Выполнение требований к защите персональных данных в информационных системах в соответствии с постановлением Правительства № 1119

Экспертный материал

Демьян Раменский | Руководитель направления информационной безопасности

Вступившие с 01.09.2022 в силу поправки к Федеральному закону N 152-ФЗ "О персональных данных" в очередной раз всколыхнули волну интереса публики к вопросам защиты персональных данных.

В качестве примера можно привести поправки к статье 22, существенным образом сократившие основания для обработки персональных данных без уведомления уполномоченного органа.

Таким образом, мы получили существенное число операторов персональных данных, обязанных теперь направить в Роскомнадзор соответствующее уведомление.

В форме уведомления на сайте РКН необходимо указать сведения об обеспечении безопасности персональных данных (ПДн) в соответствии с требованиями к их защите, заполнить поля с описанием принятых мер безопасности и перечислить применяемые средства обеспечения безопасности, включая средства криптографической защиты информации.

В связи с этим у многих операторов ПДн возникает вопрос: какие требования к защите персональных данных он должен выполнить и каким образом.

Об этом и пойдет речь в нашем материале.

Обзор законодательства

Для начала приведем ставший уже традиционным краткий обзор применимого законодательства. 

Можно выделить три группы нормативных правовых актов (НПА), регулирующих вопросы информационной безопасности (ИБ) и защиты персональных данных.

1. Нормативные правовые акты, регулирующие общие вопросы защиты конфиденциальной информации.

2. Нормативные правовые акты, устанавливающие требования к обработке и защите персональных данных.

3. Нормативные правовые акты, регулирующие вопросы информационной безопасности в определенных отраслях.

К первой группе (условно назовем их НПА по ИБ общего действия) можно отнести: 

1. Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера".

2. Федеральный закон от 29 июля 2004 г. N 98-ФЗ.

3. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

НПА в области обработки и защиты персональных данных:

1. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

2. Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

3. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

4. Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

5. Приказ Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения".

6. Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

7. Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".

Третья группа – отраслевые НПА по защите информации - весьма обширна. Подробное перечисление входящих в нее документов явно выходит за рамки данной статьи. Приведем для примера только некоторые из таких документов:

• Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

• Приказ Министерства здравоохранения Российской Федерации от 24.12.2018 № 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций".

• Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

Меры, предусмотренные Федеральным законом "О персональных данных" № 152-ФЗ

Федеральный закон № 152-ФЗ "О персональных данных" регулирует отношения, связанные с обработкой персональных данных вообще. Конкретных технических требований по защите ПДн в нем не так много. Все они сосредоточены в Статье 19 «Меры по обеспечению безопасности персональных данных при их обработке»

Меры по обеспечению безопасности персональных данных, предусмотренные статьей 19 :

1. Определение угроз безопасности. 

2. Применение организационных и технических мер, обеспечивающих установленный уровень защищенности.

3. Применение прошедших в установленном порядке процедуру оценки соответствия (сертифицированных) средств защиты информации.

4. Оценка эффективности принимаемых мер безопасности.

5. Учет машинных носителей. 

6. Обнаружение НСД и реагирование на инциденты.

7. Резервное копирование и восстановление данных.

8. Установление правил доступа и регистрация действий с ПДн.

9. Контролем за принимаемыми мерами и уровнем защищенности.

Требования к защите персональных данных при их обработке в ИСПДн (Разбор Постановления Правительства N 1119)

Далее рассмотрим Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Постановление Правительства N 1119 можно условно разделить на 6 частей.

Рассмотрим вводные положения:

1. Постановления Правительства N 1119 устанавливает требования к защите ИСПДн в зависимости от одного из четырех уровней защищенности (УЗ).  

2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. Исходя из этого требования, должна быть разработана модель угроз (МУ) а на ее основании -  системы защиты персональных данных (СЗПДн).

3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или уполномоченное лицо, действующее по договору-поручению оператора.

