Система безопасности персональных данных утвержденная

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: система безопасности персональных данных утвержденная. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Приложение N 1. Положение об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации

Приложение N 1
к приказу ______________
(название МО)
от _________ N ________

ГАРАНТ:

По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

ГАРАНТ:

По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

>
N 2. Типовая форма журнала учета установленных средств защиты информации
Содержание
Приказ Министерства здравоохранения Свердловской области от 20 октября 2015 г. N 1622-п «Об организационных мерах защиты.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/20972130/2303325ae84a54ba223840316a0fb8f7/

Часто задаваемые вопросы при проведении работ по защите персональных данных

FAQ – Часто задаваемые вопросы

  1. На какие законы надо ссылаться при обсуждении с руководством предприятия вопросов защиты ПД? Где найти информацию об этих законах? >>
  2. Где можно получить ответы на вопросы, связанные с соблюдением требования законодательства по защите ПД? >>
  3. Как определить категорию персональных данных, обрабатываемых на предприятии? >>
  4. Как классифицировать ИСПДн? Какие относятся к типовым, а какие к специальным? >>
  5. В каких случаях предприятие обязано уведомлять Россвязькомнадзор об обработке ПД, а в каких нет? >>
  6. Как подать уведомление в Россвязькомнадзор? К кому обратиться если есть вопросы при заполнении уведомления? >>
  7. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса? >>
  8. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса? >>
  9. Какие организационные меры по обеспечению безопасности ПД надо предпринять? Что надо сделать в первую очередь, что можно сделать позже? >>
  10. Как реализовывать технические меры по защите ПД на основе сформированных требований? >>
  11. Где найти перечень сертифицированных средств защиты информации? >>
  12. Когда проводят аттестацию ИСПДн и каким образом? >>
  13. Нужно ли получать лицензии при реализации технической защиты конфиденциальной информации и внедрению криптографических средств? >>

1. На какие законы надо ссылаться при обсуждении с руководством предприятия вопросов защиты ПД? Где найти информацию об этих законах?

Ссылаться нужно в первую очередь на следующие нормативно-правовые акты:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
  • Постановление Правительства РФ №781 «Об утверждении Положения об обеспечении безопасности персональных данных при
  • их обработке в информационных системах персональных данных»
  • Постановление Правительства РФ №687 «Об утверждении Положения об особенностях обработки персональных данных,
    осуществляемой без использования средств автоматизации»
  • В случае обработки биометрических данных: Постановление Правительства РФ № 512 «Об утверждении требований к
    материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных
    систем персональных данных»
  • Приказ ФСТЭК, ФСБ, Мининформсвязи № 55/86/20 «Об утверждении порядка проведения классификации информационных
    систем персональных данных»
  • Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 18 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»
  • Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзора) № 482 «Об утверждении
    образца формы уведомления об обработке персональных данных»

Методические документы регуляторов:

2. Где можно получить ответы на вопросы, связанные с соблюдением требования законодательства по защите ПД?

Можно направить официальные запросы и письма контролирующим органам:

  • территориальные управления ФСТЭК
  • территориальные органы Россвязькомнадзора
  • ФСБ России

Также можно (и зачастую целесообразнее) обратиться к специализированным компания, занимающимся защитой персональных данных.

3. Как определить категорию персональных данных, обрабатываемых на предприятии?

Законом установлены следующие категории ПД:

  • категория 1 ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских
    убеждений, состояния здоровья, интимной жизни;
  • категория 2 ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением
    ПД, относящихся к категории 1;
  • категория 3 персональные данные, позволяющие идентифицировать субъекта ПД;
  • категория 4 обезличенные и (или) общедоступные ПД.

Для того чтобы определить, какая категория обрабатывается каждой конкретной ИСПДн (информационной системой персональных данных), предприятиям необходимо провести обследование всего предприятия и выявить все свои ИСПДн. Кроме кадровой, бухгалтерской системы, ИСПДн могут являться приложения поддержки основных бизнес-процессов (автоматизированная банковская система, автоматизированная система расчета за услуги оператора связи, базы договоров в страховых компаниях, электронные истории болезней в медучреждениях и т. п.).

