Пономаренко С.А.

Регуляторы в области защиты ПДн ФСТЭК России Роскомнадзор России МВД России ФСБ России МЧС России Правительство России

Постановление от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление от 4 марта 2010 г. N 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию» Постановление от 18 сентября 2012 г. N 940 «Об утверждении правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Постановление от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Постановление от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Постановление от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

ФСТЭК России Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год Приказ ФСТЭК России от 11 февраля 2013 г. N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год ФСБ России Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21 февраля 2008 г, No 149/5-144 Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России, 21 февраля 2008 г., 149/6/6-622;

Роскомнадзор России Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций от 17 июля 2008 г. 08 Об утверждении образца формы уведомления об обработке персональных данных Приказ Роскомнадзора от 19 августа 2011 г. 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных" Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008 г. N 154 "Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных" Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 20ХХ год

Основные принципы построения систем обеспечения безопасности персональных данных

Построение системы защиты персональных данных

оценку обстановки Построение системы защиты персональных данных обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн разработку замысла обеспечения безопасности ПДн обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты и замыслом защиты решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты обеспечение реализации принятого замысла защиты планирование мероприятий по защите ПДн организацию и проведение работ по созданию системы защиты персональных данных (СЗПДн) разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн доработку СЗПДн по результатам опытной эксплуатации

Оценка обстановки Анализ угроз безопасности ПДН Оценка ущерба от реализации угроз Оценка выполнения обязанностей по обеспечению безопасности ПДН Категорирование ПДн Определение состава, содержания и местонахождения ПДн Анализ информационных ресурсов Оценка возможности физического доступа к ИСПДн Выявление каналов утечки информации Анализ НДВ системного программного обеспечения Анализ НДВ прикладного программного обеспечения Оценка непосредственного ущерба от реализации угроз Оценка опосредованного ущерба от реализации угроз Анализ имеющихся средств защиты ПДН От физического доступа к ИСПДн От НСД ОТ НДВ системного программного обеспечения От НДВ прикладного программного обеспечения

Определение состава и содержания ПДн Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты Трудовой кодекс РФ (ТК РФ) от N 197-ФЗ Статья 9. Согласие субъекта персональных данных на обработку его персональных данных Федеральный закон 152-ФЗ «О персональных данных» «Об утверждении требований и методов по обезличиванию персональных данных» Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996

Постановление правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных" Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, выше Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных"

Наименование метода и его суть Свойства обезличенных данных, которые обеспечивает данный метод Оценка основных свойств данного метода 1Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия - полнота;- структурированность; - семантическая целостность; - применимость - метод позволяет провести процедуру деобезличивания;- метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания; - метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов; - метод не исключает возможность деобезличивания с использованием ПДн, имеющихся у других операторов 2Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта - структурированность;- релевантность; - применимость; - анонимность - метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных;- метод не позволяет изменять параметры метода без проведения предварительного деобезличивания; - метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания; - стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных; - метод исключает возможность деобезличивания с использованием ПДн, имеющихся у других операторов

3Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам - полнота;- структурированность; - релевантность; - семантическая целостность; - применимость - метод позволяет провести процедуру деобезличивания;- метод позволяет изменить параметры декомпозиции без предварительного деобезличивания; - метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания; - метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений; - метод не исключает возможность деобезличивания с использованием ПДн, имеющихся у других операторов 4Метод перемешивания реализуется путем перемешивания отдельных записей, а так же групп записей между собой - полнота;- структурированность; - релевантность; - семантическая целостность; - применимость; - анонимность - метод позволяет провести процедуру деобезличивания;- метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания; - метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания; - длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию; - метод исключает возможность проведения деобезличивания с использованием ПДн, имеющихся у других операторов Наименование метода и его суть Свойства обезличенных данных, которые обеспечивает данный метод Оценка основных свойств данного метода

Общая блок-схема построения ЧМУ

Формируем список возможных УБПДн, которые могут быть нейтрализованы требованиями из Приказа ФСТЭК 21, а также добавляем в перечень угрозы, связанные с использованием в ИС «новых информационных технологий» и для которых не определены меры обеспечения их безопасности

К сформированному перечню возможных УБПДн применяем «Методику определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» ФСТЭК

Определение уровня защищенности ИСПДн Тип ИСПДнСотрудники оператора Количество субъектов Тип актуальных угроз 1 (НДВ ОС) 2 (НДВ ПО) 3 (Без НДВ) ИСПДн-С (специальные) Нет> УЗ-1 УЗ-2 Нет< УЗ-1УЗ-2УЗ-3 Да ИСПДн-Б (биометрические) УЗ-1УЗ-2УЗ-3 ИСПДн-И (иные) Нет> УЗ-1УЗ-2УЗ-3 Нет< УЗ-2УЗ-3УЗ-4 Да ИСПДн-О (общедоступные) Нет> УЗ-2 УЗ-4 Нет< УЗ-2УЗ-3УЗ-4 Да

По итогам определения перечня актуальных угроз сформируется перечень тех требований, которые нам необходимо выполнить, а также составить перечень контрмер (как организационного, так и технического характера), которые необходимо применить для нейтрализации актуальных угроз и выполнения «актуальных» требований Угрозы безопасности ПДн Условное обозначениеКонтрмеры ОрганизационныеТехнические Подмена субъекта доступа ИАФ.1, ИАФ.6 Регламентация доступа к ИСПДн Сертифицированные СЗ от НСД Подмена объекта доступа ИАФ.2 Утрата или компрометация идентификатора ИАФ.3Регламентация порядка обращения с идентификатором Применение средств управления идентификаторами Утрата или компрометация средств аутентификации …………

