Что включает в себя трансграничная безопасность

Что такое транспортная безопасность?

Обеспечение безопасности на транспорте с каждым годом приобретает все большую актуальность. Это связано с возрастающим количеством техногенных аварий и терактов, происходящих в последние десятилетия. Транспортная безопасность подразумевает систему мер, обеспечивающих сохранность грузов, жизни и здоровья пассажиров, которые перемещаются в поездах, путешествуют на морских судах, авиалайнерах и т.д. Несомненно, это очень ответственная профессия, требующая высокого уровня подготовки и постоянного повышения квалификации.

Чтобы соответствовать профстандартам, специалист по транспортной безопасности должен пройти качественную подготовку в специализированном учебном центре, а затем получить аттестационное удостоверение.

Транспортная безопасность: характеристика и правовое регулирование

Под системой безопасности на транспорте подразумевается закрепленный законодательно комплекс мер, направленный на защиту пассажиров и их багажа, а также грузов. Он распространяется на все виды транспорта:

Система обеспечения безопасности для каждого вида транспорта имеет свои особенности. Общее правовое регулирование данной отрасли в РФ осуществляется следующими нормативно-правовыми актами:

По некоторым видам транспорта действуют межгосударственные и межправительственные соглашения, затрагивающие, в том числе, вопросы безопасности.

Зачем нужна транспортная безопасность

Система ОТБ позволяет своевременно обнаружить и предупредить угрозу незаконного вмешательства в работу транспортного комплекса государства, тем самым обеспечив полную безопасность перемещения пассажиров и перевозки грузов на любые расстояния.

Специалист транспортной безопасности: кто это?

Согласно п.7.12 ст. 1 Закона №16-ФЗ, это лицо, в должностные обязанности которого входит обеспечение безопасности на транспорте.

Порядок подготовки специалистов ОТБ регламентируется приказами Минтранса, нормативными актами МВД РФ и документами, выпущенными Министерством образования России. По закону, все они должны пройти аттестацию.

Аттестация сил обеспечения транспортной безопасности

Закон №16-ФЗ закрепил обязательность прохождения аттестации для работников, деятельность которых сопряжена с обеспечением безопасности на транспорте. Иными словами, в перечень входят все специалисты, которые прошли или проходят обучение ОТБ.

Аттестация осуществляется специализированными организациями, имеющими аккредитацию Федерального дорожного агентства РФ. Проверочные мероприятия включают в себя:

Чтобы успешно сдать аттестацию и получить удостоверение, специалист должен пройти качественное обучение. Помните, что от выбора образовательной организации напрямую зависит ваш результат: допуск к работе, либо отстранение от нее.

Как стать специалистом транспортной безопасности?

Чтобы работать в данной сфере, необходимо пройти обучение. Для этого следует выбрать хороший образовательный центр, имеющий государственную лицензию. Например, СНТА. Наши опытные преподаватели разработали широкий перечень программ профессиональной переподготовки и повышения квалификации в сфере ОТБ. Просмотреть полный список обучающих курсов можно здесь.

Если вы решили сменить сферу деятельности и посвятить трудовую жизнь обеспечению безопасности на транспорте, следует пройти профессиональную переподготовку. СНТА реализует более 20 тематических курсов различной специализации:

Если вы уже являетесь специалистом в области ОТБ и планируйте повысить уровень квалификации, обратите внимание на следующие образовательные курсы СНТА:

Программа каждого обучающего курса соответствует законодательным стандартам, включает только актуальный материал. Учебные планы периодически обновляются и дополняются. Обучение завершается выдачей документа установленного образца: удостоверением о повышении уровня квалификации или дипломом о профессиональной переподготовке.

Источник

Российское и международное законодательство в области защиты персональных данных

В предыдущей публикации мы рассмотрели основные понятия и парадигму информационной безопасности, а сейчас перейдем к анализу российского и международного законодательства, регулирующего различные аспекты защиты данных, поскольку без знания законодательных норм, регулирующих соответствующие области деятельности компании, корректно выстроить систему управления риск- и бизнес-ориентированной информационной безопасностью невозможно. Штрафные санкции, а также репутационный ущерб от несоответствия законодательным нормам могут внести существенную коррективу в планы функционирования и развития организации: мы знаем, что, например, невыполнение норм защиты информации в национальной платежной системе может обернуться отзывом лицензии у финансовой организации, а несоответствие требованиям по месту первичного сбора и обработки персональных данных может привести к блокировке доступа к веб-сайту компании. Невыполнение же норм безопасности критической информационной инфраструктуры вообще может обернуться лишением свободы на срок до 10 лет. Разумеется, применимых законов и норм – огромное количество, поэтому в этой и двух последующих статьях сосредоточимся на защите персональных данных, защите объектов критической информационной инфраструктуры и информационной безопасности финансовых организаций.

