ИБ: Требования к защите персональных данных.
Последние несколько лет государственные органы все более пристальное внимание оказывают сбору, обработке и хранению персональных данных. В связи с этим появляется достаточно большое количество нормативных документов, регулирующих этот вопрос. В данном цикле статей приводится попытка выделить основные моменты и на которые стоит обратить внимание при работе с персональными данными, а также требования к их защите. В данной статье попробуем разобрать документ: Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Используемые сокращения
ИС - информационная система
ПДн - персональные данные
УЗ - уровень защищенности
ИСПДн - информационная система персональных данных
И так п.2:
Сам документ N 152-ФЗ рассмотрим позже, но важно понимать, что если обрабатываются персональные данные, то должна быть система их защиты, причем она может состоять как из организационных, так и технических мер, а лучше и то и то.
п.3 и п.4 гласят:
То есть оператор обязан обеспечить безопасность ПДн, в соответствии с тебованиями регуляторов.
Выделяются следующие виды ИСПДн:
П.6 определяет, что такое угрозы
Выделяются 3 типа угроз:
УЗ 1 устанавливается при наличии хотя бы одного из условий:
Используемые сокращения
ИС - информационная система
ПДн - персональные данные
УЗ - уровень защищенности
ИСПДн - информационная система персональных данных
И так п.2:
Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных" (Федеральный закон от 27.07.2006 N 152-ФЗ).
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Сам документ N 152-ФЗ рассмотрим позже, но важно понимать, что если обрабатываются персональные данные, то должна быть система их защиты, причем она может состоять как из организационных, так и технических мер, а лучше и то и то.
п.3 и п.4 гласят:
Безопасность ПДн при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные
Выбор средств защиты информации для системы защиты ПДн осуществляется оператором в соответствии с нормативными правовыми актами
Выбор средств защиты информации для системы защиты ПДн осуществляется оператором в соответствии с нормативными правовыми актами
То есть оператор обязан обеспечить безопасность ПДн, в соответствии с тебованиями регуляторов.
Выделяются следующие виды ИСПДн:
- ИС, обрабатывающей специальные категории ПДн;
- ИС, обрабатывающей биометрические ПДн;
- ИС, обрабатывающей общедоступные ПДн;
- ИС, обрабатывающей иные категории ПДн;
- ИС, обрабатывающей ПДн сотрудников оператора.
П.6 определяет, что такое угрозы
Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия.
Выделяются 3 типа угроз:
- Угрозы 1-го типа связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении;
- Угрозы 2-го типа связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении;
- Угрозы 3-го типа не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.
Определение типа угроз безопасности ПДн, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда
Описание и классификация уровней защищенности
Определяются 4 уровня защищенности ПДн (УЗ ПДн):УЗ 1 устанавливается при наличии хотя бы одного из условий:
- актуальны угрозы 1-го типа и ИС обрабатывает либо специальные категории ПДн, либо биометрические персональные данные, либо иные категории персональных данных;
- актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
- актуальны угрозы 1-го типа и ИС обрабатывает общедоступные персональные данные;
- актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 2-го типа и ИС обрабатывает биометрические персональные данные;
- актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
- актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 3-го типа и ИС обрабатывает биометрические персональные данные;
- актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
- актуальны угрозы 3-го типа и ИС обрабатывает общедоступные персональные данные;
- актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
Требования для обеспечения УЗ
Для обеспечения УЗ 4 ПДн необходимо:- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечение сохранности носителей персональных данных;
- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
- выполнение требований применимых для УЗ 4
- чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности ПДн в информационной системе.
- выполнение требований применимых для УЗ 3
- чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
- выполнение требований применимых для УЗ 2
- автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
- создание структурного подразделения, ответственного за обеспечение безопасности ПДн в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Похожие статьи:
24 июль 2020, Пятница
ИБ: Требования к защите АС по классам защищенности
22 июль 2020, Среда
ИБ: Уровни доверия к СЗИ
08 апрель 2022, Пятница
SQL: Получить список всех индексов БД и процент фрагментации
04 март 2020, Среда
Как выполнить обновление phpMyAdmin?
06 ноябрь 2017, Понедельник
SQL: Большой размер БД Distribution MS SQL Server
Комментарии: