Требования к системе защиты персональных данных

Понятие персональных данных и требования к их обработке и защите, установленные Правительством РФ

Персональные данные (ПДн) – особенная категория информации, к которой предъявляются повышенные требования в процессе обработки и хранения.

Субъектами сведений персонального характера выступают физические лица, несанкционированное распространение таких данных может привести к негативным последствиям. Поэтому профильным законом в России установлены нормативные положения, призванные защитить ПДн.

О том, как по закону операторы должны обращаться с конфиденциальной информацией граждан Российской Федерации на всех этапах обработки мы подробно расскажем в материале.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Законодательные основы

С момента принятия законодательно акта Государственной Думой, в него вносились многочисленные дополнения и изменения. Одним из последних стало требования – разместить сервисы с информацией, входящей в перечень ПДн, на территории Российской Федерации.

В этом документе очерчены принципы обработки данных, указаны обязанности операторов, а также степень ответственности за несоблюдение закона.

Характер предписаний

К защите

Сведения о требованиях, реализуемых в отношении защиты информации конфиденциального характера, утверждены Правительством РФ в Постановлении кабинета министров РФ от 1 ноября 2012 года N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Все обязанности по защите ПД ложатся на оператора, осуществляющего их сбор и обработку.
  1. Любая система, работающая с персональной информацией, пользуется средствами защиты от актуальных угроз и соответствующими информационными технологиями.
  2. Оператор определяет актуальные угрозы, а также оценивает их потенциальный вред по алгоритму пункта 5 части 1 статьи 18 Федерального закона «О персональных данных». Разработать соответствующую модель угроз и применять ее на практике для защиты информации.
  3. Оператор устанавливает для ПДн уровень защищенности.
  • 1 уровень устанавливается для систем, обрабатывающих специальные категории персональных данных, либо биометрические сведения, а также операторов, работающих с более чем ста тысячам субъектов ПДН (если они не являются сотрудниками).
  • 2 уровень присваивается операторам, обрабатывающим информацию более ста тысяч субъектов (если они являются сотрудниками), общедоступные данные более чем ста тысяч субъектов, биометрические данные менее ста тысяч субъектов.
  • 3 уровень присваивается системам, работающим с информацией, принадлежащей 10 тысячам субъектов, не являющихся сотрудниками оператора.
  • 4 уровень получают системы, работающие с общедоступной информацией ПДн, которая считается обезличенной и не дает возможности идентифицировать человека.

Четвертый уровень безопасности обеспечивается следующими позициями:

  • организация режима доступа к помещениям, в которых размещена информационная система (без возможности случайного проникновения);
  • обеспечение сохранности физических платформ ПДн;
  • утверждение документа с перечнем лиц, которым доступна система.

Третий уровень обусловлен одним дополнительным, по сравнению с 4 уровнем, требованием – назначить должностное лицо, ответственное за безопасность. На втором уровне добавляется обязательное ограничение доступа к каталогу ПДн только для должностных лиц оператора.

А операторы с первым уровнем защищенности должны автоматически вносить в средство электронного учета изменения полномочий сотрудников, имеющих доступ к ПДн, а также создать структурное подразделение (или возложить на существующее), в обязанности которого входит обеспечение безопасности персональных сведений.

Посмотреть видео о том, как необходимо осуществлять защиту персональных данных:

К обработке в информационных системах

  • Оператор информационных систем работает с данными на основе законодательных актов.
  • В системе обработка ограничивается действиями, необходимыми для реализации конкретных целей, определенных заранее. Несовместимая с целями сбора обработка является нарушением.
  • Объединение баз, которые содержат ПДн, собранные с разными целями, не допускается.
  • Обрабатываются только данные, отвечающие целям обработки.
  • Не допускается избыточности по отношению к заявленным целям обработки.

Примечательно, что к обработке предъявляется обязательное требование – наличие согласия субъекта на обработку персональных данных с информированием о целях такой процедуры.

Для хранения оператор должен утвердить два нормативных документа:

  1. Политика в отношении обработки ПДн.
  2. Соглашение об обработке персональной информации.

Субъект имеет право ознакомиться с уставными бумагами и только после этого давать или не давать согласие на обработку его личной информации.

