В статье разобрали по полочкам все меры защиты информационных систем персональных данных.

Содержание

• Понятие и виды информационных систем персональных данных
• Перечень мер безопасности в отношении ИС
• Нормативные акты в сфере безопасности ИС
• Требования к защите персональных данных в информационных системах
• Подробно о трех основных мерах защиты
• Уровни защищенности информационных систем
• Взаимодействие с ГосСОПКА в целях ликвидации компьютерных атак

Понятие и виды информационных систем персональных данных

Понятие информационной системы персональных данных содержит Закон о персональных данных. Это совокупность информационных технологий и технических средств, которые содержатся в базах данных персональных данных и обеспечивают их обработку (далее — ИС, информационная система).

Кроме того, Постановление Правительства РФ №1119 от 01.11.2012 классифицирует информационные системы по категориям обрабатываемых данных на 5 видов:

• обрабатывает специальные категории персональных данных
• обрабатывает биометрические данные
• обрабатывает общедоступные персональные данные
• обрабатывает персональные данные сотрудников оператора
• обрабатывает иные персональные данные

Перечень мер безопасности в отношении ИС

Меры безопасности в отношении информационных систем ПД можно разделить на:

• общие правовые и организационные меры, которые установлены ст. 18.1 Закона о персональных данных
• специальные меры именно применительно к ИС.

К таким специальным организационно-техническим мерам в отношении ИС относятся:

• оценка эффективности мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы
• определение угроз безопасности персональных данных при их обработке в ИС
• обеспечение безопасности персональных данных при их обработке в ИС. Их исполнение обеспечивают уровни защищенности персональных данных, установленные Правительством РФ
• принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИС и по реагированию на компьютерные инциденты в них
• установление правил доступа к персональным данным, обрабатываемым в ИС, а также обеспечение регистрации и учета всех действий с данными в ИС

Нормативные акты в сфере безопасности информационных систем

Помимо федерального законодательства необходимо руководствоваться иными специализированными нормативными актами.

Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 установлены:

1. требования к защите персональных данных при их обработке в ИС, исполнение которых обеспечивает установленные уровни защищенности персональных данных
2. уровни защищенности персональных данных при их обработке в ИС в зависимости от угроз безопасности этих данных

Указанные требования установлены в зависимости от:

• возможного вреда субъекту персональных данных, 
• объема и содержания обрабатываемых персональных данных, 
• вида деятельности, при осуществлении которого обрабатываются персональные данные,
• актуальности угроз безопасности персональных данных устанавливает

Существует два приказа контролирующих органов, которые устанавливают конкретный состав и содержание требований для каждого уровня защищенности. Эти приказы содержат конкретный перечень организационных и технических мер по обеспечению безопасности ИС.

• Приказ ФСБ России от 10 июля 2014 г. № 378
• Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21

Кроме того, ФОИВы, которые осуществляют функции по выработке государственной политики, а также иные государственные органы: 

• принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, 
• в ИС при осуществлении конкретных видов деятельности — с учетом содержания ПД, характера и способов их обработки.

В настоящее время в СПС “Гарант” можно встретить 17 Приказов по вопросам, указанным выше.

Также ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности данных. Такие решения учитывают специфику обработки данных при осуществлении определенных видов деятельности членами таких организаций.

Требования к защите персональных данных в информационных системах

Несколько организационных моментов из Постановления Правительства РФ №1119:

• Оператор может осуществлять контроль за исполнением указанных ниже требований самостоятельно. 
• Он также может привлечь на договорной основе специализированных лиц. Они должны иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации. 
• Оператор обязан проводить контроль не реже 1 раза в 3 года. Также обязан устанавливать сроки проведения такого контроля.

Подробно о трех основных мерах защиты ИС

Выбор средств защиты информации

Оператор выбирает средства защиты информации в соответствии с приказами ФСБ России и ФСТЭК.

Безопасность персональных данных обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы.

Система защиты персональных данных включает в себя:

• организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных 
• информационных технологий, используемых в информационных системах.

Определение типа угроз безопасности

Оператор определяет тип угроз безопасности, актуальных для информационной системы с учетом оценки возможного вреда. Всё это во исполнение п. 5 ч. 1 ст. 18.1 Закона о персональных данных.

Подробнее: статья “Оценка степени вреда персональным данным — требования Роскомнадзора”.

Закон выделяет три типа угроз безопасности

1. Угрозы 1-го типа. Если для ИС актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном ПО, используемом в ИС.
2. Угрозы 2-го типа. Если для ИС актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном ПО, используемом в ИС.
3. Угрозы 3-го типа. Если для ИС актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном ПО, используемом в информационной системе.

Что такое актуальные угрозы безопасности? Это совокупность условий и факторов, создающих актуальную опасность:

• несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИС, 
• результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия.

Контроль уровня защищенности персональных данных

Оператор контролирует установленные уровни защищенности персональных данных.

Уровень защищенности персональных данных — это комплексный показатель. Характеризует требования, исполнение которых обеспечивает нейтрализацию угроз безопасности персональных данных при их обработке в ИС.

Далее подробно разберем все уровни защищенности.

Уровни защищенности информационных систем персональных данных

Существует 4 уровня защищенности персональных данных

Первый уровень защищенности

Устанавливают, когда есть хотя бы одно из условий

• для ИС актуальны угрозы 1-го типа. Также ИС обрабатывает либо специальные категории ПД, либо биометрические ПД, либо иные категории ПД
• для ИС актуальны угрозы 2-го типа. Также ИС обрабатывает специальные категории ПД более чем 100 000 субъектов ПД, которые не являются сотрудниками оператора.