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с Приказом ФСТЭК России № 21.

Моделирование угроз

Итак, первое, с чего нам необходимо начать – это разработка модели угроз. Сразу оговоримся, что тема эта достаточно обширная и не укладывается в рамки настоящей статьи.

Поэтому приведем здесь основные факты :

1. Модель угроз должна разрабатываться в соответствии с методикой ФСТЭК (Методика оценки угроз безопасности информации ФСТЭК России
   от 5 февраля 2021 г.), а в части криптографической защиты в соответствии с методикой ФСБ (Методика оценки угроз безопасности информации ФСТЭК России от 5 февраля 2021 г.).

2. Моделирование угроз по ФСТЭК состоит из трех этапов: определение негативных последствий, определение возможных объектов воздействия, оценка возможности реализации угроз.

Одна из важнейших задач моделирования угроз - оценка актуальности угроз.

О том, как разработать модель угроз и на что обратить внимание мы писали в статье.

Классификация ИСПДн

Постановлением Правительства N 1119 выделяются 4 типа ИСПДн в зависимости от категории обрабатываемых персональных данных: 

1. Информационная система, обрабатывающая специальные категории персональных данных;

2. Информационная система, обрабатывающая биометрические персональные данные;

3. Информационная система, обрабатывающая общедоступные персональные данные;

4. Информационная система, обрабатывающая иные категории персональных данных.

Не лишним будет напомнить, что существует 4 категории ПДн: 

1. Специальные - касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

2. Биометрические - характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта;

3. Общедоступные - полученные только из общедоступных источников, созданных в соответствии со статьей 8 федерального закона № 152-ФЗ;

4. Иные - не относящиеся к первым трем категориям;

Определение типа актуальных угроз

Актуальные угрозы безопасности ПДн - совокупность условий и факторов, создающих опасность нарушения конфиденциальности, целостности и доступности ПДн.

Постановление Правительства N 1119 выделяет 3 типа актуальных угроз:

Угрозы 1-го типа - связанные с наличием НДВ в системном ПО, используемом в И.

Угрозы 2-го типа - связанные с наличием НДВ в прикладном ПО, используемом в ИС.

Угрозы 3-го типа - не связанные с наличием НДВ в системном и прикладном ПО, используемом в ИС.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона № 152-ФЗ.

Подробнее о типах угроз мы писали в материале.

Оценка вреда субъектам ПДн

Операторам персональных данных рекомендуется разработать и утвердить документ «Правила оценки вреда, который может быть причинен субъектам в случае нарушения требований по обработке и обеспечению безопасности ПДн» 

Такой документ может содержать:

• Возможные нарушение безопасности информации;

• Описание форм возможного вреда субъектам ПДн;

• Оценка уровня возможного вреда.

Возможные нарушение безопасности информации:

• Конфиденциальность;

• Целостность;

• Доступность.

Субъекту ПДн может быть причинён вред в форме:

• Убытки – расходы, которые лицо понесло или должно будет понести вследствие: нарушенного права, реального ущерба, неполученных доходов.

• Моральный вред – физические или нравственные страдания, причиненные действиями, нарушающими личные неимущественные права. 

Оценка уровня возможного вреда.

Определение необходимого уровня защищенности (УЗ)

Далее в соответствии с пунктами 9 – 12 постановления Правительства РФ № 1119 необходимо определить требуемый для ИСПДн уровень защищенности (УЗ).

Для упрощения восприятия, приведем данные пункты в виде таблицы:

Требования к защите ПДн в зависимости от УЗ

Требования к защите персональных данных в зависимости от уровня защищенности приведены в пунктах 13 - 16

Подробнее о требования к защите персональных данных в зависимости от УЗ  мы писали в статье 

Далее рассмотрим каждое из требований пунктов 13 - 16 в отдельности. В отношении предложенных способов реализации вышеуказанных требований стоит отметить, что мы приводим лишь возможные варианты и рекомендации. Выбор способов выполнения требований, безусловно, остается за оператором ИСПДн.

