Кто обязан установить уровень защищенности персональных данных

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: кто обязан установить уровень защищенности персональных данных. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 19 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 19 . Меры по обеспечению безопасности персональных данных при их обработке

ГАРАНТ:

См. комментарии к статье 19 настоящего Федерального закона

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

ГАРАНТ:

Об утверждении требований по обеспечению безопасности персональных данных в таможенных органах РФ, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов РФ см. приказ ФТС России от 11 августа 2015 г. N 1611

Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Росреестре см. приказ Росреестра от 29 января 2013 г. N П/31

Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов см. приказ ФНС России от 21 декабря 2011 г. N ММВ-7-4/[email protected]

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

ГАРАНТ:

См. Инструкцию по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел РФ, утвержденную приказом МВД РФ от 6 июля 2012 г. N 678

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

Читайте так же:  Образец бланка ходатайства в суд

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Источник: http://base.garant.ru/12148567/95ef042b11da42ac166eeedeb998f688/

Уровни защищенности персональных данных вместо классов

Постановление Правительства РФ №1119 от 01.11.2012 г. похоронило уже ставшими всем привычными классы информационных систем персональных данных.

В место классов, согласно новому постановлению, устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от типа персональных данных, который обрабатывает информационная система, типа актуальных угроз, количества обрабатываемых информационной системой субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

Информационные системы персональных данных (ИСПДн), согласно 5 пункту Постановления №1119 подразделяются на 4 группы:

    Cпециальные ИСПДн

если в ИСПДн обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

если в ИСПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами, обработка подразделяется на 2 вида:

  • обработка персональных данных сотрудников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся сотрудниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, Постановлением №1119 определены только 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

К ак установить тип актуальных угроз не регламентировано. Требования ПП-1119 не предлагают никаких методов и способов их нейтрализации. Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно — придется обращаться в вышестоящую организацию или к консультанту. Проще всего пойти по пути наименьшего сопротивления, т.е. определить тип актуальной угрозы 3 типа, и забыть про недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, но это необходимо будет обосновать. Весь вопрос как?, возвращаясь к началу абзаца.
Тема актуальности угроз информационных систем персональных данных очень важна, ведь от правильно описанных угроз зависит насколько грамотно будет защищена система, а также сколько будет стоить защита для оператора персональных данных.

Читайте так же:  Порядок вступление решения суда в силу

Е сли Вы определились с исходными данными для конкретной ИСПДн, в том числе типом актуальных угроз, то можете определить её уровень защищенности. Для удобства определения уровня защищенности воспользуйтесь следующей таблицей, которая сделана на основе ПП-1119:

Тип актуальных угроз

Нет > 100 000 УЗ-1 УЗ-1 УЗ-2 Нет 100 000 УЗ-1 УЗ-2 УЗ-3 Нет 100 000 УЗ-2 УЗ-2 УЗ-4 Нет В зависимости от выбранного уровня защищенности ПДн, ПП-1119 определены ряд требований по защите персональных данных, которые организуются и проводятся оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль за выполнением требований должен проводиться не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

О пределившись с требованиями по защите персональных данных в соответствии с ПП-1119, можно переходить к выбору организационных и технических мер по обеспечению безопасности персональных данных, исходя из требований Приказа ФСТЭК России №21 от 18.02.2013г., направленных на нейтрализацию актуальных угроз безопасности персональных данных.

Ч то делать со средствами защиты информации, сетификаты на которые были выданы ранее для определённых классов ИСПДн?

Источник: http://www.rskb48.ru/stati/urovni.html

Что такое система защиты персональных данных? Мероприятия по обеспечению безопасности и инструкция по разработке СЗПД

Возросшие технические возможности по копированию и распространению конфиденциальной информации привели к необходимости использования средств по защите персональных данных.

Это комплекс мероприятий технического, организационного и организационно-технического характера; он предполагает возможность избежать злоупотреблений личными сведениями, предотвратить использование мошеннических схем в Интернете, которые представляют угрозу законным правам и интересам личности.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие существуют уровни защищенности?

В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от 27.07.2006 года, Правительство РФ устанавливает 4 уровня защищенности:

  1. УЗ-1 – максимальный.
  2. УЗ-2 – высокий.
  3. УЗ-3 – средний.
  4. УЗ-4 – низкий.

Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от 01.11.2012 N 1119.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.

Организационные меры включают:

    Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.

Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.

Подписание соглашений с третьими лицами, которые участвуют в обработке информации.

Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.

  • Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.
  • Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

    • предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
    • предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

    Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

    Пошаговая инструкция по разработке СЗПД

    Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных». Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

    Подробную инструкцию по реализации защиты ПД в различных организациях найдете тут.

    Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

    Читайте так же:  Декларирование денег при выезде за границу

    Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России.

    Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Видео (кликните для воспроизведения).

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/sistema-zpd.html

    Понятие персональных данных и требования к их обработке и защите, установленные Правительством РФ

    Персональные данные (ПДн) – особенная категория информации, к которой предъявляются повышенные требования в процессе обработки и хранения.

    Субъектами сведений персонального характера выступают физические лица, несанкционированное распространение таких данных может привести к негативным последствиям. Поэтому профильным законом в России установлены нормативные положения, призванные защитить ПДн.

    О том, как по закону операторы должны обращаться с конфиденциальной информацией граждан Российской Федерации на всех этапах обработки мы подробно расскажем в материале.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

    Законодательные основы

    С момента принятия законодательно акта Государственной Думой, в него вносились многочисленные дополнения и изменения. Одним из последних стало требования – разместить сервисы с информацией, входящей в перечень ПДн, на территории Российской Федерации.

    В этом документе очерчены принципы обработки данных, указаны обязанности операторов, а также степень ответственности за несоблюдение закона.

    Характер предписаний

    К защите

    Сведения о требованиях, реализуемых в отношении защиты информации конфиденциального характера, утверждены Правительством РФ в Постановлении кабинета министров РФ от 1 ноября 2012 года N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Все обязанности по защите ПД ложатся на оператора, осуществляющего их сбор и обработку.

    1. Любая система, работающая с персональной информацией, пользуется средствами защиты от актуальных угроз и соответствующими информационными технологиями.
    2. Оператор определяет актуальные угрозы, а также оценивает их потенциальный вред по алгоритму пункта 5 части 1 статьи 18 Федерального закона «О персональных данных». Разработать соответствующую модель угроз и применять ее на практике для защиты информации.
    3. Оператор устанавливает для ПДн уровень защищенности.
    • 1 уровень устанавливается для систем, обрабатывающих специальные категории персональных данных, либо биометрические сведения, а также операторов, работающих с более чем ста тысячам субъектов ПДН (если они не являются сотрудниками).
    • 2 уровень присваивается операторам, обрабатывающим информацию более ста тысяч субъектов (если они являются сотрудниками), общедоступные данные более чем ста тысяч субъектов, биометрические данные менее ста тысяч субъектов.
    • 3 уровень присваивается системам, работающим с информацией, принадлежащей 10 тысячам субъектов, не являющихся сотрудниками оператора.
    • 4 уровень получают системы, работающие с общедоступной информацией ПДн, которая считается обезличенной и не дает возможности идентифицировать человека.

    Четвертый уровень безопасности обеспечивается следующими позициями:

    • организация режима доступа к помещениям, в которых размещена информационная система (без возможности случайного проникновения);
    • обеспечение сохранности физических платформ ПДн;
    • утверждение документа с перечнем лиц, которым доступна система.

    Третий уровень обусловлен одним дополнительным, по сравнению с 4 уровнем, требованием – назначить должностное лицо, ответственное за безопасность. На втором уровне добавляется обязательное ограничение доступа к каталогу ПДн только для должностных лиц оператора.

    А операторы с первым уровнем защищенности должны автоматически вносить в средство электронного учета изменения полномочий сотрудников, имеющих доступ к ПДн, а также создать структурное подразделение (или возложить на существующее), в обязанности которого входит обеспечение безопасности персональных сведений.

    Посмотреть видео о том, как необходимо осуществлять защиту персональных данных:

    К обработке в информационных системах

    • Оператор информационных систем работает с данными на основе законодательных актов.
    • В системе обработка ограничивается действиями, необходимыми для реализации конкретных целей, определенных заранее. Несовместимая с целями сбора обработка является нарушением.
    • Объединение баз, которые содержат ПДн, собранные с разными целями, не допускается.
    • Обрабатываются только данные, отвечающие целям обработки.
    • Не допускается избыточности по отношению к заявленным целям обработки.

    Примечательно, что к обработке предъявляется обязательное требование – наличие согласия субъекта на обработку персональных данных с информированием о целях такой процедуры.

    Для хранения оператор должен утвердить два нормативных документа:

    1. Политика в отношении обработки ПДн.
    2. Соглашение об обработке персональной информации.

