Меры защиты информационных систем персональных данных

Понятие и виды информационных систем персональных данных

Понятие информационной системы персональных данных содержит Закон о персональных данных. Это совокупность информационных технологий и технических средств, которые содержатся в базах данных персональных данных и обеспечивают их обработку (далее — ИС, информационная система).

Кроме того, Постановление Правительства РФ №1119 от 01.11.2012 классифицирует информационные системы по категориям обрабатываемых данных на 5 видов:

• Обрабатывает специальные категории персональных данных;
• Обрабатывает биометрические данные;
• Обрабатывает общедоступные персональные данные;
• Обрабатывает персональные данные сотрудников оператора;
• Обрабатывает иные персональные данные.

Перечень мер безопасности в отношении ИС

Меры безопасности в отношении информационных систем ПД можно разделить на:

• Общие правовые и организационные меры, которые установлены ст. 18.1 Закона о персональных данных;
• Специальные меры именно применительно к ИС.

К таким специальным организационно-техническим мерам в отношении ИС относятся:

• Оценка эффективности мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы;
• Определение угроз безопасности персональных данных при их обработке в ИС;
• Обеспечение безопасности персональных данных при их обработке в ИС. Их исполнение обеспечивают уровни защищенности персональных данных, установленные Правительством РФ;
• Принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИС и по реагированию на компьютерные инциденты в них;
• Установление правил доступа к персональным данным, обрабатываемым в ИС, а также обеспечение регистрации и учета всех действий с данными в ИС.

Нормативные акты в сфере безопасности информационных систем

Помимо федерального законодательства необходимо руководствоваться иными специализированными нормативными актами.

Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 установлены:

1. Требования к защите персональных данных при их обработке в ИС, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2. Уровни защищенности персональных данных при их обработке в ИС в зависимости от угроз безопасности этих данных.

Указанные требования установлены в зависимости от:

• Возможного вреда субъекту персональных данных;
• Объема и содержания обрабатываемых персональных данных;
• Вида деятельности, при осуществлении которого обрабатываются персональные данные;
• Актуальности угроз безопасности персональных данных устанавливает.

Существует два приказа контролирующих органов, которые устанавливают конкретный состав и содержание требований для каждого уровня защищенности. Эти приказы содержат конкретный перечень организационных и технических мер по обеспечению безопасности ИС.

• Приказ ФСБ России от 10 июля 2014 г. № 378
• Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21

Кроме того, ФОИВы, которые осуществляют функции по выработке государственной политики, а также иные государственные органы: 

• Принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных;
• В ИС при осуществлении конкретных видов деятельности — с учетом содержания ПД, характера и способов их обработки.

В настоящее время в СПС “Гарант” можно встретить 17 Приказов по вопросам, указанным выше.

Также ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности данных. Такие решения учитывают специфику обработки данных при осуществлении определенных видов деятельности членами таких организаций.

Требования к защите персональных данных в информационных системах

Несколько организационных моментов из Постановления Правительства РФ №1119:

• Оператор может осуществлять контроль за исполнением указанных ниже требований самостоятельно;
• Он также может привлечь на договорной основе специализированных лиц. Они должны иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации;
• Оператор обязан проводить контроль не реже 1 раза в 3 года. Также обязан устанавливать сроки проведения такого контроля.

Подробно о трех основных мерах защиты ИС

Выбор средств защиты информации

Оператор выбирает средства защиты информации в соответствии с приказами ФСБ России и ФСТЭК.

Безопасность персональных данных обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы.

Система защиты персональных данных включает в себя:

• Организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных;
• Информационных технологий, используемых в информационных системах.

Определение типа угроз безопасности

Оператор определяет тип угроз безопасности, актуальных для информационной системы с учетом оценки возможного вреда. Всё это во исполнение п. 5 ч. 1 ст. 18.1 Закона о персональных данных.

Подробнее: статья “Оценка степени вреда персональным данным — требования Роскомнадзора”.