Организация режима обеспечения безопасности помещений

Требование: 

Организация режима обеспечения безопасности помещений, в которых размещена ИС, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. 

(применимо для УЗ - 1-4)

Возможные способы выполнения:

Организационные меры:

• Утверждение положения об организации режима обеспечения безопасности Помещений;

• Утверждения правил доступа в помещения;

• Утверждения перечня лиц, имеющих право доступа в помещения;

• Организация контрольно-пропускного режима.

Технические меры:

• Оснащение Помещений металлическими входными дверьми с замками;

• Оборудование окна Помещений металлическими решетками; 

• Оснащение помещений ОС, СКУД и СВН;

• Оснащение устройствами обеспечения постоянного закрытия дверей; 

• Опечатывание Помещений.

Обеспечение сохранности машинных носителей

Требование:

Обеспечение сохранности носителей персональных данных.

(применимо для УЗ - 1-4)

Возможные способы выполнения:

• осуществлять хранение съемных носителей ПДн в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками; 

• осуществлять поэкземплярный учет машинных носителей ПДн, который достигается путем ведения журнала учета носителей ПДн с использованием регистрационных (заводских) номеров.

Формирование и утверждение перечня допущенных лиц

Требование: Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

(применимо для УЗ - 1-4)

Возможные способы выполнения:

• разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

• поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

Можно ли использовать не сертифицированные СЗИ

Требование:

Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

(применимо для УЗ - 1-4)

Возможные способы выполнения:

Следует отметить разницу подходов различных регуляторов.

Позиция ФСБ – СКЗИ подлежат обязательной сертификации.

Позиция ФСТЭК по СЗИ: Процедура оценки соответствия определена Федеральным законом "О техническом регулировании" от 27 декабря 2002 г. N 184-ФЗ.

Если следовать логике ФСТЭК, то руководствоваться надлежит положениями Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании".

Согласно статьи 20, к формам подтверждения соответствия относится:

• обязательная сертификация;

• декларирование соответствия.

Декларирование соответствия должно производиться  в соответствии с техническими регламентами. Однако, в настоящее время технические регламенты на СЗИ в России отсутствуют.

Таким образом, фактически всеравно остается только один вариант - сертификация.

Ответственный за обеспечение безопасности персональных данных в информационной системе

Требование:

Необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

(применимо для УЗ - 1-3)

Возможные способы выполнения:

Назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности ПДн в ИС:

• Приказ о назначении ответственного за обеспечение безопасности ПДн в ИС;

• Утверждение инструкции ответственного за обеспечение безопасности ПДн в ИС;

• Ознакомление ответственного с инструкцией.

Доступ к электронному журналу сообщений

Требование: 

Необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

(применимо для УЗ - 1-2)

Возможные способы выполнения:

• утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;

• обеспечение ИС автоматизированными средствами, регистрирующими запросы пользователей ИС на получение ПДн, а также факты предоставления ПДн по этим запросам в электронном журнале сообщений;

• обеспечение ИС автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;

• обеспечение периодического контроля работоспособности указанных в пунктах 2 и 3 автоматизированных средств.

Регистрация изменения полномочий в электронном журнале безопасности

Требование: 

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе:

(применимо для УЗ - 1)

Возможные способы выполнения:

• обеспечение ИС автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС;

• отражение в электронном журнале безопасности полномочий сотрудников оператора ПДн по доступу к ПДн, содержащимся в ИС. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;

• назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям.

Структурное подразделение, ответственное за обеспечение безопасности персональных данных

Требование:

Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

(применимо для УЗ - 1)

Возможные способы выполнения:

• провести анализ целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе;

• создать отдельное структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить его функции на одно из существующих структурных подразделений.

Приказ о создании структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн.

Приказ о возложении обязанностей ответственного за обеспечение безопасности ПДн в ИСПДн.