    Субъект имеет право ознакомиться с уставными бумагами и только после этого давать или не давать согласие на обработку его личной информации.

    К хранению

    Хранение ПДн осуществляется в форме, дающей возможность вычислить субъекта только в рамках установленных сроков. Кроме того, хранение сведений (в том числе сроки) могут устанавливаться нормативными актами разного уровня.

    Персональные данные, согласно новым требованиям Роскомнадзора, предъявляемым к их защите, необходимо хранить только на территории Российской Федерации (физически сервера или ЦОДы должны находиться внутри государства).

    К обеспечению безопасности

    В статье 19 Федерального закона «О персональных данных» прописаны требования к обеспечению безопасности со стороны оператора. Они включают в себя следующие мероприятия:

    1. Реализовывать меры широкого спектра, в том числе технического и организационного.
    2. Организовывать процедуру оценки соответствия средств защиты.
    3. Оценивать эффективность мер по обеспечению безопасности.
    4. Вести учет машинных носителей конфиденциальных сведений.
    5. Обнаруживать факты несанкционированного доступа , восстанавливать, сведения, если в процессе несанкционированного доступа они были удалены или изменены.
    6. Устанавливать правила доступа к системам с конфиденциальной информацией.
    Читайте так же:  Избрание ревизионной комиссии советом директоров

    Как видите, законодательство Российской Федерации предъявляет к операциям с ПДн массу требований. Это связано с особенностями сведений и тем фактом, что они должны сохраняться в условиях конфиденциальности.

    Среди систем различают системы с разным уровнем защищенности в зависимости от особенностей самых данных.

    Неконтролируемое распространение ПДн считается нарушением и может повлечь за собой ущерб для субъекта сведений, которые должны быть конфиденциальными. Требование не учитывается только для обезличенных сведений.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (800) 350-22-67 Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/trebovniya-k-p-d.html

    Защита персональных данных. Соответствие СЭД 152-ФЗ

    Периодически из уст заказчиков слышен вопрос: «Удовлетворяет ли ваша система требованиям закона о персональных данных и в тендерных документациях мелькают требования реализации проекта по защите данных. Но для чего реально необходима эта магическая аббревиатура ИСПДн заказчику, он не всегда в состоянии корректно объяснить. Углубимся в вопрос.

    1. Требования к системе СЭД по защите ПДн

    1.1. Немного законодательства

    Итак, начнем с самого начала. Попробуем понять откуда «растут ноги»?

    26 января 2007 г. вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», который определил необходимость защиты персональных данных субъектов (далее ПДн) в целях зашиты прав и свобод человека и гражданина. За невыполнение требований данного закона предусмотрена административная и уголовная ответственность как для юридических, так и физических лиц (сотрудников и руководителей организаций), а деятельность самой организации может быть приостановлена по требованию Роскомнадзора. Таким образом, операторы информационных систем персональных данных (далее ИСПДн) обязаны защищать переданные им ПДн от угроз, реализация которых может повлечь за собой ущерб владельцам этих данных.

    Напомним, что такое персональные данные. В соответствии с законом, определение звучит так: «Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». То есть, если идти от обратного, то только та совокупность данных, которая позволяет определить конкретный субъект, является персональной.

    1.2. СЭД и ПДн: есть ли взаимосвязь?

    Имеет СЭД отношение к проблеме обеспечения защиты ПДн?

    Ответ – да. Если СЭД содержит в своем составе справочники сотрудников предприятия и контрагентов, и эти данные хранятся в системе таким образом, что может быть определен конкретный субъект, это означает, что она содержит ПДн. Плюс в СЭД также могут храниться и обрабатываться различные анкеты, характеристики, персональные дела, истории болезней и т.д. – а эти документы в том числе относятся к определенной категории ПДн. Ситуация «усугубляется», если компания ориентирована на работу с физическими лицами и СЭД вовлечена в сферу их обслуживания. Это касается органов государственной власти, где ведется непосредственная работа с населением; медицинские и образовательные учреждения; телекоммуникационные компании; кредитные организации и т.д. – операторы ПДн.

    Статья 19 152 ФЗ «О персональных данных» устанавливает, что: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

    Отметим, что в законе прямо не указываются какими конкретными средствами и методами обеспечения безопасности ПДн должен пользоваться оператор. До 1 июля 2011 года мы руководствовались постановлениями правительства РФ за номерами 781, 512 и 687, так называемых «приказом Трех» и приказом ФСТЭК № 58. После чего был принят 261-ФЗ и «Старая» часть 3 ст. 19 «растеклась» по нескольким частям нового закона, изменившись до неузнаваемости.

