ИБ: Требования к защите персональных данных.

22 июль 2020, Среда
55
0
Последние несколько лет государственные органы все более пристальное внимание оказывают сбору, обработке и хранению персональных данных. В связи с этим появляется достаточно большое количество нормативных документов, регулирующих этот вопрос. В данном цикле статей приводится попытка выделить основные моменты и на которые стоит обратить внимание при работе с персональными данными, а также требования к их защите. В данной статье попробуем разобрать документ: Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Используемые сокращения
ИС - информационная система
ПДн - персональные данные
УЗ - уровень защищенности
ИСПДн - информационная система персональных данных

И так п.2:
Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных" (Федеральный закон от 27.07.2006 N 152-ФЗ).
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Сам документ N 152-ФЗ рассмотрим позже, но важно понимать, что если обрабатываются персональные данные, то должна быть система их защиты, причем она может состоять как из организационных, так и технических мер, а лучше и то и то.

п.3 и п.4 гласят: 
Безопасность ПДн при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные
Выбор средств защиты информации для системы защиты ПДн осуществляется оператором в соответствии с нормативными правовыми актами

То есть оператор обязан обеспечить безопасность ПДн, в соответствии с тебованиями регуляторов.

Выделяются следующие виды ИСПДн:
  • ИС, обрабатывающей специальные категории ПДн;
  • ИС, обрабатывающей биометрические ПДн;
  • ИС, обрабатывающей общедоступные ПДн;
  • ИС, обрабатывающей иные категории ПДн;
  • ИС, обрабатывающей ПДн сотрудников оператора.
Тип обрабатываемых ПДн определяет требования к уровню защищенности (УЗ).

П.6 определяет, что такое угрозы
Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия.

Выделяются 3 типа угроз:
  • Угрозы 1-го типа связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении;
  • Угрозы 2-го типа связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении;
  • Угрозы 3-го типа не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.
П.7 оценку типа угроз возлагает на оператора ПДн
Определение типа угроз безопасности ПДн, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда

Описание и классификация уровней защищенности

Определяются 4 уровня защищенности ПДн (УЗ ПДн):
УЗ 1 устанавливается при наличии хотя бы одного из условий:
  • актуальны угрозы 1-го типа и ИС обрабатывает либо специальные категории ПДн, либо биометрические персональные данные, либо иные категории персональных данных;
  • актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
УЗ 2 устанавливается при наличии хотя бы одного из условий:
  • актуальны угрозы 1-го типа и ИС обрабатывает общедоступные персональные данные;
  • актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 2-го типа и ИС обрабатывает биометрические персональные данные;
  • актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
УЗ 3 устанавливается при наличии хотя бы одного из условий:
  • актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 3-го типа и ИС обрабатывает биометрические персональные данные;
  • актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
УЗ 4 устанавливается при наличии хотя бы одного из условий:
  • актуальны угрозы 3-го типа и ИС обрабатывает общедоступные персональные данные;
  • актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

Требования для обеспечения УЗ

Для обеспечения УЗ 4 ПДн необходимо:
  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • обеспечение сохранности носителей персональных данных;
  • утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для обеспечения УЗ 3 ПДн необходимо 
  • выполнение требований применимых для УЗ 4
  • чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности ПДн в информационной системе.
Для обеспечения УЗ 2 ПДн необходимо 
  • выполнение требований применимых для УЗ 3
  • чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Для обеспечения УЗ 1 ПДн необходимо 
  • выполнение требований применимых для УЗ 2
  • автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
  • создание структурного подразделения, ответственного за обеспечение безопасности ПДн в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Итак, тезисно документ Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" был рассмотрен, на основании его можно определить актуальные угрозы для оператора Пдн, а также необходимый уровень защищенности для ИС. Это та основа с которой следует начать обеспечение защиты ПДн.
Комментарии:
Прокомментировать
При использовании материалов ссылка на сайт UserMan.ru обязательна. UserMan.ru © 2017-2020
Мы в Соцсетях: VK