Экспертный материал
Демьян Раменский | Руководитель направления информационной безопасности
Вступившие с 01.09.2022 в силу поправки к Федеральному закону N 152-ФЗ "О персональных данных" в очередной раз всколыхнули волну интереса публики к вопросам защиты персональных данных.
В качестве примера можно привести поправки к статье 22, существенным образом сократившие основания для обработки персональных данных без уведомления уполномоченного органа.
Таким образом, мы получили существенное число операторов персональных данных, обязанных теперь направить в Роскомнадзор соответствующее уведомление.
В форме уведомления на сайте РКН необходимо указать сведения об обеспечении безопасности персональных данных (ПДн) в соответствии с требованиями к их защите, заполнить поля с описанием принятых мер безопасности и перечислить применяемые средства обеспечения безопасности, включая средства криптографической защиты информации.
В связи с этим у многих операторов ПДн возникает вопрос: какие требования к защите персональных данных он должен выполнить и каким образом.
Об этом и пойдет речь в нашем материале.
Обзор законодательства
Для начала приведем ставший уже традиционным краткий обзор применимого законодательства.
Можно выделить три группы нормативных правовых актов (НПА), регулирующих вопросы информационной безопасности (ИБ) и защиты персональных данных.
-
Нормативные правовые акты, регулирующие общие вопросы защиты конфиденциальной информации.
-
Нормативные правовые акты, устанавливающие требования к обработке и защите персональных данных.
-
Нормативные правовые акты, регулирующие вопросы информационной безопасности в определенных отраслях.
К первой группе (условно назовем их НПА по ИБ общего действия) можно отнести:
-
Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера".
-
Федеральный закон от 29 июля 2004 г. N 98-ФЗ.
-
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
НПА в области обработки и защиты персональных данных:
-
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
-
Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
-
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
-
Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
-
Приказ Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения".
-
Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
-
Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
Третья группа – отраслевые НПА по защите информации - весьма обширна. Подробное перечисление входящих в нее документов явно выходит за рамки данной статьи. Приведем для примера только некоторые из таких документов:
-
Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
-
Приказ Министерства здравоохранения Российской Федерации от 24.12.2018 № 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций".
-
Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
Меры, предусмотренные Федеральным законом "О персональных данных" № 152-ФЗ
Федеральный закон № 152-ФЗ "О персональных данных" регулирует отношения, связанные с обработкой персональных данных вообще. Конкретных технических требований по защите ПДн в нем не так много. Все они сосредоточены в Статье 19 «Меры по обеспечению безопасности персональных данных при их обработке»
Меры по обеспечению безопасности персональных данных, предусмотренные статьей 19 :
-
Определение угроз безопасности.
-
Применение организационных и технических мер, обеспечивающих установленный уровень защищенности.
-
Применение прошедших в установленном порядке процедуру оценки соответствия (сертифицированных) средств защиты информации.
-
Оценка эффективности принимаемых мер безопасности.
-
Учет машинных носителей.
-
Обнаружение НСД и реагирование на инциденты.
-
Резервное копирование и восстановление данных.
-
Установление правил доступа и регистрация действий с ПДн.
-
Контролем за принимаемыми мерами и уровнем защищенности.
Требования к защите персональных данных при их обработке в ИСПДн (Разбор Постановления Правительства N 1119)
Далее рассмотрим Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Постановление Правительства N 1119 можно условно разделить на 6 частей.
Часть |
Пункты |
Описание |
1 |
1-4 |
Основные (вводные) положения; |
2 |
5 |
Классификация ИСПДн; |
3 |
6-7 |
Определение типа актуальных угроз; |
4 |
8-12 |
Определение необходимого уровня защищенности (УЗ); |
5 |
13-16 |
Требования к защите ПДн в зависимости от УЗ; |
6 |
17 |
Контроль за выполнением требований к защите ПДн; |
Рассмотрим вводные положения:
-
Постановления Правительства N 1119 устанавливает требования к защите ИСПДн в зависимости от одного из четырех уровней защищенности (УЗ).
-
Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. Исходя из этого требования, должна быть разработана модель угроз (МУ) а на ее основании - системы защиты персональных данных (СЗПДн).
-
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или уполномоченное лицо, действующее по договору-поручению оператора.
-
Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с Приказом ФСТЭК России № 21.
Моделирование угроз
Итак, первое, с чего нам необходимо начать – это разработка модели угроз. Сразу оговоримся, что тема эта достаточно обширная и не укладывается в рамки настоящей статьи.