Определение организационных и технических мер по обеспечению безопасности персональных данных для установленного уровня защищенности

Меры безопасности, которые необходимо реализовать при создании системы защиты персональных данных, определяются в соответствии с приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

В приложении к приказу ФСТЭК №21 для каждого из четырех уровней защищенности приведены более сотни мер безопасности, сгруппированные по пятнадцати группам:

1. Идентификация и аутентификация субъектов доступа и объектов доступа;

2. Управление доступом субъектов доступа к объектам доступа;

3. Ограничение программной среды;

4. Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

5. Регистрация событий безопасности;

6. Антивирусная защита;

7. Обнаружение (предотвращение) вторжений;

8. Контроль (анализ) защищенности персональных данных;

9. Обеспечение целостности информационной системы и персональных данных;

10. Обеспечение доступности персональных данных;

11. Защита среды виртуализации;

12. Защита технических средств;

13. Защита информационной системы, ее средств, систем связи и передачи данных;

14. Выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

15. Управление конфигурацией информационной системы и системы защиты персональных данных.

Детальнее о составе и содержании мер безопасности, мы писали в статье.

Этапы создания системы защиты персональных данных (СЗПДн)

Итак, мы можем переходить к созданию системы защиты персональных данных. Самое время задаться вопросом: из каких этапов состоит процесс создания информационной системы? Следует принять во внимание что СЗПДн - это частный случай автоматизированной системы (АС). 

Процесс создания автоматизированной системы согласно ГОСТ 34.601-90 включает следующие стадии и этапы работ:

В случае необходимости допускается исключение или объединение отдельных этапов и стадий.

В зависимости от специфики создаваемых АС и условий их создания допускается параллельное выполнение отдельных этапов работ.

Итак, посмотрим на специфику системы защиты персональных данных с точки зрения этапов ее создания.

Для системы защиты персональных данных, с учетом ГОСТ 34.601-90, целесообразно выделить следующие этапы:

1. Обследование процессов обработки персональных данных;

2. Обследование информационной системы персональных данных;

3. Разработка модели угроз;

4. Определение требуемого уровня защищенности;

5. Определение набора мер безопасности;

6. Определение базового набора мер по обеспечению безопасности

7. Адаптация базового набора мер по обеспечению безопасности;

8. Уточнение адаптированного базового набора мер;

9. Дополнение уточненного адаптированного базового набора мер;

10. Определение технических требований; 

11. Разработка технического задания; 

12. Разработка технорабочего проекта;

13. Разработка локальных нормативных актов и организационно-распорядительных документов;

14. Установка, настройка СЗИ, СКЗИ;

15. Разработка программы и методики испытаний;

16. Проведение приемочных испытаний;

17. Оценка эффективности принимаемых мер по обеспечению безопасности

18. Ввод в эксплуатацию.

Подробнее об этапах создания системы защиты персональных данных мы писали в статье.

Заключение

В данной статье мы рассказали о том, как определить требуемый уровень защищенности (УЗ) для информационной системы, как определить, какие требования к защите персональных данных применимы к конкретной ИСПДн. Рассмотрели основные подходы к их выполнению. Разобрали, какие существуют этапы создания системы защиты персональных данных, и определили их последовательность.

Однако логично, предположить что у читателя остались (а может быть, даже появились новые) вопросы. Например: 

• Отвечает ли ваш дата-центр всем необходимым  требованиям к защите персональных данных? И как в этом убедиться?

• Где взять, как подобрать, установить и настроить сертифицированные средства защиты информации? Как защитить каналы связи от офиса до облака?

• Как документально подтвердить выполнение требований к защите персональных данных, если часть мер по их защите лежит в зоне ответственности вашего облачного провайдера?

Для получения ответов на эти и многие другие вопросы рекомендуем вам ознакомиться с нашими облачными услугами по информационной безопасности или обратиться за бесплатной консультацией к нашим специалистам.