, что ваши запросы кто-то отслеживает. Откройте настройки Safari на Mac, выберите «Поиск» и установите DuckDuckGo в качестве своей поисковой системы. На устройствах iOS коснитесь значка «Настройки», выберите Safari, затем «Поисковая машина» и DuckDuckGo.

Разработчики также получили возможность создавать для Safari загружаемые расширения, которые блокируют вредоносный контент, предназначенный для сбора адресов посещаемых вами сайтов.

Защитите персональные данные своих детей.

На устройствах Apple очень легко установить настройки родительского контроля и ограничения доступа. Вы сами решаете, какие веб-сайты может посещать ваш ребёнок, какие фильмы и телепередачи сможет смотреть, будет ли он пользоваться FaceTime и Камерой и скачивать приложения сторонних разработчиков. Родительский контроль и ограничения назначаются для конкретных устройств, поэтому мы рекомендуем установить их на всех устройствах Apple, которыми пользуются ваши дети. На Mac эти функции находятся в разделе «Родительский контроль» в Системных настройках. А на устройствах iOS нужно открыть «Настройки», затем коснуться строчки «Основные» и выбрать «Ограничения».

Вы также можете использовать функцию «Экранное время», чтобы лучше понимать и контролировать то, сколько времени ваши дети проводят в приложениях и на сайтах. Отчёты об активности включают подробные данные об использовании приложений, уведомлениях и входах в систему. Эти данные доступны только вам и недоступны Apple и третьим лицам. Вы также можете ограничить время, которое ваши дети ежедневно проводят в определённых приложениях и на сайтах.

С функцией «Семейный доступ» у ваших детей могут быть свои собственные Apple ID. А разработанная нами функция «Запрос на покупку» позволяет родителям одобрять покупки приложений и внутри приложений - то есть контролировать покупки, совершаемые через Apple ID их детей. Для настройки Apple ID ребёнка требуется согласие родителя или опекуна. Таким образом, взрослые получают возможность отслеживать действия детей и контент, который они скачивают.

02.12.2009 Валерий Васенин, Кирилл Шапченко

ФЗ №152, принятия которого ждали долгие годы, законодательно регламентирует все процессы оперирования персональными данными, но ряд вопросов остались открытыми. Без их решения многие из положений закона не смогут быть реализованы на практике.

ФЗ №152, принятия которого ждали долгие годы, законодательно регламентирует все процессы оперирования персональными данными, но ряд вопросов, связанных в первую очередь с механизмами обеспечения информационной безопасности, в силу объективных технологических причин остались открытыми. Попробуем систематизировать некоторые из них и обозначим подходы к их решению.

Рассматривая вопросы обеспечения информационной безопасности, возникающие при сборе, обработке, хранении и использовании персональных данных, следует выделить несколько условных уровней их разрешения.

Уровень 1. Персональные данные находятся под контролем субъекта, к которому они относятся. В этом случае вся ответственность по обеспечению их безопасности на этапах сбора, первичной обработки и систематизации, хранения и предоставления другим пользователям возлагается на самого субъекта. Исходя из положений ФЗ-152 он определяет политику безопасного использования таких данных, архитектуру и набор средств защиты, собственно их аппаратно-программное обеспечение. В этом случае ответственность за реализацию нормативных актов ложится на субъекта персональных данных. Регулятор может оказывать субъекту методическую помощь и содействие.

Уровень 2. Управление персональными данными берет на себя посредник – юридическое или физическое лицо, заключающее с субъектом персональных данных договор, определяющий условия их сбора, обработки, хранения и использования. В этом случае вся полнота ответственности за их информационную безопасность возлагается на организацию-посредника.

Уровень 3. Управление персональными данными осуществляют субъекты таких данных вместе с организацией той или иной формы собственности, которая не специализируется в области управления персональными данными, однако по роду своей деятельности обладает таковыми в составе коллекций других документов и вынуждена собирать их, обрабатывать и хранить. К числу таких организаций относятся, например, банки, различного рода другие кредитные организации, учреждения социальной направленности и ведомства силового блока. Посредником в таком взаимодействии могут выступать и организации, специализирующиеся в области управления персональными данными. Как следствие, при этом возникают угрозы несанкционированной утечки персональных данных через различные каналы связи, а также извлечения персональных данных из других коллекций данных и документов более общего характера. В ходе работы с документами в подобных организациях сложно гарантировать, в первую очередь с позиций технологических и административно-организационных, что будут приняты все декларируемые положениями ФЗ-152 меры по обеспечению безопасности персональных данных и соблюдению права субъекта на санкционированный доступ к своим персональным данным в коллекциях документов и на обработку его персональных данных.

Разработка механизмов эффективной реализации положений и требований закона в полном объеме, выпуск спецификаций к реализующим такие механизмы программным средствам, создание высокофункционального, верифицируемого и отчуждаемого программного обеспечения информационных систем обработки персональных данных – все это относится к важнейшим задачам государства. Но далеко не все вопросы на этом направлении сегодня решены. Рассмотрим отдельные положения ФЗ-152, требования к функциям информационных систем для обработки персональных данных, к механизмам их реализации, которые заслуживают особого внимания и диктуют необходимость проведения дополнительных теоретических и прикладных исследований.