Поэтому приведем здесь основные факты :
-
Модель угроз должна разрабатываться в соответствии с методикой ФСТЭК (Методика оценки угроз безопасности информации ФСТЭК России
от 5 февраля 2021 г.), а в части криптографической защиты в соответствии с методикой ФСБ (Методика оценки угроз безопасности информации ФСТЭК России от 5 февраля 2021 г.). -
Моделирование угроз по ФСТЭК состоит из трех этапов: определение негативных последствий, определение возможных объектов воздействия, оценка возможности реализации угроз.
Одна из важнейших задач моделирования угроз - оценка актуальности угроз.
О том, как разработать модель угроз и на что обратить внимание мы писали в статье.
Классификация ИСПДн
Постановлением Правительства N 1119 выделяются 4 типа ИСПДн в зависимости от категории обрабатываемых персональных данных:
-
Информационная система, обрабатывающая специальные категории персональных данных;
-
Информационная система, обрабатывающая биометрические персональные данные;
-
Информационная система, обрабатывающая общедоступные персональные данные;
-
Информационная система, обрабатывающая иные категории персональных данных.
Не лишним будет напомнить, что существует 4 категории ПДн:
-
Специальные - касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
-
Биометрические - характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта;
-
Общедоступные - полученные только из общедоступных источников, созданных в соответствии со статьей 8 федерального закона № 152-ФЗ;
-
Иные - не относящиеся к первым трем категориям;
Определение типа актуальных угроз
Актуальные угрозы безопасности ПДн - совокупность условий и факторов, создающих опасность нарушения конфиденциальности, целостности и доступности ПДн.
Постановление Правительства N 1119 выделяет 3 типа актуальных угроз:
Угрозы 1-го типа - связанные с наличием НДВ в системном ПО, используемом в И.
Угрозы 2-го типа - связанные с наличием НДВ в прикладном ПО, используемом в ИС.
Угрозы 3-го типа - не связанные с наличием НДВ в системном и прикладном ПО, используемом в ИС.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона № 152-ФЗ.
Подробнее о типах угроз мы писали в материале.
Оценка вреда субъектам ПДн
Операторам персональных данных рекомендуется разработать и утвердить документ «Правила оценки вреда, который может быть причинен субъектам в случае нарушения требований по обработке и обеспечению безопасности ПДн»
Такой документ может содержать:
-
Возможные нарушение безопасности информации;
-
Описание форм возможного вреда субъектам ПДн;
-
Оценка уровня возможного вреда.
Возможные нарушение безопасности информации:
-
Конфиденциальность;
-
Целостность;
-
Доступность.
Субъекту ПДн может быть причинён вред в форме:
-
Убытки – расходы, которые лицо понесло или должно будет понести вследствие: нарушенного права, реального ущерба, неполученных доходов.
-
Моральный вред – физические или нравственные страдания, причиненные действиями, нарушающими личные неимущественные права.
Оценка уровня возможного вреда.
Уровень возможного вреда |
Последствия нарушения принципов обработки ПДн |
Низкий |
Только нарушение целостности, либо только нарушение доступности. |
Средний |
Только нарушение целостности, повлекшее убытки и моральный вред, либо только нарушение доступности, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности. |
Высокий |
Во всех остальных случаях. |
Определение необходимого уровня защищенности (УЗ)
Далее в соответствии с пунктами 9 – 12 постановления Правительства РФ № 1119 необходимо определить требуемый для ИСПДн уровень защищенности (УЗ).
Для упрощения восприятия, приведем данные пункты в виде таблицы:
Требования к защите ПДн в зависимости от УЗ
Требования к защите персональных данных в зависимости от уровня защищенности приведены в пунктах 13 - 16
Подробнее о требования к защите персональных данных в зависимости от УЗ мы писали в статье
Далее рассмотрим каждое из требований пунктов 13 - 16 в отдельности. В отношении предложенных способов реализации вышеуказанных требований стоит отметить, что мы приводим лишь возможные варианты и рекомендации. Выбор способов выполнения требований, безусловно, остается за оператором ИСПДн.
Организация режима обеспечения безопасности помещений
Требование:
Организация режима обеспечения безопасности помещений, в которых размещена ИС, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
(применимо для УЗ - 1-4)
Возможные способы выполнения:
Организационные меры:
-
Утверждение положения об организации режима обеспечения безопасности Помещений;
-
Утверждения правил доступа в помещения;
-
Утверждения перечня лиц, имеющих право доступа в помещения;
-
Организация контрольно-пропускного режима.