4. Как классифицировать ИСПДн? Какие относятся к типовым а какие к специальным?

Классифицировать следует согласно Приказу ФСТЭК, ФСБ, Мининформсвязи № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»

Типовые информационные системы – информационные системы, в которых требуется обеспечение только конфиденциальности
персональных данных.

Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

  • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Большинство ИСПДн будут относиться к специальным, а в соответствии с законом «О персональных данных»: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» к специальным ИСПДн можно отнести все ИСПДн.

Читайте так же:  Право подписи претензий

5. В каких случаях предприятие обязано уведомлять Россвязькомнадзор об обработке ПД, а в каких нет?

Согласно закону «О персональных данных»:

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку
персональных данных:

Но даже если оператор не должен уведомлять Россвязькомнадзор, он обязан защищать персональные данные.

6. Как подать уведомление в Россвязькомнадзор? К кому обратиться если есть вопросы при заполнении уведомления?

Форму и рекомендации по заполнению уведомления можно посмотреть на сайте Россвязькомнадзора. Туда же можно обратиться по вопросам ее заполнения.

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

7. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса?

Система защиты должна разрабатываться на основании модели угроз (модель угроз разрабатывается и для специальных, и для типовых
ИСПДн).

Для типовых систем мероприятия по защите ПДн в рамках подсистем: управления доступом, регистрации и учета, обеспечения целостности, криптографической защиты, антивирусной защиты, обнаружения вторжений определены в документе ФСТЭК России — «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн», заказать его можно в территориальном управлении ФСТЭК .

При использовании оператором криптографических средств при обеспечении защиты персональных данных нужно также руководствоваться документами ФСБ России:

  • «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
  • «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных».

8. Мы определили, что ИСПДн нашего предприятия относится к классу специальных. Как провести анализ угроз безопасности ПД, чтобы потом сформировать набор обязательных требований по ИБ?

Анализ угроз безопасности производится на основании документов ФСТЭК:

  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Заказать их можно в территориальном управлении ФСТЭК

В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСБ:

  • «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
  • «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных».

9. Какие организационные меры по обеспечению безопасности ПД надо предпринять? Что надо сделать в первую очередь, что можно сделать позже?

Прежде всего, необходимо разработать документы, регламентирующие защиту ПД в организации: положение об обработке ПД,
регламенты, руководства пользователям и администраторам ИСПДн, акт классификации ИСПДн, перечень применяемых средств защиты информации и т.д.

Разработать форму и порядок письменного согласия субъектов персональных данных на обработку своих персональных данных,
определить сроки хранения персональных данных, разработать план мероприятий по защите персональных данных (и выполнить эти
мероприятия):

  • ограничение доступа к персональным данным;
  • определение круга лиц, допущенного к обработке персональных данных, контроль обработки персональных данных;
  • установление персональной ответственности за нарушения правил обработки персональных данных;
  • организация доступа в помещения, где осуществляется обработка персональных данных.

10. Как реализовывать технические меры по защите ПД на основе сформированных требований?

К данным работам правильнее привлекать специализированную организацию, имеющую опыт реализации проектов в области защиты информации с применением сертифицированных средств защиты информации и обладающую необходимыми лицензиями для осуществления этой деятельности.

11. Где найти перечень сертифицированных средств защиты информации?

Государственный реестр сертифицированных средств защиты информации

12. Когда проводят аттестацию ИСПДн и каким образом?

После окончания работ по построению системы защиты персональных проводят аттестацию ИСПДн на соответствие требованиям утвержденной регулирующими органами РФ нормативной и методической документации по безопасности информации. Для проведения аттестации привлекается аттестационный орган ФСТЭК.

13. Нужно ли получать лицензии при реализации технической защиты конфиденциальной информации и внедрению криптографических средств?