К хранению

Хранение ПДн осуществляется в форме, дающей возможность вычислить субъекта только в рамках установленных сроков. Кроме того, хранение сведений (в том числе сроки) могут устанавливаться нормативными актами разного уровня.

Персональные данные, согласно новым требованиям Роскомнадзора, предъявляемым к их защите, необходимо хранить только на территории Российской Федерации (физически сервера или ЦОДы должны находиться внутри государства).

К обеспечению безопасности

В статье 19 Федерального закона «О персональных данных» прописаны требования к обеспечению безопасности со стороны оператора. Они включают в себя следующие мероприятия:

  1. Реализовывать меры широкого спектра, в том числе технического и организационного.
  2. Организовывать процедуру оценки соответствия средств защиты.
  3. Оценивать эффективность мер по обеспечению безопасности.
  4. Вести учет машинных носителей конфиденциальных сведений.
  5. Обнаруживать факты несанкционированного доступа , восстанавливать, сведения, если в процессе несанкционированного доступа они были удалены или изменены.
  6. Устанавливать правила доступа к системам с конфиденциальной информацией.

Как видите, законодательство Российской Федерации предъявляет к операциям с ПДн массу требований. Это связано с особенностями сведений и тем фактом, что они должны сохраняться в условиях конфиденциальности.

Среди систем различают системы с разным уровнем защищенности в зависимости от особенностей самых данных.

Неконтролируемое распространение ПДн считается нарушением и может повлечь за собой ущерб для субъекта сведений, которые должны быть конфиденциальными. Требование не учитывается только для обезличенных сведений.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/trebovniya-k-p-d.html

Защита персональных данных — из 2011 в 2013 или изменения длиной в два года

Два года назад Федеральным законом от 25.07.2011 № 261-ФЗ были внесены существенные изменения в принципы организации защиты персональных данных (далее — ПДн). Однако во внесенных изменениях были заложены основные принципы, о которых было рассказано в статье «Защита персональных данных — изменения 2011» — см. /document.jsp? >

Читайте так же:  Выезд за границу при наличии исполнительного производства

Определены новые требования к защите ПДн

В настоящее время основными подзаконными актами, определяющими требования к организации защиты ПДн, являются Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — Постановление № 1119), пришедшее на смену Постановлению Правительства РФ от 17.11.2007 № 781, и приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — Приказ ФСТЭК России № 21). Приказ был зарегистрирован в Минюсте России 14.05.2013 (№ 28375) и пришел на смену приказу ФСТЭК России от 05.02.2010 № 58. Проанализируем внесенные изменения.

Типы угрозы

Основной целью при организации защиты персональных данных является нейтрализация актуальных угроз в информационной системе (далее — ИС), определенных в соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

Напомним, что актуальные угрозы определяются с учетом содержания персональных данных, характера и способов их обработки. В соответствии с пунктом 6 Постановления № 1119: «Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия».

В отношении безопасности персональных данных различают угрозы трех типов:

— «Угрозы 1 типа. связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении.

— Угрозы 2 типа. связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении.

— Угрозы 3 типа. не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении. »

Справка

Недекларированные возможности — функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки (РД «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999)).

Определение типа угроз ПДн, актуальных для информационных систем персональных данных (далее — ИСПДн), производится оператором с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона № 152-ФЗ, соотношением указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн.

Кроме установленных Постановлением № 1119 типов угроз, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки (ч. 6 ст. 19 Закона № 152-ФЗ).

Уровни защищенности

Постановлением Правительства РФ № 1119 установлены 4 уровня защищенности ПДн, которые должны быть обеспечены в зависимости от типа угрозы, категории обрабатываемых данных и количества ПДн. Рассмотрим возможные варианты от первого уровня, предъявляющего наиболее серьезные требования к защите ПДн, к наиболее низкому, четвертому, где требования минимальны (см. таблицу 1).