Отправные положения и функциональные требования

Статья 3 закона определяет ряд основных понятий, касающихся действий, которые производятся с персональными данными: распространение, блокирование, уничтожение и обезличивание персональных данных. Эти операции должны составлять основу бизнес-процессов информационной системы для работы с персональными данными. В контексте целей настоящей публикации обратим внимание на отмеченное в пункте 2 данной статьи функциональное требование к такой информационной системе – предоставление гарантий по ограничению срока хранения данных в зависимости от состояния процесса их обработки.

Интерпретируя статью 19, в первую очередь следует отметить цели обеспечения безопасности, связанные с защитой персональных данных от несанкционированного доступа при выполнении таких операций, как чтение, изменение и удаление данных. Требование защиты от неправомерного блокирования персональных данных влечет за собой необходимость обеспечения не только их конфиденциальности и целостности, но и доступности. Более детальные требования, согласно пункту 2 статьи 19, утверждаются Правительством РФ. Одним из документов, регулирующих этот аспект информационных систем персональных данных, является Постановление Правительства РФ от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В пунктах 11 и 12 перечисляются основные требования и мероприятия по обеспечению безопасности, устанавливаются требования по перманентному контролю за состоянием защищенности информационной системы персональных данных, повышенные требования по восстановлению после сбоев и несанкционированных действий, а также по разработке и описанию модели угроз персональным данным, по созданию системы их защиты. Разработка методических материалов по обеспечению безопасности информационных систем для работы с персональными данными возлагается на Федеральную службу по техническому и экспортному контролю (ФСТЭК) и на Федеральную службу безопасности Российской Федерации в пределах их полномочий. Реализация перечисленных требований – технологически сложная задача, механизмов решения которой в полном объеме сегодня нет.

В статье 21 закона отмечается необходимость реализации таких служебных операций в информационных системах персональных данных, как блокирование и снятие блокировки с персональных данных, а также их надежное удаление. Такие операции должны быть «привязаны» к статусу обрабатываемых персональных данных и к состоянию процессов их обработки, а именно – должны выполняться по завершении обработки и в случаях обнаружения неправомерных операций с данными либо выявления их недостоверности. Указанное обстоятельство свидетельствует о повышенных требованиях к механизмам управления бизнес-процессами в организации-посреднике при работе с персональными данными. Разработка таких механизмов, регламентов их применения и программных реализаций с использованием традиционных средств вычислительной техники с позиций требований руководящих документов ФСТЭК, других стандартов и рекомендаций – отдельная, технологически сложная задача.

Дополнительное требование к функциональным возможностям информационных систем обработки персональных данных определяется в статье 14 закона. Пункт 4 этой статьи указывает на необходимость предоставления субъекту персональных данных служебной информации о процессах обработки таких данных. Выполнение этих требований возможно только с применением механизмов детального протоколирования процессов обработки и использования персональных данных, в том числе – протоколирования информации о режиме доступа к таким данным. Реализация этих требований в полном объеме с использованием традиционных информационных систем на настоящее время пока не представляется возможной.

Перечисленные отдельные положения закона требуют более детального осмысления, в первую очередь – с позиции их применения на практике, разработки необходимого для этого математического и программного обеспечения.

Требования к информационным системам

Проанализируем некоторые положения закона с точки зрения требований к механизмам и формальным моделям, удовлетворяющим букве ФЗ-152. Во-первых, отметим, что в информационной системе для обработки персональных данных должен вводиться дополнительный класс объектов – класс персональных данных. Правила доступа к объектам этого класса необходимо задавать отдельно от других. Кроме того, возможно определение отдельных категорий данных такого вида с отличающимися правилами доступа к ним. Как следствие, может быть востребована реализация процедур изменения категории доступа к персональным данным, например, при их обезличивании.

Отмеченные обстоятельства указывают на необходимость разработки формальных моделей логического разграничения доступа к данным и реализующих их программных средств, адаптированных к потребностям и особенностям обработки и использования персональных данных. В том числе представляется целесообразным при формировании механизмов блокирования и снятия блокировки с персональных данных в максимальной степени использовать традиционные в системах защиты информации средства разграничения доступа. На основе верификации программного кода и, как следствие, корректной программной реализации моделей и механизмов логического разграничения доступа может быть выполнена часть требований к защите персональных данных, представленных в части 1 статьи 19. Заметим, что их следствием является высокий оценочный уровень доверия к автоматизированным системам. Суть этих требований сводится к предотвращению несанкционированного доступа к персональным данным с целью их чтения или изменения, а также к предоставлению гарантий на потоки данных в информационной системе, включая копирование и распространение.

С точки зрения разработки механизмов и программных средств автоматизированного управления персональными данными важно отметить необходимость реализации механизмов их надежного удаления из информационной системы. Надежное удаление, как правило, подразумевает уничтожение самого удаляемого объекта и всех его копий, включая резервные и временные, которые создаются под потребности используемых аппаратно-программных средств. Разработка механизмов и программного обеспечения такого удаления – отдельная и достаточно тонкая задача, требующая своего решения.

