Обеспечение безопасности персональных данных в сервисе «Контур-Отчет ПФ»

Процесс формирования отчетности в Пенсионный фонд предполагает обработку персональных данных сотрудников организации. Работа с персональными данными регламентированаФедеральным законом от 27.07.2006 № 152 "О персональных данных" (152-ФЗ).

Согласно закону 152-ФЗ, персональными данными являются личные данные физических лиц: ФИО, номер документа, удостоверяющего личность, заработная плата и другая информация.

Поскольку «Контур-Отчет ПФ» является веб-сервисом, персональные данные, необходимые для формирования отчетности, хранятся на серверах компании-разработчика (ЗАО «ПФ «СКБ Контур»).

Для предотвращения несанкционированного доступа и использования данные защищены в соответствии с требованиями закона 152-ФЗ.

Требования закона определяют порядок разработки системы защиты информации в информационных системах персональных данных. Информационная система персональных данных должна быть аттестована.

Разработчиками сервиса были успешно осуществлены следующие этапы подготовки к сертификации:

• для определения необходимого уровня защищенности данных была произведена классификация системы. Поскольку в сервисе «Контур-Отчёт ПФ» обрабатываются данные свыше 100000 работников различных организаций, и эти данные по своему характеру относятся к наиболее защищаемым, на этапе разработки сервису был присвоен первый класс. Это означает, что нарушение безопасности обрабатываемых персональных данных может привести к значительным негативным последствиям для субъектов персональных данных, общества и государства, поэтому их системы защиты должны нейтрализовать все актуальные угрозы безопасности.
• с учётом характера и объёма обрабатываемой информации было принято решение обеспечить сервису класс защищённости 1Г, устанавливаемый для информационных систем, содержащих конфиденциальную информацию;
• был произведен подробный анализ угроз безопасности.
• в апреле 2009 года разработка системы защиты информации сервиса была завершена. Система защиты аттестована с привлечением внешнего аудитора — ООО «Научно-технический центр Сфера» [http://www.ntc-sfera.ru/].

В соответствии с пунктом 1 статьи 22 152-ФЗ «О персональных данных» компания ЗАО «ПФ "СКБ Контур" уведомила Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своём намерении осуществлять обработку персональных данных и была внесена в реестр операторов персональных данных. Подтверждение регистрации в реестре операторов персональных данных можно посмотреть на сайте.

Для обеспечения безопасности используется сертифицированное средство криптографической защиты Крипто-Про. Это означает, что при передаче через сеть Интернет персональные данные шифруются, а доступ к ним может получить только лицо, обладающее именным сертификатом. Отсутствие возможности использовать шифровальные средства, встроенные в интернет-обозреватели и операционные системы, подтверждено официальным ответом Управления ФСБ по Свердловской области.

Разработчики сервиса для формирования отчетности в Пенсионный фонд «Контур-Отчет ПФ» гарантируют абонентам безопасность хранения персональных данных. Это обусловлено соблюдением Федерального закона № 152 «О персональных данных» (152-ФЗ) и подтверждено документами, находящимися в открытом доступе.

Основные понятия и термины, использованные в статье:

Федеральный закон «О персональных данных» (152-ФЗ) — нормативно- правовой акт, являющийся основой нормативного регулирования обработки (использования) персональных данных. Закон был принят 27 июля 2006 года и вступил в законную силу 26 января 2007 г. Согласно изменениям внесённым 363-ФЗ от 27.12.2009, операторы персональных данных должны привести свои системы обработки персональных данных запущенные до вступления закона в силу, в соответствие с законом до 1 января 2011 года. Целью закона является защита прав и свобод человека при обработке его персональных данных.

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Система защиты информации — комплекс мер технического, организационного и организационно-технического характера, направленных на защиту персональных данных.

Аттестация системы защиты информации — комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Внешний аудитор — организация, уполномоченная проводить аттестационные испытания системы защиты информации.

Класс защищенности 1Г — высокий класс защищенности, устанавливаемый для информационных систем, содержащих конфиденциальную информацию.

Оператор персональных данных — юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — федеральный орган исполнительной власти России в ведении Минкомсвязи России.

Средство криптографической защиты — это совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем и осуществлять криптографическое преобразование информации для обеспечения ее безопасности.