В случае ИСПДн – 1-го, 2-го класса или распределенной 3-го класса надо получать лицензию на деятельность по технической защите конфиденциальной информации (это определено в документах ФСТЭК).

Деятельность по внедрению шифровальных (криптографических средств), как и по разработке систем, защищенных с использованием
данных средств, подлежит лицензированию в органах ФСБ.

Правильнее передать деятельность по технической защите и обслуживанию СЗИ на аутсорсинг компании, которая имеет все необходимые лицензии и сертификаты, а так же опыт проведения подобных работ.

Подготовлено с использованием Справочно-правовой Системы КонсультантПлюс

Источник: http://www.tls-cons.ru/services/data-security/faq/

Порядок организации защиты персональных данных. Организационно-распорядительная документация

5.1.Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781. (Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 настоящее постановление признано утратившим силу.)

При защите персональных данных должно быть обеспечено:

  1. предотвращение несанкционированного доступа к ПД и передачи их лицам, не имеющим соответствующих прав;
  2. своевременное обнаружение фактов НСД к ПД;
  3. предотвращение воздействия на технические средства обработки ПД, которое может нарушить их функционирование;
  4. возможность немедленного восстановления ПД в случае их модификации или уничтожения в результате НСД.
  5. постоянный контроль уровня защищенности персональных данных[18].

Организация безопасности ПД в ИСПД происходит в порядке, который предусматривает следующие этапы:

  1. оценка обстановки;
  2. обоснование требований безопасности ПД и постановка задач защиты;
  3. разработка замысла обеспечения безопасности;
  4. выбор мер и способов защиты в соответствии с требованиями безопасности и замыслом защиты;
  5. решения вопросов управления защитой;
  6. реализация замысла защиты;
  7. планирование мероприятий по защите;
  8. создание СЗПД;
  9. разработка документов для эксплуатации СЗПД и организации обеспечения безопасности ИСПД.
Читайте так же:  Срок обжалования апелляционного определения по уголовному делу

Прежде всего, необходимо ограничить физический доступ к защищаемой информации. В основе защиты от физического доступа лежат организационные мероприятия. Для организации физической защиты помещений и технических средств обработки ПД в первую очередь документально заверяются границы контролируемой зоны, ограничивается доступ в помещения, где обрабатываются ПД, производится их охрана в нерабочее время, определяется порядок и специальное место хранения материальных носителей с ПД, опечатываются корпуса ПЭВМ.

5.2. Оценка обстановки и формирование замысла защиты персональных данных

Оценка обстановки является этапом, во многом определяющим эффективность решения задач обеспечения безопасности ПД. В ее основе лежит комплексное обследование организации и ИСПД, использующихся для обработки ПД. Прежде всего, определяется информация , которую необходимо защищать, производится ее категорирование и оценивается необходимость защиты от таких угроз, как уничтожение или хищение аппаратных средств или носителей с ПД, утечки информации по техническим каналам, от НСД и прочих рассмотренных ранее угроз.

При оценке обстановки учитывается степень ущерба в случае успешной реализации одной из угроз. Рассмотрим основные подэтапы оценки обстановки:

  1. Анализ информационных ресурсов:
    • Определение состава, содержания и местонахождения ПД, подлежащих защите;
    • Категорирование ПД;
    • Оценка выполнения обязанностей по обеспечению безопасности ПД оператором в текущий момент времени.

В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПД, рассматриваются два вида ущерба: непосредственный и опосредованный.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде:

  • нанесения вреда здоровью субъекта ПД;
  • незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
  • потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД;
  • нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПД.

Разработка замысла защиты является важным этапом построения СЗПД, в ходе которого определяются основные направления защиты персональных данных , и производится выбор способов защиты. К способам защиты относятся как технические средства, так и организационные меры. В качестве технических средств защиты следует использовать сертифицированные средства защиты. Основные этапы формирования замысла защиты показаны на рисунке 5.1.