Обоснование требований Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, проводится в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти, обязательными к применению стандартами и на основании утвержденного ФСТЭК России документа «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Приказ ФСТЭК России от 18 февраля 2013 г. N 21 ). ГОСТ Р «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» ГОСТ Р «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» ГОСТ «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» ГОСТ «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» ГОСТ Р ИСО/МЭК «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» ГОСТ «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком). Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом :

Требования к системе защиты персональных данных включаются в техническое задание на создание информационной системы персональных данных и (или) техническое задание (частное техническое задание) на создание системы защиты информационной системы персональных данных. Содержание ТЗ должно включать: цель и задачи обеспечения защиты ПДН в информационной системе; уровень защищенности ИСПДн; перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать СЗ ИСПДн; перечень (схема) объектов защиты информационной системы; требования к мерам и средствам защиты ПДН, применяемым в ИСПДн; требования к защите ПДН при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации; требования к обеспечивающим подсистемам, условиям функционирования ИСПДн и нормам безопасности.

Решение вопросов управления Важным аспектом поддержания требуемого уровня безопасности ПДн является решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты. К вопросам управления относятся: распределение функций управления доступом к данным и их обработки между должностными лицами; определение порядка изменения правил доступа к защищаемой информации; определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам; определение порядка действий должностных лиц в случае возникновения нештатных ситуаций; определение порядка проведения контрольных мероприятий и действий по их результатам. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться оператором или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.

Решение организационных вопросов Решение организационных вопросов обеспечения защиты ПДн должно предусматривать подготовку документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн, подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения. Организационно-распорядительные и эксплуатационные документы : Акты, Приказы, Положения, Перечни, Инструкции, Уведомления, Соглашения, Книги и журналы учета

Акт Информационного обследования Определения уровня защищенности ИСПДн Ввода в эксплуатацию СЗИ Ввода в эксплуатацию СКЗИ Акт выполненных работ Приказ О назначении комиссии по информационному обследованию и определению уровня защищенности ИСПДн О назначении ответственного за организацию обработки персональных данных Об организации работ по защите ПДн О назначении контролируемой зоны ИСПДн О назначении администратора информационной безопасности О введении режима обработки и защиты ПДн О назначении ответственных за обработку ПДн О назначении ответственных лиц по работе с шифровальными (криптографическими) средствами О вводе в эксплуатацию ИСПДн Положение О порядке организации и проведения работ по защите ПДн в ИСПДн О порядке обработки ПДн без использования средств автоматизации

Перечень Информационных систем персональных данных Персональных данных Должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных Должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным Инструкция Рассмотрения запросов субъектов ПДн или их представителей Осуществления внутреннего контроля соответствия обработки ПДн требованиям к их защите Работы с обезличенными данными Ответственного за организацию обработки ПДн Пользователя ИСПДн По организации антивирусной защиты По организации парольной защиты По разграничению доступа пользователя к средствам защиты и информационным ресурсам По физической охране ИСПДн, контролю доступа к ее компонентам По учету носителей, регистрации их выдачи Резервного копирования данных

Соглашения, обязательства, уведомления типовое обязательство сотрудника о неразглашении конфиденциальной информации (приложение к трудовому договору) типовое обязательство сотрудника, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним трудового договора, прекратить обработку ПДн, ставших известными ему в связи с исполнением должностных обязанностей; типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн типовая форма согласия на обработку ПДн субъектов ПДн типовая форма уведомления работника о получении его персональных данных от третьих лиц типовая форма согласия работника на получение работодателем персональных данных от третьих лиц типовая форма отзыва работником согласия на обработку персональных данных уведомление уполномоченному органу по защите прав субъектов ПДн об обработке (намерении осуществлять обработку) ПДн

Журналы Журнал учета обращений субъектов ПДн о выполнении их законных прав Журнал ознакомления работников с требованиями действующих нормативно-правовых и руководящих документов Журнал учета средств защиты информации Журнал учета паролей пользователя ИС ПДн Журнал учета персональных идентификаторов Журнал учета резервирования и восстановления ПДн Журнал учета выдачи материальных носителей ПДн Журнал учета уничтожения материальных носителей ПДн Журнал учета ключей от помещений Журнал учета ключей от сейфов Аппаратный журнал учета эксплуатации криптосредств Журнал учета пользователей криптосредств Журнал поэкземплярного учета криптосредств Журнал учета проверок Журнал по учету мероприятий по контролю

Прочие документы План мероприятий по обеспечению защиты ПДн Частная модель угроз безопасности ПДн Аналитическое обоснование создания (модернизации) системы защиты ИСПДн Техническое задание на создание (модернизацию) системы защиты ИСПДн Технический проект создания (модернизации) системы защиты ИСПДн Заключение об эффективности принятых мер Технический паспорт ИСПДН Лицензии и сертификаты на СКЗИ и СЗИ Разрешительная система доступа к ПДн Описание технологического процесса обработки информации План внутренних проверок Для функционирующих ИСПДн доработка (модернизация) СЗПДн должна проводиться в том случае, если: изменился состав или структура самой ИСПДн или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ИСПДн); изменился состав угроз безопасности ПДн в ИСПДн; изменился уровень защищенности ИСПДн.