Для того чтобы эффективно контролировать сроки хранения персональных данных и выполнять процедуру их своевременного надежного удаления, должны быть созданы механизмы мониторинга состояния процессов обработки и использования персональных данных. Представляется целесообразным совместить решение этой задачи с созданием специализированной системы управления бизнес-процессами, адаптированной для выполнения действий над персональными данными. Срок выполнения ряда операций над персональными данными может устанавливаться неявно, например через условие, что обработка данных завершена либо перестала быть необходимой. Своевременное реагирование на выполнение такого условия, в свою очередь, приводит к необходимости формального описания, проектирования средств автоматизации процессов обработки персональных данных с целью обеспечить гарантированное (с высокой вероятностью) выполнение операций их удаления по истечении срока хранения.

Принимая во внимание упомянутые требования закона по реализации своевременной выдачи субъекту персональных данных информации о процессах их обработки, необходимо строго поставить и решить задачу о выборе адекватной схемы хранения самих персональных данных и информации об операциях с ними. Поскольку информация, которая должна быть выдана субъекту, содержит как непосредственно персональные данные о нем, так и метаданные, связанные с процедурой их обработки, необходимо вести оперативный учет и обладать возможностями получения подобной дополнительной информации по требованию. Механизмов и программных средств, обладающих должным оценочным уровнем доверия и позволяющих реализовать такие функции, в составе автоматизированных систем, представленных на ИТ-рынке, сегодня не существует. Разработка таких систем в развитие положений Постановления Правительства РФ № 781 – важная задача.

Отметим, что требования по организации перманентного контроля за обеспечением надлежащего уровня защищенности персональных данных, изложенные в Постановлении, указывают на необходимость проведения исследований, разработки механизмов и создания комплекса средств для проведения аудита информационных систем персональных данных на предмет оценки уровня их защищенности как в целом, так и обрабатываемых с их помощью персональных данных в частности. В состав подобного комплекса целесообразно включать инструментальные средства для проведения такого исследования экспертом-аудитором и автоматизированные системы активного аудита, позволяющие в режиме реального времени производить оценку состояния защищенности подконтрольных информационных систем и принимать решения по противодействию деструктивным воздействиям, если такие обнаруживаются. Принимая во внимание относительно высокий оценочный уровень доверия, которым должны обладать системы для обработки персональных данных, выбор соответствующих средств вычислительной техники и архитектурно-технологических решений обязан быть предметом отдельного исследования с привлечением критериальных подходов к оценке безопасности.

Предложения по реализации

В рамках работ по созданию теоретических и методических основ обеспечения безопасности персональных данных, а также последующей реализации поддерживающих такие данные специализированных информационных систем представляется целесообразным провести ряд мероприятий.

Разработать проект типовой информационной системы, включающий описание ее архитектуры и набора моделей, адекватно отражающих: схему хранения персональных данных; модель логического разграничения доступа, позволяющую учитывать персональные данные как отдельный класс объектов доступа; процедуры, гарантирующие выполнение требований, указанных в законе, а также формальные модели, строго подтверждающие их выполнение; модель организации эффективного доступа к персональным данным для выполнения санкционированных действий с ними; модель предоставления гарантий на потоки персональных данных; архитектуру средств обеспечения безопасности в составе информационной системы персональных данных.

На основе разработанной и формально проверенной теоретической модели произвести выбор программных средств, их последующую модификацию и интеграцию в информационную систему персональных данных. В числе таких средств должны присутствовать следующие программные компоненты: механизмы логического разграничения доступа и их настройки; средства, гарантирующие выполнение заданных процессов обработки персональных данных с установленными для таких процессов требованиями; дополнительные средства защиты, в том числе средства контентной фильтрации, реализующие функциональные возможности по предотвращению утечек персональных данных через каналы их передачи, контроль над которыми не может быть обеспечен с использованием традиционных механизмов разграничения доступа; средства активного мониторинга состояния работоспособности элементов информационной системы персональных данных, позволяющие своевременно обнаруживать сбойные ситуации и оперативно реагировать на них.

Коллекции персональных данных, как информационные активы повышенных категорий защищенности (уровней доверия), представляют собой национально значимые объекты. Они так же, как, например, потенциально опасные и критически важные объекты, требуют особого внимания со стороны государства. Поиск ответов на представленные в статье вопросы является не только актуальной, но и национально значимой задачей. Без ее решения многие из положений ФЗ «О персональных данных» не смогут быть реализованы на практике.

Валерий Васенин, Кирилл Шапченко ({vasenin,shapchenko}@msu.ru) - сотрудники Института проблем информационной безопасности МГУ им. М. В. Ломоносова (Москва).

Несмотря на то что федеральные службы разработали ряд нормативных документов, регламентирующих работу с персональными данными, сам ФЗ-152 и ряд сопутствующих подзаконных актов вызвали неоднозначную реакцию у всех участников рынка информационной безопасности.

Что должны сделать ИТ-компании, чтобы соответствовать ФЗ №?152?