К основным вопросам управления относятся:

  1. распределение функций управления доступом к данным и их обработкой между должностными лицами;
  2. определение порядка изменения правил доступа к защищаемой информации;
  3. определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
  4. определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;
  5. определение порядка проведения контрольных мероприятий и действий по его результатам.

Для поддержания эффективного уровня защиты персональных данных необходимо своевременно решать вопросы по управлению защитой, а также основные вопросы, такие как подготовка кадров, финансирование и закупка необходимого оборудования. Только комплексный подход может гарантировать достаточность принятых мер защиты персональных данных .

Источник: http://www.intuit.ru/studies/courses/697/553/lecture/12448

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Видео (кликните для воспроизведения).

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Читайте так же:  Регистрация права совместной собственности на квартиру

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: http://kontur.ru/articles/1723

Как определить уровень защищенности информационных систем

Верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты. Если уровень завышен — деньги потрачены зря. Учреждения здравоохранения используют множество информационных систем персональных данных, поэтому рассмотрим параметры определения уровня защищенности на примере медиков.

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

На данный момент требования к защите персональных данных при их обработке в информационных системах установлены постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Постановление пришло на смену утратившему силу постановлению Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, который утверждал порядок классификации ИСПДн.

Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.

В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:

1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;

2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;

3) категория персональных данных, обрабатываемых в информационной системе:

4) тип актуальных угроз безопасности персональных данных:

  • актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении;
  • актуальны угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении;
  • актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.

Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных. Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.

Защита типовой системы: скромно и со вкусом

Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений. В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы. В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.

ИС федерального масштаба: все, как у людей

Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.

Читайте так же:  Постановление апелляционного суда и постановление пленума

Медицинские информационные системы: зона особого внимания

С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

  • ведут электронные амбулаторные карты, электронную регистратуру;
  • обрабатывают данные медицинских исследований в цифровой форме;
  • собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
  • используют как средство общения между сотрудниками;
  • анализируют финансовую и административную информацию.

При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

  • в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т. д.);
  • субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.

В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.

Прочие информационные системы в сфере здравоохранения

В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.

Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.

В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора. Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением. Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам.

  • составят модель угроз
  • классифицируют информационную систему
  • помогут выбрать оптимальные средства защиты
  • грамотно выстроят систему защиты

Узнать больше

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»

Источник: http://kontur.ru/articles/1940

Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?

Почему же «долгожданный»? Да потому, что с момента выхода постановления Правительства РФ № 1119 (1 ноября 2012 года) любые вопросы по технической защите персональных данных оказались в неопределенно-подвешенном состоянии. Получилось так: новым постановлением отменены старые классы информационных систем персональных данных (ИСПДн) и введено понятие «Уровни защищенности ИСПДн», но как и чем защищаться в каждом конкретном случае как раз и должен был нам рассказать новый приказ ФСТЭК, который мы ждали «каких-то» полгода.

Сразу после опубликования нового приказа по Интернету прокатилась волна восторженных отзывов о новом документе. Мол, это огромный шаг вперед в сфере законодательства по защите персональных данных. В какой-то мере это действительно так (учитывая то, что предыдущие документы выходили сразу морально устаревшими и не учитывали многих нюансов функционирования современных информационных систем — мобильные платформы, виртуализация и тд), но, лично у меня к новому документу есть масса претензий.

В этой статье я постараюсь простым языком проанализировать новый документ ФСТЭК России, взвесить его плюсы и минусы, а также постараться ответить на вопрос «что же теперь делать операторам персональных данных?».

Что из себя представляет документ в целом

В целом, это действительно шаг вперед в плане законотворчества в сфере защиты персональных данных. Наконец-то в списке мер мы увидели упоминание мобильных устройств и средств виртуализации, чего раньше законодатели тщательно старались избегать. Наконец-то нет обязаловки как в прошлом приказе: «Если у тебя ИСПДн 1 класса, тебе нужно потратить n денег на средства защиты информации, если 2 класса, то n-m денег, а если 3 класса, то n-m-k денег.».