Таблица 1. Уровни защищенности ПДн в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119

Категория обрабатываемых ПДн

Количество обрабатываемых данных

Требования по защите (Постановление № 1119)

иные категории ПДН

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

специальные категории ПДн сотрудников организации

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

менее чем 100000

общедоступные ПДн, не являющихся сотрудниками оператора ПДн

иные категории ПДн, не являющихся сотрудниками оператора ПДн

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

общедоступные ПДн сотрудников оператора

общедоступные ПДн, не являющихся сотрудниками оператора ПДн

иные категории ПДн сотрудников оператора

иные категории ПДн, не являющихся сотрудниками оператора ПДн

специальные категории ПДн сотрудников организации

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

менее чем 100000

иные категории ПДн, не являющихся сотрудниками оператора ПДн

иные категории персональных данных сотрудников оператора

иные категории ПДн, не являющихся сотрудниками оператора ПДн

Справка

Специальные категории персональных данных — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.

Общедоступные персональные данные — данные, полученные из общедоступных источников ПДн (в том числе, справочников, адресных книг). В соответствии с пунктом 1 статьи 8 Закона № 152-ФЗ в общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Проанализировав приведенную таблицу 1 можно предположить, что если оператором применяются программные средства (как системные, так и прикладные), прошедшие процедуру соответствия на отсутствие недекларированных возможностей, то тип угрозы будет 3, а, соответственно, необходимый уровень защищенности — 3-го или 4-го уровня, что будет зависеть от объема и категории обрабатываемой информации.

Как отмечалось выше, требования по защите ПДн зависят от уровня защищенности. Постановлением № 1119 установлены следующие требования (см. таблицу 2).

Таблица 2. Требования по защите ПДн в зависимости от уровня защищенности в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119

Читайте так же:  Жалоба на мирового судью в прокуратуру

Требование по защите ПДн

1

2

3

4

Организация режима обеспечения безопасности помещений, в которых размещена ИС, препятствующая возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения

Обеспечение сохранности носителей персональных данных

Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей

Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

Назначение должностного лица (работников), ответственного за обеспечение безопасности ПДн в ИС

Ограничение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в данном журнале, необходимы для выполнения служебных (трудовых) обязанностей

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника по доступа к ПДн, содержащимся в ИС

Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИС, либо возложение на одно из структурных подразделений по обеспечению такой безопасности.

Конкретные требования к выбору средств защиты информации для системы защиты ПДн должны осуществляться оператором в соответствии с Приказом ФСТЭК России № 21.

Состав и содержание мер по обеспечению безопасности ПДн

Перечень мер по обеспечению безопасности ПДн, реализуемых в рамках системы защиты ПДн с учетом актуальных угроз безопасности, поименован в пункте 8 Приказа ФСТЭК России № 21.

Отметим некоторые из них:

  • идентификация и аутентификация субъектов доступа (пользователей) и объектов доступа (данные);
  • управление доступом субъектов доступа к объектам доступа;
  • регистрация событий безопасности;
  • антивирусная защита;
  • контроль (анализ) защищенности ПДн и т. п.

В приложении к Приказу ФСТЭК России № 21 приведен состав и содержание организационных и технических мер по обеспечению безопасности ПДн, необходимых для обеспечения каждого из уровней защищенности ПДн.

Видео (кликните для воспроизведения).

Соответственно, после установления уровня защищенности, необходимо определить базовый набор мер по обеспечению безопасности ПДн. Например, для минимального 4-го уровня такой набор состоит более чем из 30 мер.

Далее данный базовый набор мер подлежит адаптации с учетом структурно-функциональных характеристике ИС (в том числе, возможно исключение мер, непосредственно не связанных с информационными технологиями, не используемыми в ИС, или структурно-функциональными характеристиками, не свойственными ИС), утонению и дополнению мерами, обеспечивающими выполнение требований к защите персональных данных, установленных ими нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации.

Таким образом, в результате, основываясь на требованиях, предусмотренных в Приказе ФСТЭК России № 21, должен быть получен комплекс мер, необходимый и достаточный для защиты ПДн конкретного оператора в соответствии с требованиями действующего законодательства.

Следует отметить, что в случае изменения категории обрабатываемых данных, структурно-функциональных характеристик ИС разработанный комплекс мер подлежит пересмотру.

Также не следует забывать об оценке эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн, которая может проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Такая оценка должна проводиться не реже одного раза в три года.