Закон выделяет три типа угроз безопасности

1. Угрозы 1-го типа. Если для ИС актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном ПО, используемом в ИС.
2. Угрозы 2-го типа. Если для ИС актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном ПО, используемом в ИС.
3. Угрозы 3-го типа. Если для ИС актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном ПО, используемом в информационной системе.

Что такое актуальные угрозы безопасности? Это совокупность условий и факторов, создающих актуальную опасность:

• Несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИС;
• Результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия.

Контроль уровня защищенности персональных данных

Оператор контролирует установленные уровни защищенности персональных данных.

Уровень защищенности персональных данных — это комплексный показатель. Характеризует требования, исполнение которых обеспечивает нейтрализацию угроз безопасности персональных данных при их обработке в ИС.

Далее подробно разберем все уровни защищенности.

Уровни защищенности информационных систем персональных данных

Существует 4 уровня защищенности персональных данных

Первый уровень защищенности

Устанавливают, когда есть хотя бы одно из условий:

• Для ИС актуальны угрозы 1-го типа. Также ИС обрабатывает либо специальные категории ПД, либо биометрические ПД, либо иные категории ПД;
• Для ИС актуальны угрозы 2-го типа. Также ИС обрабатывает специальные категории ПД более чем 100 000 субъектов ПД, которые не являются сотрудниками оператора.

Для обеспечения 1 уровня защищенности необходимо выполнить такие требования:

• Создать структурное подразделение, ответственное за обеспечение безопасности ПД в ИС, либо возложить на одно из структурных подразделений функции по обеспечению такой безопасности;
• Назначить должностное лицо (работника), который будет ответственен за обеспечение безопасности персональных данных в ИС;
• Организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• Обеспечить сохранность носителей персональных данных;
• Утвердить документ, определяющий перечень лиц, которым необходим доступ к ПД для выполнения ими служебных (трудовых) обязанностей;
• Обеспечить, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для работников оператора или уполномоченных лиц, которым сведения нужны для исполнения трудовых обязанностей;
• Осуществлять автоматическую регистрацию в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПД, содержащимся в ИС;
• Использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации. В случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Второй уровень защищенности

Его устанавливают, когда есть хотя бы одно из условий:

• Для ИС актуальны угрозы 1-го типа и ИС обрабатывает общедоступные ПД;
• Для ИС актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПД сотрудников оператора или специальные категории ПД менее, чем 100 000 субъектов, не являющихся сотрудниками оператора;
• Для ИС актуальны угрозы 2-го типа и ИС обрабатывает биометрические пд;
• Для ИС актуальны угрозы 2-го типа и ИС обрабатывает общедоступные пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора;
• Для ИС актуальны угрозы 2-го типа и ИС обрабатывает иные категории пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора;
• Для ИС актуальны угрозы 3-го типа и ИС обрабатывает специальные категории пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора.

Для обеспечения 2 уровня защищенности необходимо выполнить такие требования:

• Назначить должностное лицо (работника), который будет ответственен за обеспечение безопасности пд в ИС;
• Организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• Обеспечить сохранность носителей пд;
• Утвердить документ, который определяет перечень лиц, которым необходим доступ к ПД для выполнения ими служебных (трудовых) обязанностей;
• Обеспечить, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для работников оператора или уполномоченных лиц, которым сведения нужны для исполнения трудовых обязанностей;
• Использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации. В случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Третий уровень защищенности

Его устанавливают, когда есть хотя бы одно из условий:

• Для ИС актуальны угрозы 2-го типа и ИС обрабатывает общедоступные пд сотрудников оператора или общедоступные пд менее, чем 100 000 субъектов, не являющихся сотрудниками оператора;
• Для ИС актуальны угрозы 2-го типа и ИС обрабатывает иные категории пд сотрудников оператора или иные категории пд менее, чем 100 000 субъектов, не являющихся сотрудниками оператора;
• Для ИС актуальны угрозы 3-го типа и ИС обрабатывает специальные категории пд сотрудников оператора или специальные категории пд менее, чем 100 000 субъектов пд, не являющихся сотрудниками оператора;
• Для ИС актуальны угрозы 3-го типа и ИС обрабатывает биометрические пд;
• Для ИС актуальны угрозы 3-го типа и ИС обрабатывает иные категории пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора.

