5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

       6) блокирование персональных данных - временное прекращение сбора,  систематизации, накопления, использования,  распространения персональных данных, в том числе их передачи;

       7) уничтожение персональных данных - действия, в результате которых  невозможно восстановить содержание  персональных данных в информационной  системе персональных данных  или в результате которых уничтожаются  материальные носители персональных  данных;

       8) обезличивание персональных данных - действия, в результате которых  невозможно определить принадлежность  персональных данных конкретному  субъекту персональных данных;

       9) информационная система персональных  данных - информационная система,  представляющая собой совокупность  персональных данных, содержащихся  в базе данных, а также информационных  технологий и технических средств,  позволяющих осуществлять обработку  таких персональных данных с  использованием средств автоматизации  или без использования таких  средств;

       10) конфиденциальность персональных  данных - обязательное для соблюдения  оператором или иным получившим  доступ к персональным данным  лицом требование не допускать  их распространение без согласия  субъекта персональных данных  или наличия иного законного  основания;

       11) трансграничная передача персональных  данных - передача персональных данных  оператором через Государственную  границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

       12) общедоступные персональные данные - персональные данные, доступ неограниченного  круга лиц к которым предоставлен  с согласия субъекта персональных  данных или на которые в  соответствии с федеральными  законами не распространяется  требование соблюдения конфиденциальности. 

       Статья 3 ФЗ №261:

       1) персональные данные - любая информация, относящаяся к прямо или косвенно  определенному или определяемому  физическому лицу (субъекту персональных  данных);

       2) оператор - государственный орган,  муниципальный орган, юридическое  или физическое лицо, самостоятельно  или совместно с другими лицами  организующие и (или) осуществляющие  обработку персональных данных, а также определяющие цели  обработки персональных данных, состав персональных данных, подлежащих  обработке, действия (операции), совершаемые  с персональными данными;

       3) обработка персональных данных - любое действие (операция) или совокупность  действий (операций), совершаемых с  использованием средств автоматизации  или без использования таких  средств с персональными данными,  включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование,  передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных  данных;

       4) автоматизированная обработка персональных  данных - обработка персональных  данных с помощью средств вычислительной  техники;

       5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

       6) предоставление персональных данных - действия, направленные на раскрытие  персональных данных определенному  лицу или определенному кругу  лиц;

       7) блокирование персональных данных - временное прекращение обработки  персональных данных (за исключением  случаев, если обработка необходима  для уточнения персональных данных);

       8) уничтожение персональных данных - действия, в результате которых  становится невозможным восстановить  содержание персональных данных  в информационной системе персональных  данных и (или) в результате  которых уничтожаются материальные  носители персональных данных;

       9) обезличивание персональных данных - действия, в результате которых  становится невозможным без использования  дополнительной информации определить  принадлежность персональных данных  конкретному субъекту персональных  данных;

       10) информационная система персональных  данных - совокупность содержащихся  в базах данных персональных  данных и обеспечивающих их  обработку информационных технологий  и технических средств;

       11) трансграничная передача персональных  данных - передача персональных данных  на территорию иностранного государства  органу власти иностранного государства,  иностранному физическому лицу  или иностранному юридическому  лицу.";

       Кроме того, ФЗ №261 ужесточает наказание за неисполнение требований ФЗ «О персональных данных», а также отменяет некоторые избыточные требования к операторам ПДн.

       5. Проблемные вопросы  при защите ПДн

       Обеспечение безопасности персональных данных (ПДн) связано с целым рядом организационно-технических проблем.

       Во-первых, поскольку ПДн (на основании Указа Президента РФ 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера») относятся к категории конфиденциальной информации, для осуществления мероприятий по их защите необходимо получение лицензии ФСТЭК России на деятельность в области технической защиты конфиденциальной информации. Это же требование содержится в «Основных мероприятиях…» ФСТЭК России для операторов информационных систем 1, 2 классов и распределенных систем 3 класса, к которым и относится большинство организаций. При использовании средств криптографической защиты информации также необходимо наличие лицензий ФСБ России. При этом получение указанных лицензий требует от организации наличия высококвалифицированного персонала, специального оборудования и помещений, что часто является непомерной дополнительной нагрузкой для малых предприятий, особенно в условиях финансового кризиса [2].

       Второй  проблемой являются беспрецедентно высокие требования, предъявляемые  к системе защиты. Так, например, уровень защиты для ИСПДн 1 класса соответствует уровню защиты государственной тайны. В частности, обязательным является обеспечение защиты информации от утечек за счет электромагнитных излучений и наводок от средств вычислительной техники и линий связи. При этом следует учитывать, что к 1 классу относятся системы многих крупных организаций, в которых обрабатывается большое количество информации, а также системы, в которых обрабатываются специальные категории ПДн. Сами документы ФСТЭК России, в которых сформулированы требования, носят пометку «для служебного пользования» и не доступны для свободного ознакомления.

