Защита персональных данных клиентов - необходимая составляющая работы "Почты России"

Григорий Аленицкий
Руководитель отдела информационной безопасности
дирекции телекоммуникаций и технического обеспечения
ФГУП "Почта России"

В соответствии с Федеральным законом "О почтовой связи" от 17.07.1999 г. № 176-ФЗ информация об адресных данных пользователей услуг почтовой связи, входящих в сферу деятельности операторов почтовой связи, а также сами эти почтовые отправления, переводимые денежные средства, телеграфные и иные сообщения являются тайной связи и могут выдаваться только отправителям (адресатам) или их представителям. Таким образом, при обработке персональных данных предприятие должно в соответствии с положениями Федерального закона "О персональных данных" № 152-ФЗ от 27.07.2006 г. и положениями Конституции и российского законодательства по предоставлению населению гарантий тайны переписки, почтовых, телеграфных и иных отправлений организовать защиту персональных данных клиентов.

Обработка персональных данных

Для этого ФГУП "Почта России" создало полноценную систему, которая удовлетворяет требованиям к защите персональных данных сразу нескольких групп субъектов: работников почты, клиентов, посетителей офисов, соискателей вакантных мест, представителей партнеров и контрагентов. Причем данная система защиты должна быть актуальной и работоспособной как в аппарате управления, находящемся в Москве, так и в самом далеком и в самом маленьком отделении почтовой связи.

Чтобы представить масштабность задачи, надо отметить, что "Почта России" - это предприятие, обладающее самой крупной в стране сетью фронт-офисов, где осуществляется непосредственное обслуживание клиентов. Это почти 42 тыс. стационарных и передвижных отделений связи и еще более тысячи пунктов и киосков почтовой связи. По всей стране предприятие ежедневно оказывает 2,5 млн услуг, или почти миллиард операций в год. Это услуги почтовой связи, прием и выдача заказной корреспонденции, отправление и выдача почтовых переводов, продажа товаров народного потребления, оформление страховок и кредитов, прием платежей. И почти при каждой операции клиент доверяет почтовикам адресную и финансовую информацию о себе или о своих адресатах.

Цели обработки персональных данных Почтой ограничены осуществлением и выполнением возложенных на нее законодательством Российской Федерации функций и определены требованиями законодательства РФ о связи и о почтовой связи, об обязательных видах страхования, страхового законодательства, законодательства о государственной социальной помощи, трудового законодательства, законодательства о пенсиях и государственному пенсионному обеспечению. Почта не обрабатывает персональные данные в случаях, когда это не допускается законами Российской Федерации.

Нововведения в защите ПДн

Работа по созданию системы защиты персональных данных на предприятии началась с проведения аудита существующих объектов почтовой связи. На примере нескольких десятков наиболее типовых объектов с различными функциональными особенностями, расположенных в разных регионах РФ, было проведено обследование на предмет существующих производственных процессов и технологических схем, затрагивающих обработку ПДн как в электронном, так и в бумажном виде. Были определены информационные системы, в которых происходит обработка персональных данных, их состав, порядок обработки, условия и правила хранения и уничтожения.

Защиту ПДн можно разделить на два основных направления: создание организационно-распорядительных документов и внедрение технических мер защиты. По итогам обследования разработаны организационно-распорядительные документы, описывающие порядок и условия обработки ПДн, а также были разработаны предложения по применению средств, обеспечивающих техническую составляющую защиты ПДн. Кроме того, были внесены коррективы в несколько выполняемых на данный момент проектов по внедрению информационных систем, осуществляющих обработку персональных данных, а именно: были разделены сведения о физических лицах и технологические сведения, возникающие и обрабатываемые в процессе оказания услуг. Там, где это было невозможно, применены криптографические средства защиты информации.

Меры по защите ПДн

Также были внесены изменения в несколько видов документов и информационных систем предприятия, были переведены в разряд незаполняемых некоторые поля в информационной системе, осуществляющей бухгалтерский и кадровый учет. А для каждой из групп субъектов персональных данных были определены и описаны в организационно-распорядительной документации:

• процессы, в которых используются персональные данные субъектов;
• категории обрабатываемых персональных данных;
• цели обработки данного набора персональных данных;
• правовое основание обработки персональных данных;
• сроки хранения персональных данных.

Для каждого из типовых объектов почтовой связи были разработаны и реализованы меры по защите ПДн с учетом различий этих объектов.

Далее в соответствии с требованиями законодательства приказом по предприятию был назначен ответственный за обработку ПДн на предприятии, были определены должности и конкретные работники аппарата управления, обрабатывающие ПДн. В том же приказе было дано поручение филиалам разработать аналогичные документы и назначить ответственных за обработку ПДн в каждом объекте почтовой связи. В течение трех месяцев необходимые документы были разработаны и ответственные - назначены. Таким образом, была создана вертикальная система ответственности за обработку ПДн на предприятии в целом.

Помимо этого, были разработаны политика и положение об обработке ПДн и модели угроз информационным системам персональных данных. Политика обработки ПДн размещена в открытом доступе на сайте предприятия. Был составлен перечень персональных данных, обрабатываемых на предприятии, и определен перечень информационных систем персональных данных. Информационные системы ПДн были классифицированы в соответствии с требованиями законодательства.

В зависимости от назначенного класса информационной системы персональных данных применены и технические средства защиты. Помимо серверной части информационных систем персональных данных, технические средства ограничения доступа предполагается установить на компьютерах работников предприятия, которые допущены к обработке персональных данных. Кроме того, активно используются такие меры защиты, как ограничение доступа в помещения, где обрабатываются ПДн, хранение персональных данных на учтенных носителях и другие подобные меры, определяемые рекомендациями регуляторов.

Таким образом, почта добилась того, что персональные данные обрабатываются только теми работниками, кому это необходимо в рамках выполнения служебных обязанностей.

Разработка и внедрение организационных и технических мер обеспечения ИБ - процесс постоянный, требующий непрерывной актуализации документов и обновления программных и технических мер защиты. В настоящее время на предприятии готовятся новые организационно-распорядительные документы, удовлетворяющие-изменившимся в период с ноября 2012 по март 2013 г. требованиям законодательства как в сфере защиты ПДн граждан, так и в сфере обеспечения ИБ.