Состав и содержание мер по обеспечению безопасности персональных данных

Оглавление:

Приложение. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности


В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов); б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров. 8. Для выполнения требования, указанного в настоящего документа, необходимо: а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. 9. Для выполнения требования, указанного в настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее — атака), которое достигается путем: а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак; б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ; в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше. 10.

Меры по защите персональных данных сотрудников

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч.

2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством. Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст.

86 ТК РФ). Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству. При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно. Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных. К мерам по внутренней защите персональных данных относятся следующие действия: ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным.

Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т.

е. сотрудников отделов кадров или ответственных за кадровое делопроизводство, работников бухгалтерии,

Требованияк защите персональных данных при их обработкев информационных системах персональных данных

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение Федерального закона «О персональных данных».8.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.10.
Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.10.

Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не

Практика.

Создание системы защиты персональных данных

Кроме того, согласно приказу ФСТЭК России , для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации. ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России , однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется. Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн.

Существует множество средств защиты информации и сценариев их использования.

Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн. Подписаться × АС Андрей Специальный Максим, спасибо за статью!

0 Ответить Загрузить ещё

Статья 19.

Меры по обеспечению безопасности персональных данных при их обработке

Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.7.

Проекты нормативных правовых актов, указанных в настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.

Проекты решений, указанных в настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в , установленном Правительством Российской Федерации.
Проекты решений, указанных в настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в , установленном Правительством Российской Федерации.

Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в настоящей статьи, должно быть мотивированным.8.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным исполнительной

Рекомендации ФСТЭК по защите персональных данных

Персональные данные граждан, доверенные юридическим лицам и индивидуальным предпринимателям, имеют специальный режим защиты. Он определяется федеральными законами и подзаконными актами. Технические аспекты охраны, определяющие требования к методам и техническим средствам, используемым для их обработки, устанавливаются приказами ФСТЭК РФ.

Федеральный закон «О персональных данных» предполагает, что сведения о гражданах, их личной жизни, имущественном статусе и здоровье, хранящиеся и обрабатываемые в информационных сетях, не могут неправомерно попадать в распоряжение третьих лиц. Несовершенство систем обработки информации часто приводит к утечкам важных сведений, в том числе персональных данных.

Утечки могут быть и случайными, и преднамеренными. Чтобы избежать таких ситуаций, способных причинить ущерб гражданам, разрабатываются специальные требования к информационным системам.

Для организаций, признанных в установленном законом порядке операторами персональных данных, технические требования к системам их обработки устанавливаются приказами ФСТЭК РФ.

Сейчас действует приказ № 21, вступивший в силу в 2013 году, определяющий технические и организационные меры по защите персональных данных. Он неоднократно дополнялся и изменялся, ориентируясь на требования момента. Последняя редакция была принята в 2017 году.
В структуре документа, в приложении, определяющем состав мер, содержатся рекомендации, регулирующие:

  • идентификацию и аутентификацию лиц, которых операторы допускают к обработке персональных данных;
  • управление системой доступа к ним;
  • программную среду и ее ограничения;
  • физическую защиту компьютеров, содержащих информацию, относящуюся к персональным данным;
  • порядок регистрации инцидентов безопасности;
  • порядок организации антивирусной защиты;
  • способы фиксации проникновения в защищенный информационный периметр;
  • контроль защищенности персональных данных;
  • защиту технических средств.

Выбор мер организационной и технической защиты персональных данных зависит от класса защищенности информационной системы, определяемого по правилам, установленным Постановлением Правительства № 1119.

Выход документа в 2013 году был одобрен операторами персональных данных.

До конкретизации требуемых мер операторы существовали в условиях неопределенности, не зная, насколько применяемые ими технические меры и средства защиты соответствуют предъявляемым требованиям.
Документ полностью соответствовал требованиям момента и учитывал такие изменения в информационной среде, связанные с появлением новых технических средств, как:

  • виртуализация персональных данных;
  • облачное хранение;
  • мобильные платформы.

Но приказу были свойственны и недостатки.

Он не требовал потратить определенные средства на защиту персональных данных в обязательном порядке, допуская выбор из существующего перечня, но некоторые нормы сообществом операторов были сочтены избыточными. Приказ ФСТЭК РФ ввел 15 групп технических и организационных мер по защите персональных данных, в каждой из групп указано от 2 до 20 отдельных решений.

Приказ ФСТЭК РФ ввел 15 групп технических и организационных мер по защите персональных данных, в каждой из групп указано от 2 до 20 отдельных решений. Для каждой меры устанавливалось, является ли она базовой или обязательной для применения или компенсирующей, необязательной, однако усиливающей уровень защиты. Существуют только компенсирующие меры, которые не будут базовыми ни для одного из четырех уровней защищенности.