       Средства  защиты информации, применяемые для  обеспечения безопасности ПДн, должны быть сертифицированы по требованиям безопасности информации [1]. Поскольку требования по защите ПДн появились относительно недавно, на рынке практически отсутствуют подобные средства, либо обеспечиваемый ими функционал не достаточен для применения в ИСПДн высоких классов. Так, например, сертифицированные средства защиты для СУБД с открытым исходным кодом MySQL попросту отсутствуют, а сертифицированная по требованиям безопасности информации версия ОС Microsoft Windows XP может применяться только в информационных системах до 2 класса включительно; отдельно стоит вопрос защиты 64-разрядных операционных систем и операционных систем семейств Unix и Linux. Кроме того, существующие сертифицированные средства защиты, соответствующие всем требованиям, зачастую не рассчитаны на применение в современных сложных гетерогенных информационных системах, и их использование в ряде случаев не представляется возможным по чисто техническим причинам.

       Более того, программное обеспечение, используемое для обработки ПДн, должно пройти проверку на отсутствие недекларированных возможностей (НДВ). Такая проверка требует предоставления исходных кодов программного продукта, к чему готовы далеко не все, особенно зарубежные, производители ПО [1].

       До  начала обработки информации соответствие систем защиты для ИСПДн 1, 2 и 3 классов предъявленным требованиям должно быть подтверждено в процессе аттестации по требованиям безопасности информации. Ранее подобная процедура являлась обязательной только для государственных систем. При этом аттестат выдается на 3 года, а внесение любых изменений в состав аттестованной системы (даже установка дополнительного программного обеспечения или перемещение компьютера из одного помещения в другое) может лишить аттестат силы и требует согласования с органом по аттестации.

       6. Возможные организационно-технические  решения

       Несмотря  на обилие проблем, на самом деле ситуация не является безвыходной. Существует ряд  подходов, позволяющих обеспечить защиту ПДн в соответствии с предъявленными требованиями ценой разумных затрат.

       В первую очередь, снизить затраты  на построение системы защиты можно  путем выбора архитектуры самой  информационной системы на этапе  ее проектирования. Например, разделение крупной федеральной ИСПДн на несколько территориальных позволяет сократить количество обрабатываемых в каждой системе персональных данных и понизить их класс, а использование условных идентификаторов часто позволяет обезличить обрабатываемые данные.

       Особую  привлекательность с точки зрения архитектуры построения систем приобретает  технология терминального доступа, при которой вся обработка  данных осуществляется на сервере, а  рабочие станции используются только для отображения информации и  получения данных от пользователя. При правильном использовании подобный подход позволяет снизить класс  конечных рабочих станций до третьего и значительно сэкономить на средствах  защиты и аттестации по требованиям  безопасности. Кроме того, сокращаются  затраты на управление информационной инфраструктурой и закупки средств  вычислительной техники за счет централизации  системы и снижения требований к  аппаратным характеристикам компьютеров  пользователей.

       При проектировании новых систем изначальное  применение программного обеспечения  со встроенными сертифицированными средствами защиты, прошедшего сертификацию по требованиям безопасности информации и проверку на отсутствие недекларированных возможностей, позволяет в дальнейшем сэкономить на закупке средств защиты и обучении персонала. Кроме того, в ряде особых случаев возможно использование ПО, не прошедшего проверку на отсутствие НДВ, по согласованию со ФСТЭК России.

       Также следует определиться с тем, кто  будет обеспечивать безопасность ПДн. Для крупных организаций, имеющих собственную службу безопасности и набор необходимых лицензий, предпочтительным будет самостоятельное построение и сопровождение системы защиты информации. В то же время, для большинства мелких и средних компаний оптимальным вариантом является заключение договора со сторонними специализированными организациями на разработку и внедрение системы защиты и последующий аутсорсинг обеспечения информационной безопасности. Такой подход позволяет как сократить расходы на обучение и содержание штатного персонала, так и переложить большинство рисков, связанных с безопасностью информации.

       При формировании требований к системе  защиты следует исходить из того, что  практически любая система является специальной: кроме конфиденциальности в большинстве случаев необходимо обеспечить целостность данных и  их доступность. Для специальных  систем требования по защите не являются жесткими и определяются на основании  частной модели угроз. С одной  стороны, такой подход требует высокой  квалификации разработчика и накладывает  на него дополнительную ответственность  за полноту и актуальность модели. С другой стороны, модель угроз позволяет  значительно снизить требования по сравнению с типовыми системами  за счет отсеивания неактуальных угроз. При этом необходимо отметить, что  построение защиты на основе модели угроз  является принципиально новым для  российского государственного регулирования  в области технической защиты информации. Несомненно, ранее существовали модели нарушителя или модели иностранных  технических разведок, но они использовались исключительно для выработки  четких нормативных требований к  защите, которые находили свое отражение  в соответствующих документах уполномоченных органов. Теперь же такой подход может быть применен любым оператором ПДн при построении защиты конкретной системы с учетом ее специфики.