Сейчас ситуация такая: у нас есть 15 групп различных технических и организационных мер, в каждой группе от 2 до 20 различных мер, напротив каждой меры отмечено, является ли эта мера базовой (я буду их называть далее условно обязательными) для определенного уровня защищенности (если стоит плюс, то мера базовая, если нет — компенсирующая). Тут нужно заметить, что в перечне есть немало мер, которые могут быть только компенсирующими, то есть не отмечены плюсом ни для одного из четырех уровней защищенности.

Оператор персональных данных действует по следующему алгоритму:
— определяет уровень защищенности своей ИСПДн согласно ПП 1119;
— выбирает все меры, которые отмечены плюсом для выбранного уровня защищенности (базовые меры);
— убирает из полученного списка меры, которые связаны с технологиями, не используемыми в ИСПДн (например, убираем меры для защиты виртуальной инфраструктуры, если средства виртуализации не используются);
— смотрит на полученный список мер и сравнивает с актуальными угрозами в модели угроз, если выбранными мерами нейтрализуются не все актуальные угрозы, добавляет в список компенсирующие меры, необходимые для нейтрализации всех оставшихся угроз;
— добавляет к полученному списку меры, определенные в других нормативных актах (например в ПП № 1119 есть небольшое количестве мер, а также есть общие требования в ФЗ-152), после чего получает итоговый список мер, которые нужно выполнить;
— выполняет меры из окончательного списка…

Вроде бы все просто: определяем уровень защищенности, рисуем модель угроз, выбираем и уточняем меры из нового приказа ФСТЭК, выполняем эти меры и у нас комар носа не подточит. Но…

Ложка дегтя

Собственно здесь начинается критика как нового документа, так и остального законодательства в целом.

Проблемы у 21 приказа ФСТЭК в целом такие же как и у многих других законодательных документов — использование размытых формулировок, возможность двоякого толкования текста, отсутствие пояснений там, где они жизненно необходимы.

Понять как тщательно готовился документ и сколько раз его перечитывали и редактировали за эти полгода можно уже по тому факту, что после четвертого пункта в приказе сразу идет шестой… Ну ладно, это придирки, а что есть по существу?

Непонятки начинаются с классики жанра, которая тянется с незапамятных времен. Пункт 2 документа гласит, что для выполнения работ по защите ПДн могут привлекаться организации, имеющие лицензию на техническую защиту конфиденциальной информации (ТЗКИ).
Эта фраза кочует из документа в документ ФСТЭК уже давно, но что значит «могут» однозначного ответа так и нет. Естественно, ушлые интеграторы будут трактовать это как «могут привлекать сторонние организации, если сами не имеют лицензию на ТЗКИ». Формально, они будут правы, потому что если копнуть другие нормативные акты, выясняется, что под ТЗКИ попадает даже банальная установка антивируса, а в положении о лицензировании касаемо ТЗКИ нет оговорки о том, что лицензия не нужна если работы проводятся для личных нужд. Но операторы не любят выкидывать деньги на ветер и, к несчастью ушлых интеграторов, включают здравый смысл и трактуют это предложение как «могут привлекать, а могут и сами сделать». Это первое место, где не помешало бы более конкретно описать условия привлечения сторонних организаций.

Читайте так же:  Обжалование определения суда о возвращении частной жалобы

Едем дальше. Пункт 3 говорит нам о том, что меры по обеспечению безопасности ПДн должны быть направлены на нейтрализацию актуальных угроз безопасности. С другой стороны ФЗ-152 говорит нам о том, что организационные и технические меры применяются для выполнения требований по защите ПДн. Так все-таки, есть у нас свобода или очередная обязаловка? Опять необходимо разъяснение.

Далее. Шестой пункт гласит о том, что раз в 3 года оператор самостоятельно или с привлечением сторонних организаций должен проводить оценку эффективности реализованных мер защиты ПДн. Тут получилось как с оценкой вреда субъекту персональных данных в 152-ФЗ. Получается, что оценку провести нужно, а какой-либо методики проведения такой оценки нет. А может быть оценка эффективности является заменой аттестации информационной системы? Тогда почему оператор может проводить ее самостоятельно, не имея лицензии на ТЗКИ?