О сертификации ЗПК «1С:Предприятие, версия 8.2z»

В целях соответствия требованиям законодательства РФ о защите персональных данных фирмой «1С» в 2010 году была проведена сертификация Защищенного программного комплекса (далее — ЗПК) «1С:Предприятие, версия 8.2z». Сертификатом соответствия № 2137 подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» является программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну. Первоначальный срок действия сертификата установлен с 20.07.2010 по 20.07.2013.

В мае-июле 2013 года были проведены мероприятия по продлению действия ранее полученного сертификата соответствия. Действие сертификата № 2137 продлено до 20 июля 2016 года.

Полученным сертификатом № 2137 подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» соответствует требованиям руководящих документов:

  • «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) — по 5 классу защищенности;
  • «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля.

Ознакомиться с сертификатом можно здесь>>.

Обращаем внимание пользователей ЗПК «1С:Предприятие, версия 8.2z», что в новом сертификате исключена имевшая место ранее фраза: «а также для защиты информации в информационных системах персональных данных до 1 класса включительно». Данное исключение связано с отсутствием в настоящее время в действующем законодательстве по защите персональных данных понятия «класс информационной системы персональных данных».

Пунктом 12 Приказа ФСТЭК России № 21 предусмотрено требование об использовании в информационных системах персональных данных сертифицированных по требованиям безопасности средств защиты информации средств вычислительной техники не ниже 5 класса защищенности (для обеспечения 1-3 уровня защищенности) и не ниже 6 класса защищенности (для обеспечения 4 уровня защищенности). Таким образом, в сертификате подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» может использоваться при построении ИСПДн для любого уровня защищенности.

Дополнительно считаем необходимым отметить следующее:

Источник: http://buh.ru/articles/documents/17807/

Защита персональных данных. Соответствие СЭД 152-ФЗ

Периодически из уст заказчиков слышен вопрос: «Удовлетворяет ли ваша система требованиям закона о персональных данных и в тендерных документациях мелькают требования реализации проекта по защите данных. Но для чего реально необходима эта магическая аббревиатура ИСПДн заказчику, он не всегда в состоянии корректно объяснить. Углубимся в вопрос.

1. Требования к системе СЭД по защите ПДн

1.1. Немного законодательства

Итак, начнем с самого начала. Попробуем понять откуда «растут ноги»?

26 января 2007 г. вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», который определил необходимость защиты персональных данных субъектов (далее ПДн) в целях зашиты прав и свобод человека и гражданина. За невыполнение требований данного закона предусмотрена административная и уголовная ответственность как для юридических, так и физических лиц (сотрудников и руководителей организаций), а деятельность самой организации может быть приостановлена по требованию Роскомнадзора. Таким образом, операторы информационных систем персональных данных (далее ИСПДн) обязаны защищать переданные им ПДн от угроз, реализация которых может повлечь за собой ущерб владельцам этих данных.

Читайте так же:  Посмертная психиатрическая экспертиза судебная практика

Напомним, что такое персональные данные. В соответствии с законом, определение звучит так: «Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». То есть, если идти от обратного, то только та совокупность данных, которая позволяет определить конкретный субъект, является персональной.

1.2. СЭД и ПДн: есть ли взаимосвязь?

Имеет СЭД отношение к проблеме обеспечения защиты ПДн?

Ответ – да. Если СЭД содержит в своем составе справочники сотрудников предприятия и контрагентов, и эти данные хранятся в системе таким образом, что может быть определен конкретный субъект, это означает, что она содержит ПДн. Плюс в СЭД также могут храниться и обрабатываться различные анкеты, характеристики, персональные дела, истории болезней и т.д. – а эти документы в том числе относятся к определенной категории ПДн. Ситуация «усугубляется», если компания ориентирована на работу с физическими лицами и СЭД вовлечена в сферу их обслуживания. Это касается органов государственной власти, где ведется непосредственная работа с населением; медицинские и образовательные учреждения; телекоммуникационные компании; кредитные организации и т.д. – операторы ПДн.