Итак, в сегодняшней серии – персональные данные, поехали!

Прежде всего, надо рассказать об основополагающем документе, который регламентирует порядок работы с различной информацией в РФ, в т.ч. и с персональными данными — речь идет о Федеральном Законе №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает обязательные нормы и правила её обработки. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность — например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д. Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также классификатор видов информации, доступ к которой, напротив, не может быть ограничен — например, нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д.

Российские нормы по защите персональных данных

Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет и поднимаются в самых высоких кабинетах как в России, так и за рубежом, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.

Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками. С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году. Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федерального закона №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.

Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.

Итак, в 2006 году был принят 152-ФЗ «О персональных данных», который не только во многом повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных (далее — ПДн). Со временем в Федеральный Закон вносились изменения, основные из которых были введены 261-ФЗ от 25.07.2011 и 242-ФЗ от 21.07.2014. Первый закон внес существенные изменения в базовые постулаты защиты ПДн, а второй запретил первичную обработку ПДн за пределами территории РФ. Отметим, что уполномоченным государственным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации.

В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить установленные Постановлением Правительства №1119 от 01.11.2012 уровни защищенности ПДн, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности. Для моделирования этих угроз, т.е. построения модели угроз (далее — МУ) и модели нарушителя, следует опираться на следующие нормативные правовые акты:

Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые МУ в зоне их ответственности. Такие МУ были разработаны, например, в ЦБ РФ (сначала в виде РС БР ИББС-2.4, затем в виде Указания Банка России №3889-У), Министерством связи и массовых коммуникаций РФ («Модель угроз и нарушителя безопасности ПДн, обрабатываемых в типовых ИСПДн отрасли» и «Модель угроз и нарушителя безопасности ПДн, обрабатываемых в специальных ИСПДн отрасли»), Министерством здравоохранения РФ («Модель угроз типовой медицинской ИС типового лечебно-профилактического учреждения»).

В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее — ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»). В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня зависит от категории обрабатываемых ПДн (т.е. типа ИСПДн), категории и количества субъектов ПДн и типа актуальных угроз.

Категории ПДн могут быть специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения), биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности), общедоступными (ПДн получены из общедоступных источников), иными.

Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).

Выбор уровня защищенности (далее — УЗ) персональных данных зависит от перечисленных выше характеристик ИСПДн (категории обрабатываемых ПДн и тип актуальных для ИСПДн угроз), а также от категории субъектов (сотрудники оператора или иные лица) и количества субъектов, чьи ПДн обрабатываются (больше или меньше 100000 записей). Максимальным УЗ является 1-ый, минимальным – 4-ый.

Рассмотрим сначала Приказ №21. Данный документ посвящен мерам защиты ПДн для негосударственных ИС и содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн. В п.4 операторам негосударственных ИС дается послабление в виде разрешения не использовать сертифицированные СЗИ в случае отсутствия закрываемых ими актуальных угроз, а п.6 документа устанавливает трехлетний интервал проведения оценки эффективности реализованных мер. Приказ №21, равно как и Приказ №17, предлагает одинаковый алгоритм выбора и применения мер для обеспечения безопасности: сначала осуществляется выбор базовых мер на основании положений соответствующего Приказа, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных «базовых» мер в зависимости от особенностей информационных систем и использующихся технологий. Затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.

Приказ №21 в п.10 содержит важное замечание о возможности оператора применять компенсирующие меры при невозможности технической реализации или экономической нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности ПДн. В случае, если оператор использует сертифицированные СЗИ, регулятор в п.12 Приказа предъявляет требования к классам применяемых СЗИ и к средствам вычислительной техники (далее — СВТ).

Сертифицированные межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы в соответствии с недавно (в 2011-2016 гг.) введенными классификаторами ФСТЭК России могут иметь классы от 1 (максимальный уровень обеспечения защиты) до 6 (минимальный уровень). СВТ могут быть классифицированы по семи уровням в соответствии с руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия недекларированных возможностей в ПО СЗИ — существует четыре уровня контроля. Актуальный список сертифицированных СЗИ содержится в государственном реестре сертифицированных средств защиты информации.