После вступления в силу приказа ФСТЭК действия оператора стали более конкретными, чем до этого момента. Теперь без дополнительных консультаций, настраивая свою информационную систему защиты персональных данных, он вправе действовать по следующему алгоритму:

  • изучает Постановление Правительства Российской Федерации № 1119 и определение, под какой уровень защищенности попадает его система по защите персональных данных. Уровень зависит от количества человек, чьи данные обрабатываются, и их категории;
  • выбирает из редакций ФСТЭК России все те меры, которые для этого уровня защищенности отмечены плюсом (так называемые базовые меры, формально обязательные для применения);
  • исключает те меры, которые не могут быть применены в связи с отсутствием в распоряжении оператора соответствующих технологий (например, средств виртуализации);
  • изучает оставшиеся базовые меры и накладывает их на ранее разработанную модель актуальных угроз безопасности персональных данных. Если все угрозы базовыми мерами не охватываются, добавляет к ним некоторые из рекомендуемых компенсирующих;
  • формирует итоговый список мер;
  • составляет план-график их внедрения и приступает к его реализации.

Своими силами эта стратегия не всегда реализуема, и операторам приходится обращаться за приобретением услуг по настройке системы защиты персональных данных к профессиональным участникам рынка создания информационных систем. Несмотря на четкость и ясность рекомендаций, при их реализации возникают некоторые сложные моменты, отмечаемые операторами и программистами.

Среди них:

  • формулировки приказа № 21 часто неясны и размыты, написаны непрофессиональными программистами. Они допускают двойное толкование и часто не имеют необходимых пояснений;
  • неясно, может ли организация сама выполнять работы по настройке системы в отсутствие лицензии ФСТЭК или обязана привлекать для всех работ лицензированную организацию. Практика пошла по пути, разрешающему самостоятельную настройку системы защиты персональных данных даже при отсутствии лицензии;
  • необходимость проведения оценки системы защиты персональных данных раз в три года и отсутствие методики проведения такой оценки. Проверки ФСТЭК РФ по сути оценкой не являются.

Несмотря на некоторые недостатки, рекомендации ФСТЭК РФ по организации информационной системы защиты персональных данных способствовали наведению порядка на рынке и помогли в борьбе с наиболее актуальными угрозами безопасности.

Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (с изменениями и дополнениями)

N 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных. Нумерация пунктов приводится в соответствии с источником 6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Указанная оценка проводится не реже одного раза в 3 года.

7. Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с Федерального закона от 27 июля 2006 г. N 149-ФЗ

«Об информации, информационных технологиях и о защите информации»

(Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст.

2038; N 30, ст. 4600; 2012, N 31, ст. 4328). II. Состав и содержание мер по обеспечению безопасности персональных данных 8.

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят: идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);

Приказ ФСБ России от 10 июля 2014 г.

N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

В соответствии с Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» приказываю утвердить прилагаемые организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации к защите персональных данных для каждого из уровней защищенности.

Директор А. Бортников Зарегистрировано в Минюсте РФ 18 августа 2014 г. Регистрационный N 33620 ______________________________ * Собрание законодательства Российской Федерации, 2006, N 31 (ч.

I), ст. 3451; 2009, N 48, ст. 5716, N 52 (ч. I), ст. 6439; 2010, N 27, ст.

3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. 1), ст. 6974; 2011, N 23, ст.

3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. 1), ст. 4038. Оператор персональных данных при их обработке должен принимать необходимые меры по обеспечению их безопасности. Это касается и обработки данных в информационных системах с использованием средств криптографической защиты информации (СКЗИ).

Определен комплекс мер по обеспечению безопасности персональных данных при указанной обработке. Он включает набор организационных и технических мероприятий по защите персональных данных для каждого из четырех уровней защищенности. Во всех случаях требуется обеспечить сохранность носителей персональных данных; исключить неконтролируемое проникновение или пребывание в помещениях, где размещена информационная система, посторонних лиц.

Также следует определить список лиц, которым необходим доступ к персональным данным для выполнения ими служебных (трудовых) обязанностей.

Для нейтрализации актуальных угроз нужно использовать средства защиты информации, прошедшие процедуру оценки соответствия.

Для каждого уровня защищенности персональных данных предусмотрено применение СКЗИ соответствующего класса. Зарегистрировано в Минюсте РФ 18 августа 2014 г. Регистрационный N 33620 Настоящий приказ по истечении 10 дней после дня его официального опубликования Текст приказа опубликован в «Российской газете» от 17 сентября 2014 г.

N 211

Практическое руководство по выполнению требований 152-ФЗ

Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

  • Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
  • На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.
  • По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  • На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  • Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  1. связанные с наличием недекларированных возможностей в системном программном обеспечении;
  2. связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  3. не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности.

Определяем, к какому максимальному типу они относятся. Следующим шагом необходимо определить категорию обрабатываемых данных.

Существуют следующие категории персональных данных:

  1. общедоступные;
  2. иные.
  3. биометрические;
  4. специальные;

В одной ИС могут обрабатываться несколько категорий персональных данных.

Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн.

Здесь возможны 3 вариации:

  1. до 100 тысяч;
  2. ПДн сотрудников Оператора (без привязки по объему).
  3. более 100 тысяч;

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. 5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.