Технические меры:
-
Оснащение Помещений металлическими входными дверьми с замками;
-
Оборудование окна Помещений металлическими решетками;
-
Оснащение помещений ОС, СКУД и СВН;
-
Оснащение устройствами обеспечения постоянного закрытия дверей;
-
Опечатывание Помещений.
Обеспечение сохранности машинных носителей
Требование:
Обеспечение сохранности носителей персональных данных.
(применимо для УЗ - 1-4)
Возможные способы выполнения:
-
осуществлять хранение съемных носителей ПДн в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
-
осуществлять поэкземплярный учет машинных носителей ПДн, который достигается путем ведения журнала учета носителей ПДн с использованием регистрационных (заводских) номеров.
Формирование и утверждение перечня допущенных лиц
Требование: Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
(применимо для УЗ - 1-4)
Возможные способы выполнения:
-
разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
Можно ли использовать не сертифицированные СЗИ
Требование:
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
(применимо для УЗ - 1-4)
Возможные способы выполнения:
Следует отметить разницу подходов различных регуляторов.
Позиция ФСБ – СКЗИ подлежат обязательной сертификации.
Позиция ФСТЭК по СЗИ: Процедура оценки соответствия определена Федеральным законом "О техническом регулировании" от 27 декабря 2002 г. N 184-ФЗ.
Если следовать логике ФСТЭК, то руководствоваться надлежит положениями Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании".
Согласно статьи 20, к формам подтверждения соответствия относится:
-
обязательная сертификация;
-
декларирование соответствия.
Декларирование соответствия должно производиться в соответствии с техническими регламентами. Однако, в настоящее время технические регламенты на СЗИ в России отсутствуют.
Таким образом, фактически всеравно остается только один вариант - сертификация.
Ответственный за обеспечение безопасности персональных данных в информационной системе
Требование:
Необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
(применимо для УЗ - 1-3)
Возможные способы выполнения:
Назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности ПДн в ИС:
-
Приказ о назначении ответственного за обеспечение безопасности ПДн в ИС;
-
Утверждение инструкции ответственного за обеспечение безопасности ПДн в ИС;
-
Ознакомление ответственного с инструкцией.
Доступ к электронному журналу сообщений
Требование:
Необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
(применимо для УЗ - 1-2)
Возможные способы выполнения:
-
утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;
-
обеспечение ИС автоматизированными средствами, регистрирующими запросы пользователей ИС на получение ПДн, а также факты предоставления ПДн по этим запросам в электронном журнале сообщений;
-
обеспечение ИС автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;
-
обеспечение периодического контроля работоспособности указанных в пунктах 2 и 3 автоматизированных средств.
Регистрация изменения полномочий в электронном журнале безопасности
Требование:
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе:
(применимо для УЗ - 1)
Возможные способы выполнения:
-
обеспечение ИС автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС;
-
отражение в электронном журнале безопасности полномочий сотрудников оператора ПДн по доступу к ПДн, содержащимся в ИС. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;
-
назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям.
Структурное подразделение, ответственное за обеспечение безопасности персональных данных
Требование:
Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности
(применимо для УЗ - 1)
Возможные способы выполнения:
-
провести анализ целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе;
-
создать отдельное структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить его функции на одно из существующих структурных подразделений.
Приказ о создании структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн.
Приказ о возложении обязанностей ответственного за обеспечение безопасности ПДн в ИСПДн.
Определение организационных и технических мер по обеспечению безопасности персональных данных для установленного уровня защищенности
Меры безопасности, которые необходимо реализовать при создании системы защиты персональных данных, определяются в соответствии с приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
В приложении к приказу ФСТЭК №21 для каждого из четырех уровней защищенности приведены более сотни мер безопасности, сгруппированные по пятнадцати группам:
-
Идентификация и аутентификация субъектов доступа и объектов доступа;
-
Управление доступом субъектов доступа к объектам доступа;
-
Ограничение программной среды;
-
Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
-
Регистрация событий безопасности;
-
Антивирусная защита;
-
Обнаружение (предотвращение) вторжений;
-
Контроль (анализ) защищенности персональных данных;
-
Обеспечение целостности информационной системы и персональных данных;
-
Обеспечение доступности персональных данных;
-
Защита среды виртуализации;
-
Защита технических средств;
-
Защита информационной системы, ее средств, систем связи и передачи данных;
-
Выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
-
Управление конфигурацией информационной системы и системы защиты персональных данных.
Детальнее о составе и содержании мер безопасности, мы писали в статье.