Статья 19 152 ФЗ «О персональных данных» устанавливает, что: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Отметим, что в законе прямо не указываются какими конкретными средствами и методами обеспечения безопасности ПДн должен пользоваться оператор. До 1 июля 2011 года мы руководствовались постановлениями правительства РФ за номерами 781, 512 и 687, так называемых «приказом Трех» и приказом ФСТЭК № 58. После чего был принят 261-ФЗ и «Старая» часть 3 ст. 19 «растеклась» по нескольким частям нового закона, изменившись до неузнаваемости.

Ч. 3 ст. 19: «Правительство Российской Федерации, с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных, устанавливает:

уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

Вот мы с вами впервые столкнулись с термином «Уровень защищенности ПДн». Что это и с чем его «едят»?

1.3. Определение уровня защищенности ПДн

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных. Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

● 1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

● 2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

● 3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

● 4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

● обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);

● обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

● менее 100 000 субъектов;

● более 100 000 субъектов;

И наконец, типы актуальных угроз:

● угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;

● угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;

● угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому предприятие может как провести работы по определению уровня защищенности самостоятельно (за исключением аттестации, для которой требуется специальная лицензия), так и привлечь внешних консультантов.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности ПДн в соответствии со следующей таблицей:

Таблица 1. Определение уровня защищенности ПДн

1.4. Сертифицированный продукт: нужен или нет.

Подведем итоги в рамках первой части нашего исследования.

Если в СЭД будут храниться ПДн, значит необходима сертификация данной системы. Как правило, в сертификации продукта заинтересован сам разработчик данного софта, а заказчику остается только приобрести сертифицированный экземпляр продукта. Сертификат на конкретную версию или поколение выдает ФСТЭК России на строго определенный срок. Фактически данный сертификат удостоверяет, что система СЭД соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации». Кстати, чтобы Заказчику провести аттестацию СЭД, помимо приобретения сертифицированного экземпляра продукта, может также потребоваться сертификат на встроенные в него средства защиты информации. На что именно и какого уровня, зависит от необходимого уровня защищенности ИСПДн, к которой отнесена СЭД.

Читайте так же:  Подготовка дела к судебному разбирательству статья

Отмечу один существенный недостаток во всем этом: процедура сертификации продукта процесс длительный. Т.е. к моменту, когда будет сертифицирована одна версия системы, она уже успеет морально устареть. Хотя этот вопрос все же разрешим: разработчик СЭД может сертифицировать сразу целое поколение. Это будет означать, что реальную сертификацию в ФСТЭК проходит первая версия системы из всего поколения, но, если заказчику потребуется поставка более свежей версии, то после ее установки и настройки достаточно будет всего лишь дополнительно провести процедуру инспекционного контроля.

Инспекционный контроль осуществляется с целью установления того, продолжает ли ИСПДн соответствовать требованиям, на соответствие которым она была сертифицирована. Как правило, если настройка не затронула механизм разграничений прав доступа, шифрования, ведения логов и прочее в сравнении с ранее сертифицированной версией продукта, то сертификация системы заказчика пройдет без всяких проблем и в кратчайшие сроки.

2. Виды работ. Перечень ИСПДн

Напоминаю, что в первой части нашего исследования мы разбирались с сертификацией СЭД-системы. В результате мы с вами подходим к очень важному для нас выводу: сама СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в 152 ФЗ, на который ссылается большинство Заказчиков. На самом деле СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем. Поэтому просто приобретение сертифицированной версии продукта СЭД для заказчика будет недостаточно. Дополнительно потребуется проведение ряда работ, которых мы рассмотрим во второй части нашего исследования.

СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем.

2.1. Перечень требований к ИСПДн

Прежде всего давайте разберемся, какие требования должны соблюдаться?

Перечень требований, предъявляемый к используемым техническим средствам и программном продукту СЭД на предприятие, выполнение которых необходимо для нейтрализации угроз безопасности ПДн, определяется в зависимости от уровня защищенности ПДн. Данный перечень требований можно представить в следующей таблице:

Таблица 2. Перечень требований, предъявляемый к ИСПДн

Регулярный контроль за выполнением требований

Контроль за выполнением требований организуется и проводится оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые сами оператором или его уполномоченным лицом.

Физ.безопасность и контроль доступа

Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих в них права доступа

Обеспечение сохранности носителей персональных данных

Источник: http://ecm-journal.ru/card.aspx?ContentID=90145048

Построение системы защиты персональных данных

9.1. Основные этапы при построении системы защиты персональных данных

Система защиты ПД может быть как отдельной системой, так и подсистемой в составе системы защиты информации организации в целом. Как правило, выполнение работ по построению СЗПД происходит поэтапно и включает в себя следующие стадии:

  1. предпроектная стадия или оценка обстановки;
  2. стадия проектирования;
  3. ввод в действие СЗПД.

Предпроектная стадия или оценка обстановки. В самом начале построения СЗПД производится оценка обстановки. На данном этапе производятся следующие работы:

  1. разрабатывается перечень информационных систем организации, которые работают с ПД;
  2. определение состава ПД и необходимость их обработки;
  3. определение перечня ПД, которые необходимо защищать;
  4. определение контролируемой зоны и расположения компонентов ИСПД относительно границ этой зоны;
  5. строится модель корпоративной сети;
  6. определение топологии и конфигурации ИСПД, программ и технических средств, которые используются или предполагаются к использованию для обработки ПД;
  7. установление связей ИСПД с другими системами организации;
  8. определение режимов обработки ПД;
  9. определение угроз безопасности;
  10. определение класса ИСПД;
  11. уточняется степень участия персонала в обработке ПД.

Важным пунктом данного этапа является построение частной модели угроз и предварительная классификация ИСПД данной организации. Классификация ИСПД производится в соответствии с приказом » Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 года. Результатом данного этапа является формирование частного технического задания (ТЗ) к СЗПД .

Техническое задание должно содержать:

  • обоснование разработки СЗПД;
  • исходные данные создаваемой (модернизируемой) ИСПД в техническом, программном, информационном и организационном аспектах;
  • класс ИСПД;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПД и приниматься в эксплуатацию ИСПД;
  • конкретизацию мероприятий и требований к СЗПД;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПД.
  1. стадия проектирования. На данном этапе разрабатывается задание и проект проведения работ в соответствии с ТЗ, выполняются все требуемые работы, в том числе закупка технических средств защиты и их сертификация в случае необходимости. Разрабатывается система доступа к ПД должностных лиц и определяются ответственные за эксплуатацию средств защиты информации.

Важным подэтапом является разработка эксплуатационной документации на ИСПД и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов).

Этап проектирования является наиболее важным и трудоемким, так как при реализации СЗПД необходимо учесть множество факторов, таких как масштабирование, совместимость средств защиты со штатным программным обеспечением, возможность периодического тестирования системы защиты и замены отдельных компонентов системы в случае необходимости.

В случае если в процессе опытной эксплуатации выявляются недостатки разработанной СЗПД, проводится ее доработка.

Для ИСПД, находящихся в эксплуатации до введения ФЗ №152 «О персональных данных» от 27 июля 2006 года, должны быть проведены работы по их модернизации в соответствии с требованиями Федерального закона и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» №781.

Читайте так же:  Восстановление срока предъявления исполнительного листа основания

9.2. Комплекс организационных и технических мероприятий в рамках СЗПД

Для обеспечения безопасности персональных данных организации требуется провести комплекс технических и организационных мероприятий в рамках построения СЗПД и ее эксплуатации.

Организационные меры носят административный и процедурный характер и регламентируют процессы функционирования ИСПД, обработку ПД и действия персонала. Организационные меры включают в себя:

  1. разработка организационно-распорядительных документов, предназначенных для регламентации процессов хранения, обработки, сбора и накопления персональных данных, а также их защиту;
  2. уведомление уполномоченного органа (Роскомнадзора) о намерении обрабатывать ПД;
  3. получение письменного согласия на обработку ПД от субъектов ПД;
  4. определение должностных лиц, которые будут работать с ПД;
  5. организация доступа в помещения, где будет вестись обработка ПД;
  6. разработка должностных инструкций по работе с ПД;
  7. определение сроков хранения ПД;
  8. планирование мероприятий по защите ПД;
  9. обучение персонала.

Организационные меры индивидуальны для каждой организации и в первую очередь определяются классом ИСПД, которые обрабатывают персональные данные . Чем выше класс ИСПД, тем больше мероприятий организационного характера требуется для ее защиты. Организационные меры необходимы для регламентации функционирования системы в целом, но явно не достаточны. Для обеспечения безопасности они должны быть подкреплены использованием технических средств защиты.