В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны быть применены в зависимости от требуемого уровня защищенности ПДн:

• Идентификация и аутентификация субъектов доступа и объектов доступа
• Управление доступом субъектов доступа к объектам доступа
• Ограничение программной среды
• Защита машинных носителей ПДн
• Регистрация событий безопасности
• Антивирусная защита
• Обнаружение вторжений
• Контроль (анализ) защищенности ПДн
• Обеспечение целостности ИС и ПДн
• Обеспечение доступности ПДн
• Защита среды виртуализации
• Защита технических средств
• Защита ИС, ее средств, систем связи и передачи данных
• Выявление инцидентов и реагирование на них
• Управление конфигурацией ИС и системы защиты ПДн.

Приказ №17 устанавливает требования к обеспечению безопасности информации ограниченного доступа в ГосИС, при этом в п.5 подчеркивается, что при обработке ПДн в ГосИС следует руководствоваться и ПП-1119. Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации. Данный документ предполагает выполнение операторами следующих мероприятий для обеспечения защиты информации (далее — ЗИ): формирование требований к ЗИ; разработка, внедрение и аттестация системы ЗИ ИС; обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации. Пункт 14.3 Приказа говорит о необходимости создания модели угроз и предлагает использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России, о котором мы говорили в предыдущей публикации. Для ГосИС устанавливается класс защищенности (от максимального 1-го до минимального 3-го), который зависит от уровня значимости обрабатываемой информации и масштаба системы, где уровень значимости зависит от степени возможного ущерба свойствам безопасности (конфиденциальность, целостность, доступность) обрабатываемой в ГосИС информации, а масштаб системы может быть федеральным, региональным или объектовым.

В ГосИС 1-го класса защищенности должна быть обеспечена защита от действий нарушителей с высоким потенциалом, в ГосИС 2-го класса — от нарушителей с потенциалом не ниже усиленного базового (в БДУ их потенциал называется «средним», а в проекте Методики определения угроз безопасности информации в ИС — «базовым повышенным»), в ГосИС 3-го класса — от нарушителей с потенциалом не ниже базового (в БДУ этот потенциал называется «низким»). Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные СЗИ, в п.26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля отсутствия НДВ, в зависимости от класса ГосИС. В п.27 проводится связь между классом защищенности ГосИС и уровнями защищенности ПДн, обрабатываемыми в ней: выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн, для 2-го класса — 2, 3 и 4 УЗ, для 3-го класса — 3 и 4 УЗ.

Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа №21, описанными выше, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией. Эти действия выполняются уже после построения системы защиты, на этапе эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты информации и контролем за обеспечением уровня защищенности информации в ГосИС.

Кроме Приказа №17 при реализации соответствующих мер ЗИ можно также руководствоваться и методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», в котором более детально раскрываются состав и содержание всех мер.

Международные нормы по защите персональных данных

Если в России не утихают споры относительно правоприменения 152-ФЗ и соответствующих подзаконных актов, то в Европейском Союзе последние 3 года ведется работа по внедрению и соответствию нормам GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных). Данный документ, с момента его принятия в апреле 2016 года и до момента вступления в силу 25 мая 2018 года, а также и в настоящий момент, вызывает множество вопросов и споров, поскольку он касается большого количества граждан и компаний по всему миру.

Предшественником GDPR в Европейском Союзе была Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 года «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». После принятия GDPR права субъектов ПДн существенно расширились, а обязанности операторов и штрафы за их неисполнение существенно возросли.

Само определение ПДн в GDPR не сильно отличается от того, что было принято в Конвенции Совета Европы и от аналогичного определения в отечественном 152-ФЗ: под персональными данными в рамках GDPR понимается любая информация, относящаяся к идентифицированному или идентифицируемому лицу (субъекту персональных данных). Под идентифицируемым лицом понимается то лицо, которое может быть идентифицировано, прямо или косвенно, в частности с использованием таких идентификаторов, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или при помощи одного или нескольких факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального статуса этого лица. Таким образом, под определение ПДн подпадают не только привычные нам характеристики, но и IP-адрес, установленные пользователю cookie-идентификаторы, данные о геолокации пользователя и иные технические атрибуты.

