ИБ: Требования к защите персональных данных.

22 июль 2020, Среда

5 616

0 0

Последние несколько лет государственные органы все более пристальное внимание оказывают сбору, обработке и хранению персональных данных. В связи с этим появляется достаточно большое количество нормативных документов, регулирующих этот вопрос. В данном цикле статей приводится попытка выделить основные моменты и на которые стоит обратить внимание при работе с персональными данными, а также требования к их защите. В данной статье попробуем разобрать документ: Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Используемые сокращения
ИС - информационная система
ПДн - персональные данные
УЗ - уровень защищенности
ИСПДн - информационная система персональных данных

И так п.2:

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных" (Федеральный закон от 27.07.2006 N 152-ФЗ).
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Сам документ N 152-ФЗ рассмотрим позже, но важно понимать, что если обрабатываются персональные данные, то должна быть система их защиты, причем она может состоять как из организационных, так и технических мер, а лучше и то и то.

п.3 и п.4 гласят:

Безопасность ПДн при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные
Выбор средств защиты информации для системы защиты ПДн осуществляется оператором в соответствии с нормативными правовыми актами

То есть оператор обязан обеспечить безопасность ПДн, в соответствии с тебованиями регуляторов.

Выделяются следующие виды ИСПДн:

ИС, обрабатывающей специальные категории ПДн;
ИС, обрабатывающей биометрические ПДн;
ИС, обрабатывающей общедоступные ПДн;
ИС, обрабатывающей иные категории ПДн;
ИС, обрабатывающей ПДн сотрудников оператора.

Тип обрабатываемых ПДн определяет требования к уровню защищенности (УЗ).

П.6 определяет, что такое угрозы

Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия.

Выделяются 3 типа угроз:

Угрозы 1-го типа связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении;
Угрозы 2-го типа связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении;
Угрозы 3-го типа не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.

П.7 оценку типа угроз возлагает на оператора ПДн

Определение типа угроз безопасности ПДн, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда

Описание и классификация уровней защищенности

Определяются 4 уровня защищенности ПДн (УЗ ПДн):
УЗ 1 устанавливается при наличии хотя бы одного из условий:

актуальны угрозы 1-го типа и ИС обрабатывает либо специальные категории ПДн, либо биометрические персональные данные, либо иные категории персональных данных;
актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

УЗ 2 устанавливается при наличии хотя бы одного из условий:

актуальны угрозы 1-го типа и ИС обрабатывает общедоступные персональные данные;
актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
актуальны угрозы 2-го типа и ИС обрабатывает биометрические персональные данные;
актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

УЗ 3 устанавливается при наличии хотя бы одного из условий:

актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
актуальны угрозы 3-го типа и ИС обрабатывает биометрические персональные данные;
актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

УЗ 4 устанавливается при наличии хотя бы одного из условий:

актуальны угрозы 3-го типа и ИС обрабатывает общедоступные персональные данные;
актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

Требования для обеспечения УЗ

Для обеспечения УЗ 4 ПДн необходимо:

организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
обеспечение сохранности носителей персональных данных;
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Для обеспечения УЗ 3 ПДн необходимо

выполнение требований применимых для УЗ 4
чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности ПДн в информационной системе.

Для обеспечения УЗ 2 ПДн необходимо

выполнение требований применимых для УЗ 3
чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Для обеспечения УЗ 1 ПДн необходимо

выполнение требований применимых для УЗ 2
автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
создание структурного подразделения, ответственного за обеспечение безопасности ПДн в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Итак, тезисно документ Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" был рассмотрен, на основании его можно определить актуальные угрозы для оператора Пдн, а также необходимый уровень защищенности для ИС. Это та основа с которой следует начать обеспечение защиты ПДн.