Техническое мероприятие – это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений. Техническая защита по своей структуре и содержанию является более сложным и трудоемким процессом в отличие от организационных мероприятий и предусматривает выполнение следующих условий:

  1. для выполнения работ по технической защите требуется лицензия;
  2. для выбора адекватных и достаточных средств защиты необходимо тщательное обследование ИСПД, построение модели угроз и классификация ИСПД;
  3. на основе данного обследования формируется перечень требований по обеспечению безопасности;
  4. требуется провести работы по проектированию, созданию и вводу в эксплуатацию СЗПД;
  5. для проведения аттестации(сертификации) на соответствие ИСПД требованиям законодательства необходимо наличие соответствующих лицензий.

Согласно Указу Президента РФ «Об утверждении перечня сведений конфиденциального характера» персональные данные относятся к категории сведений конфиденциального характера. На основании Федерального закона от 8 августа 2001 г. №128-ФЗ «О лицензировании отдельных видов деятельности» техническая защита конфиденциальной информации (в нашем случае персональных данных) относится к лицензированному виду деятельности. Таким образом, для проведения мероприятий по защите персональных данных необходимо привлекать организации, имеющие соответствующие лицензии ФСТЭК. Деятельность по защите информации без наличия соответствующих лицензий влечет за собой как административную, так и уголовную ответственность.

Помимо вышеперечисленного, средства технической защиты согласно п.6 Положения №781 » «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» должны проходить процедуру соответствия. Другими словами, можно применять только те средства защиты, которые имеют сертификат соответствия ФСТЭК или ФСБ в зависимости от назначения средства.

9.3. Уведомление Роскомнадзора об обработке персональных данных

До начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении в соответствии с ФЗ «О персональных данных».Уведомление должно быть в письменной форме с подписью уполномоченного лица или в электронной форме с ЭЦП . Уведомление должно содержать:

  • наименование (фамилия, имя, отчество), адрес оператора;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
  • дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных.

В поле цель обработки персональных данных указываются цели обработки персональных данных, указанные в учредительных документах оператора, либо фактические цели обработки.

В поле категории персональных данных перечисляются все категории обрабатываемых ПД (основные, специальные, биометрические).

В поле категории субъектов персональных данных указываются категории физических лиц и виды отношений с ними, персональные данные которых обрабатываются (например: работники, состоящие в трудовых отношениях с Оператором, физические лица ( абонент , пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях Оператором и др.).

В поле правовое основание обработки персональных данных необходимо указать не только соответствующие статьи из ФЗ «О персональных данных», но и статьи из других правовых документов, регламентирующих обработку ПД в данном случае. Например, при обработке ПД сотрудников — ст. 85-90 Трудового кодекса Российской Федерации.

В этом поле также указывается номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием на пункты, в которых предусмотрено исключение передачи ПД третьим лицам без согласия субъекта ПД.

В поле перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных, указываются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

  • неавтоматизированная обработка персональных данных;
  • исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
  • смешанная обработка персональных данных.

При этом, если обработка автоматизированная или смешанная, необходимо указать, передается информация только по локальной сети или с использованием Интернета.

В поле описание мер описываются меры, предусмотренные статьями 18 и 19 ФЗ «О персональных данных», в том числе сведения о шифровальных средствах, ФИО и контакты лиц, ответственных за обработку ПД, класс ИСПД, организационные и технические меры, применяемые оператором в целях защиты ПД.

В поле срок или условие прекращения обработки ПД указывается конкретная дата или условие, при выполнении которого обработка будет прекращена.

Роскомнадзор в течение 30 дней после получения уведомления вносит оператора в реестр операторов. Реестр операторов является общедоступным. В случае возникновения изменений, касающихся перечисленных в уведомлении сведений, оператор обязан известить об этом Роскомнадзор в течение 10 рабочих дней.

Видео (кликните для воспроизведения).

Источник: http://www.intuit.ru/studies/courses/697/553/lecture/12454

Требования к системе защиты персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here