Для обеспечения 3 уровня защищенности необходимо выполнить такие требования: 

• Назначить должностное лицо (работника), который будет ответственен за обеспечение безопасности пд в ИС;
• Организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• Обеспечить сохранность носителей персональных данных;
• Утвердить документ, который определяет перечень лиц, которым необходим доступ к ПД для выполнения ими служебных (трудовых) обязанностей;
• Использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации. Когда применение таких средств необходимо для нейтрализации актуальных угроз.

Четвертый уровень защищенности

Его устанавливают, когда есть хотя бы одно из условий:

• Для ИС актуальны угрозы 3-го типа и ИС обрабатывает общедоступные пд;
• Для ИС актуальны угрозы 3-го типа. Также ИС обрабатывает иные категории пд сотрудников оператора или иные категории пд до 100 000 субъектов-не сотрудников.

Для обеспечения 2 уровня защищенности необходимо выполнить такие требования: 

• Организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать неконтролируемому проникновению или пребыванию в помещениях лиц, не имеющих права доступа в них;
• Обеспечить сохранность носителей персональных данных;
• Утвердить документ, который определяет перечень лиц, которым необходим доступ к ПД для выполнения ими служебных обязанностей;
• Использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям закона в области обеспечения безопасности информации. Когда применение таких средств необходимо для нейтрализации актуальных угроз.

Взаимодействие с ГосСОПКА в целях ликвидации компьютерных атак

Это относительно новая обязанность операторов — действует с 1 сентября 2022 г. Обязан взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее — ГосСОПКА). 

Такое взаимодействие включает информирование ФСБ России. Информировать нужно о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных. Далее — компьютерный инцидент.

Так, оператор взаимодействует с ФСБ России через Национальный координационный центр по компьютерным инцидентам (далее — НКЦКИ).

Порядок взаимодействия в этих целях установлен здесь:

• Приказ ФСБ России от 13 февраля 2023 г. № 77;
• Приказ ФСБ России от 24 июля 2018 г. N 366.

Указанные правовые акты выделяют два вида операторов:

1. Субъекты критической инфраструктуры и иные, в том числе иностранные и международные
2. Все остальные операторы

В зависимости от вида оператора отличается порядок взаимодействия с НКЦКИ. Разберем порядок взаимодействия для всех обычных операторов.

Оператор обязан:

• В течение 24 часов с момента обнаружения инцидента уведомить Роскомнадзор о неправомерной передаче персональных данных (форма на сайте);
• В течение 72 часов — всё то же самое о результатах внутреннего расследования.

Подтверждением передачи информации в НКЦКИ является присвоение компьютерному инциденту идентификатора НКЦКИ. Оператор получает идентификатор в течение 24 часов с момента присвоения.

Оператор вправе обратиться в НКЦКИ для оказания ему содействия в реагировании на выявленный компьютерный инцидент. А также для привлечения сил ГосСОПКА.

В случае необходимости проверки сведений о компьютерном инциденте, НКЦКИ направляет запросы о проведении такой проверки. Оператор обязан информировать НКЦКИ о результатах проверки в течение 24 часов с момента получения указанных запросов.

Автор: Марина Новицкая, юрист и основатель юридической фирмы Итербиум.

Еще статьи о мерах безопасности в области персональных данных:

• Обзор мер по обеспечению безопасности обработки персональных данных
• Политика обработки персональных данных — 2024
• Оценка степени вреда персональным данным — требования Роскомнадзора

Если у вас остались вопросы о защите персональных данных с учетом специфики вашего бизнеса, вы можете обратиться к нам за консультацией. 

Специализированные юристы фирмы Итербиум знают нюансы и помогут вам.