    Ч. 3 ст. 19: «Правительство Российской Федерации, с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных, устанавливает:

    уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

    требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

    требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

    Вот мы с вами впервые столкнулись с термином «Уровень защищенности ПДн». Что это и с чем его «едят»?

    1.3. Определение уровня защищенности ПДн

    Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных. Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

    Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

    Читайте так же:  Правовые последствия ограничения дееспособности гражданина

    ● 1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

    ● 2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

    ● 3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

    ● 4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

    По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

    ● обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);

    ● обработка персональных данных субъектов, не являющихся работниками вашей организации.

    По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

    ● менее 100 000 субъектов;

    ● более 100 000 субъектов;

    И наконец, типы актуальных угроз:

    ● угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;

    ● угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;

    ● угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

    Как установить тип актуальных угроз не регламентировано, поэтому предприятие может как провести работы по определению уровня защищенности самостоятельно (за исключением аттестации, для которой требуется специальная лицензия), так и привлечь внешних консультантов.

    Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности ПДн в соответствии со следующей таблицей:

    Таблица 1. Определение уровня защищенности ПДн

    1.4. Сертифицированный продукт: нужен или нет.

    Подведем итоги в рамках первой части нашего исследования.

    Если в СЭД будут храниться ПДн, значит необходима сертификация данной системы. Как правило, в сертификации продукта заинтересован сам разработчик данного софта, а заказчику остается только приобрести сертифицированный экземпляр продукта. Сертификат на конкретную версию или поколение выдает ФСТЭК России на строго определенный срок. Фактически данный сертификат удостоверяет, что система СЭД соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации». Кстати, чтобы Заказчику провести аттестацию СЭД, помимо приобретения сертифицированного экземпляра продукта, может также потребоваться сертификат на встроенные в него средства защиты информации. На что именно и какого уровня, зависит от необходимого уровня защищенности ИСПДн, к которой отнесена СЭД.

    Отмечу один существенный недостаток во всем этом: процедура сертификации продукта процесс длительный. Т.е. к моменту, когда будет сертифицирована одна версия системы, она уже успеет морально устареть. Хотя этот вопрос все же разрешим: разработчик СЭД может сертифицировать сразу целое поколение. Это будет означать, что реальную сертификацию в ФСТЭК проходит первая версия системы из всего поколения, но, если заказчику потребуется поставка более свежей версии, то после ее установки и настройки достаточно будет всего лишь дополнительно провести процедуру инспекционного контроля.

    Инспекционный контроль осуществляется с целью установления того, продолжает ли ИСПДн соответствовать требованиям, на соответствие которым она была сертифицирована. Как правило, если настройка не затронула механизм разграничений прав доступа, шифрования, ведения логов и прочее в сравнении с ранее сертифицированной версией продукта, то сертификация системы заказчика пройдет без всяких проблем и в кратчайшие сроки.

    2. Виды работ. Перечень ИСПДн

    Напоминаю, что в первой части нашего исследования мы разбирались с сертификацией СЭД-системы. В результате мы с вами подходим к очень важному для нас выводу: сама СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в 152 ФЗ, на который ссылается большинство Заказчиков. На самом деле СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем. Поэтому просто приобретение сертифицированной версии продукта СЭД для заказчика будет недостаточно. Дополнительно потребуется проведение ряда работ, которых мы рассмотрим во второй части нашего исследования.

    СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем.

    2.1. Перечень требований к ИСПДн

    Прежде всего давайте разберемся, какие требования должны соблюдаться?

    Перечень требований, предъявляемый к используемым техническим средствам и программном продукту СЭД на предприятие, выполнение которых необходимо для нейтрализации угроз безопасности ПДн, определяется в зависимости от уровня защищенности ПДн. Данный перечень требований можно представить в следующей таблице:

    Таблица 2. Перечень требований, предъявляемый к ИСПДн

    Регулярный контроль за выполнением требований

    Контроль за выполнением требований организуется и проводится оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые сами оператором или его уполномоченным лицом.

    Физ.безопасность и контроль доступа

    Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих в них права доступа

    Обеспечение сохранности носителей персональных данных

    Видео (кликните для воспроизведения).

    Источник: http://ecm-journal.ru/card.aspx?ContentID=90145048

    Кто обязан установить уровень защищенности персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here