Этапы создания системы защиты персональных данных (СЗПДн)
Итак, мы можем переходить к созданию системы защиты персональных данных. Самое время задаться вопросом: из каких этапов состоит процесс создания информационной системы? Следует принять во внимание что СЗПДн - это частный случай автоматизированной системы (АС).
Процесс создания автоматизированной системы согласно ГОСТ 34.601-90 включает следующие стадии и этапы работ:
Стадии |
Этапы работ |
1. Формирование требований к АС |
1.1. Обследование объекта и обоснование необходимости создания АС. 1.2. Формирование требований пользователя к АС. 1.3. Оформление отчѐта о выполненной работе и заявки на разработку АС (тактико-технического задания) |
2. Разработка концепции АС. |
2.1. Изучение объекта. 2.2. Проведение необходимых научно-исследовательских работ. 2.3. Разработка вариантов концепции АС, удовлетворяющего требованиям пользователя. 2.4. Оформление отчѐта о выполненной работе. |
3. Техническое задание. |
Разработка и утверждение технического задания на создание АС. |
4. Эскизный проект. |
4.1. Разработка предварительных проектных решений по системе и еѐ частям. 4.2. Разработка документации на АС и еѐ части. |
5. Технический проект. |
5.1. Разработка проектных решений по системе и еѐ частям. 5.2. Разработка документации на АС и еѐ части. 5.3. Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку. 5.4. Разработка заданий на проектирование в смежных частях проекта объекта автоматизации. |
6. Рабочая документация. |
6.1. Разработка рабочей документации на систему и еѐ части. 6.2. Разработка или адаптация программ. |
7. Ввод в действие. |
7.1. Подготовка объекта автоматизации к вводу АС в действие. 7.2. Подготовка персонала. 7.3. Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями). 7.4. Строительно-монтажные работы. 7.5. Пусконаладочные работы. |
|
7.6. Проведение предварительных испытаний. 7.7. Проведение опытной эксплуатации. 7.8. Проведение приѐмочных испытаний. |
8. Сопровождение АС |
8.1. Выполнение работ в соответствии с гарантийными обязательствами. 8.2. Послегарантийное обслуживание. |
В случае необходимости допускается исключение или объединение отдельных этапов и стадий.
В зависимости от специфики создаваемых АС и условий их создания допускается параллельное выполнение отдельных этапов работ.
Итак, посмотрим на специфику системы защиты персональных данных с точки зрения этапов ее создания.
Для системы защиты персональных данных, с учетом ГОСТ 34.601-90, целесообразно выделить следующие этапы:
-
Обследование процессов обработки персональных данных;
-
Обследование информационной системы персональных данных;
-
Разработка модели угроз;
-
Определение требуемого уровня защищенности;
-
Определение набора мер безопасности;
-
Определение базового набора мер по обеспечению безопасности
-
Адаптация базового набора мер по обеспечению безопасности;
-
Уточнение адаптированного базового набора мер;
-
Дополнение уточненного адаптированного базового набора мер;
-
Определение технических требований;
-
Разработка технического задания;
-
Разработка технорабочего проекта;
-
Разработка локальных нормативных актов и организационно-распорядительных документов;
-
Установка, настройка СЗИ, СКЗИ;
-
Разработка программы и методики испытаний;
-
Проведение приемочных испытаний;
-
Оценка эффективности принимаемых мер по обеспечению безопасности
-
Ввод в эксплуатацию.
Подробнее об этапах создания системы защиты персональных данных мы писали в статье.
Заключение
В данной статье мы рассказали о том, как определить требуемый уровень защищенности (УЗ) для информационной системы, как определить, какие требования к защите персональных данных применимы к конкретной ИСПДн. Рассмотрели основные подходы к их выполнению. Разобрали, какие существуют этапы создания системы защиты персональных данных, и определили их последовательность.
Однако логично, предположить что у читателя остались (а может быть, даже появились новые) вопросы. Например:
-
Отвечает ли ваш дата-центр всем необходимым требованиям к защите персональных данных? И как в этом убедиться?
-
Где взять, как подобрать, установить и настроить сертифицированные средства защиты информации? Как защитить каналы связи от офиса до облака?
-
Как документально подтвердить выполнение требований к защите персональных данных, если часть мер по их защите лежит в зоне ответственности вашего облачного провайдера?
Для получения ответов на эти и многие другие вопросы рекомендуем вам ознакомиться с нашими облачными услугами по информационной безопасности или обратиться за бесплатной консультацией к нашим специалистам.