Новым важным термином в GDPR является «профилирование» (англ. profiling), под которым понимается любая форма автоматизированной обработки персональных данных в целях оценки определенных аспектов личности, в частности для анализа или предсказания работоспособности человека, его материального положения, здоровья, личных предпочтений, интересов, поведения, местоположения или передвижений.

Как и в 152-ФЗ, в GDPR используются такие понятия, как «обработка персональных данных», «обработчик», «оператор» (англ. controller), «трансграничная обработка», «псевдонимизация» (обезличивание) и подобные универсальные термины.

Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн граждан ЕС и иных граждан, находящихся на территории ЕС. При этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также находиться за пределами ЕС. Примеры, касающиеся операторов-компаний из РФ:

Кроме вышеописанных принципов, в GDPR также присутствуют следующие нормы:

Практика взаимодействия США и Европы по вопросам обработки личных данных

В июле 2016 года было введено в действие соглашение о защите конфиденциальности между ЕС и США EU-U.S. Privacy Shield. Данное соглашение является фреймворком, который определяет подходы коммерческих компаний к защищенному обмену ПДн между Евросоюзом и Северной Америкой. Цель такого соглашения — привести в соответствие нормы GDPR по защите ПДн в ЕС и методы обеспечения их безопасности в США. Предшественником данного фреймворка было соглашение Safe Harbor Privacy Principles («Принципы Безопасной Гавани для защиты личных данных»), которое действовало с 2000 по 2015 годы и подтверждало, что методы обеспечения безопасности ПДн в США соответствуют нормам Европейской Директивы 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». Указанное соглашение было подвергнуто критике из-за выявленных фактов целенаправленного постоянного доступа к ПДн европейских граждан со стороны правительства США, в частности, Агентства Национальной Безопасности. Это было учтено Европейским судом, который вынес в октябре 2015 года решение о недействительности Принципов Безопасной Гавани. Таким образом, в настоящее время компании из США, желающие обрабатывать ПДн граждан Евросоюза, должны соответствовать требованиям EU-U.S. Privacy Shield. Подтверждение соответствия осуществляется в виде добровольной самостоятельной сертификации в Министерстве торговли США. Компания-оператор должна выполнять следующие базовые требования, подтверждающие адекватный уровень защиты ею ПДн граждан Евросоюза:

Штрафные санкции за невыполнение требований по защите ПДн в разных странах

1. Штрафы, взимаемые за нарушение российского законодательства о защите персональных данных, регламентируются ст. 13.11 КоАП РФ, в которой предусматриваются семь составов правонарушений, введенных в июле 2017 года. Например, часть 1 ст. 13.11 КоАП РФ предусматривает наказание операторов за обработку ПДн в случаях, не предусмотренных законом, либо обработку, несовместимую с целями сбора ПДн, в размере до 50 тысяч рублей. Часть 2 ст. 13.11 КоАП РФ предусматривает наказание за обработку ПДн без согласия субъекта либо за нарушения в процессе получения такого согласия, в размере до 75 тысяч рублей. Кроме того, невыполнение норм о локализации баз ПДн на территории РФ является нарушением ст.1 242-ФЗ и ст.15.5 149-ФЗ, что грозит блокированием доступа к веб-ресурсу компании-нарушителя на основании вынесенного судебного решения.

Следует учитывать, что штраф может быть наложен за каждый факт нарушения законодательных норм. Более того, недавно в Государственную Думу был внесен законопроект, подразумевающий введение двух новых составов правонарушений в области защиты ПДн — депутаты предлагают накладывать миллионные штрафы за невыполнение норм 242-ФЗ, т.е. за отказ от локализации баз ПДн россиян на территории РФ, а также за повторные нарушения требования по локализации.

2. Штрафы, взимаемые европейскими регуляторами за невыполнение норм GDPR в случае незначительных нарушений составляют до 10 миллионов евро или 2% от мирового годового оборота компании, а в случае существенных — до 20 миллионов евро или 4% от мирового годового оборота. При этом за год действия требований GDPR уже подведена неутешительная статистика: было проведено более 200000 проверок в отношении операторов, а общая сумма штрафов составляет более 56 миллионов евро, при этом 50 миллионов евро составляет сумма штрафа, выставленного интернет-гиганту Google со стороны французского регулятора в области защиты ПДн.

3. Штрафы, взимаемые Федеральной торговой комиссией США с компаний, не соответствующих принципам Privacy Shield, составляют до 40 тысяч долларов за факт нарушения плюс 40 тысяч долларов за каждый последующий день незаконной обработки ПДн после выявления нарушений.

Источник