Десятый пункт документа на первый взгляд очень многообещающий, в нем сказано «При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных«.

Казалось бы, вот оно — ссылаемся на экономическую нецелесообразность и не покупаем никаких сертифицированных средств защиты. Ну тут же нас выводит из состояния эйфории следующий абзац: «В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных».

То есть вот как, просто сказать проверяющему «Мы тут с мужиками прикинули и решили, что внедрять сертифицированные СЗИ это слишком дорого и поставили бесплатный китайский антивирус» не получится. Нужно показывать какие-то бумажки, обосновывающие применение иных мер, а не базовых. Как обосновать? Мне пока на ум приходит только проведение процедуры анализа рисков по ISO 27001, что, в случае найма для этих целей сторонней организации, само по себе может влететь в копеечку. К тому же, еще не факт, что анализ рисков покажет, что внедрять сертифицированные СЗИ экономически нецелесообразно…

Собственно тут мы и дошли до основной части документа — приложение с перечнем мер. Тут тоже не все так просто как хотелось бы. Вроде бы и меры разбиты на группы и удобно пронумерованы, вроде бы и удобные столбики с плюсиками показывают является ли в нашем случае та или иная мера условно обязательной или нет. Но, все равно, после изучения таблицы с мерами остается чувство неопределенности. Вот, например, пункт четвертый основного текста приказа уже не обязывает, вроде как, применять только сертифицированные СЗИ. Это хорошо. Но этот же пункт и не говорит прямым текстом, что можно применять несертифицированные СЗИ или не применять СЗИ вообще. Вот как он звучит дословно:
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

В то же время, первая же мера, условно обязательная для всех уровней защищенности, звучит так: «Идентификация и аутентификация пользователей, являющихся работниками оператора». Понятно, что эта мера может быть реализована и штатными средствами любой ОС. И вроде как четвертый пункт не обязывает применять тот же Secret Net или Dallas Lock, но где гарантия, что не придет проверяющий и не скажет «Вы все не так поняли, тут должно стоять сертифицированное СЗИ, вот вам предписание»? Кто и как определяет — для нейтрализации конкретной угрозы необходимо ли сертифицированное СЗИ или можно обойтись без него? Почему нельзя написать прямым текстом, что применение сертифицированных СЗИ не обязательно, или обязательно в каких-то конкретных случаях?

Ну и формулировка самих мер иногда очень интересна. Вот например условно-обязательная мера защиты сред виртуализации для уровней защищенности от третьего и выше:
«Разбиение виртуальной инфраструктуры на сегменты для обработки персональных данных отдельным пользователем и/или группой пользователей».

По какому принципу сегментировать-то? И в чем такая необходимость? Конечно, мы можем при уточнении или адаптации набора мер выкинуть эту меру из списка, но опять же, а если проверяющий скажет «Вы все не так поняли. »?

Я очень надеюсь, что когда-нибудь представители ФСТЭК все же дадут официальные разъяснения по поводу спорных вопросов.

Вместо резюме

В общем и целом заметны попытки ФСТЭК дать большую свободу действия операторам при выборе стратегии защиты персональных данных, но размытости и неопределенности в формулировках в сочетании с неясностью позиции самого регулятора в спорных моментах, заставляют насторожиться.

Что же делать операторам сейчас?

Тем, кто уже защитил свои ИСПДн по «старому стилю», немного подредактировать свою документацию, приведя ее в соответствие действующему законодательству. В любом случае, скорее всего, ваша система защиты в техническом плане будет соответствовать и новому документу, так как раньше требования были жестче.

Остальным — классифицировать свои ИСПДн, построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

Видео (кликните для воспроизведения).

Источник: http://habr.com/post/180623/

Система безопасности персональных данных утвержденная
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here