Для обеспечения 1 уровня защищенности необходимо выполнить такие требования: 

• создать структурное подразделение, ответственное за обеспечение безопасности ПД в ИС, либо возложить на одно из структурных подразделений функции по обеспечению такой безопасности
• назначить должностное лицо (работника), который будет ответственен за обеспечение безопасности персональных данных в ИС
• организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
• обеспечить сохранность носителей персональных данных
• утвердить документ, определяющий перечень лиц, которым необходим доступ к ПД для выполнения ими служебных (трудовых) обязанностей
• обеспечить, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для работников оператора или уполномоченных лиц, которым сведения нужны для исполнения трудовых обязанностей
• осуществлять автоматическую регистрацию в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПД, содержащимся в ИС
• использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации. В случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Второй уровень защищенности

Его устанавливают, когда есть хотя бы одно из условий:

• для ИС актуальны угрозы 1-го типа и ИС обрабатывает общедоступные ПД
• для ИС актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПД сотрудников оператора или специальные категории ПД менее, чем 100 000 субъектов, не являющихся сотрудниками оператора
• для ИС актуальны угрозы 2-го типа и ИС обрабатывает биометрические пд
• для ИС актуальны угрозы 2-го типа и ИС обрабатывает общедоступные пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора
• для ИС актуальны угрозы 2-го типа и ИС обрабатывает иные категории пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора
• для ИС актуальны угрозы 3-го типа и ИС обрабатывает специальные категории пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора.

Для обеспечения 2 уровня защищенности необходимо выполнить такие требования: 

• назначить должностное лицо (работника), который будет ответственен за обеспечение безопасности пд в ИС
• организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
• обеспечить сохранность носителей пд
• утвердить документ, который определяет перечень лиц, которым необходим доступ к ПД для выполнения ими служебных (трудовых) обязанностей
• обеспечить, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для работников оператора или уполномоченных лиц, которым сведения нужны для исполнения трудовых обязанностей
• использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации. В случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Третий уровень защищенности

Его устанавливают, когда есть хотя бы одно из условий:

• для ИС актуальны угрозы 2-го типа и ИС обрабатывает общедоступные пд сотрудников оператора или общедоступные пд менее, чем 100 000 субъектов, не являющихся сотрудниками оператора
• для ИС актуальны угрозы 2-го типа и ИС обрабатывает иные категории пд сотрудников оператора или иные категории пд менее, чем 100 000 субъектов, не являющихся сотрудниками оператора
• для ИС актуальны угрозы 3-го типа и ИС обрабатывает специальные категории пд сотрудников оператора или специальные категории пд менее, чем 100 000 субъектов пд, не являющихся сотрудниками оператора
• для ИС актуальны угрозы 3-го типа и ИС обрабатывает биометрические пд
• для ИС актуальны угрозы 3-го типа и ИС обрабатывает иные категории пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора.

Для обеспечения 3 уровня защищенности необходимо выполнить такие требования: 

• назначить должностное лицо (работника), который будет ответственен за обеспечение безопасности пд в ИС
• организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
• обеспечить сохранность носителей персональных данных
• утвердить документ, который определяет перечень лиц, которым необходим доступ к ПД для выполнения ими служебных (трудовых) обязанностей
• использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации. Когда применение таких средств необходимо для нейтрализации актуальных угроз.

Четвертый уровень защищенности

Его устанавливают, когда есть хотя бы одно из условий:

• для ИС актуальны угрозы 3-го типа и ИС обрабатывает общедоступные пд
• для ИС актуальны угрозы 3-го типа. Также ИС обрабатывает иные категории пд сотрудников оператора или иные категории пд до 100 000 субъектов-не сотрудников

Для обеспечения 2 уровня защищенности необходимо выполнить такие требования: 

• организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать неконтролируемому проникновению или пребыванию в помещениях лиц, не имеющих права доступа в них.
• обеспечить сохранность носителей персональных данных
• утвердить документ, который определяет перечень лиц, которым необходим доступ к ПД для выполнения ими служебных обязанностей
• использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям закона в области обеспечения безопасности информации. Когда применение таких средств необходимо для нейтрализации актуальных угроз.

Взаимодействие с ГосСОПКА в целях ликвидации компьютерных атак

Это относительно новая обязанность операторов — действует с 1 сентября 2022 г. Обязан взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее — ГосСОПКА). 

Такое взаимодействие включает информирование ФСБ России. Информировать нужно о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных. Далее — компьютерный инцидент.

Так, оператор взаимодействует с ФСБ России через Национальный координационный центр по компьютерным инцидентам (далее — НКЦКИ).

Порядок взаимодействия в этих целях установлен здесь:

• Приказ ФСБ России от 13 февраля 2023 г. № 77. 
• Приказ ФСБ России от 24 июля 2018 г. N 366

Указанные правовые акты выделяют два вида операторов:

1. субъекты критической инфраструктуры и иные, в том числе иностранные и международные
2. все остальные операторы

В зависимости от вида оператора отличается порядок взаимодействия с НКЦКИ. Разберем порядок взаимодействия для всех обычных операторов.

Оператор обязан:

• в течение 24 часов с момента обнаружения инцидента уведомить Роскомнадзор о неправомерной передаче персональных данных (форма на сайте)
• в течение 72 часов — всё то же самое о результатах внутреннего расследования.

Подтверждением передачи информации в НКЦКИ является присвоение компьютерному инциденту идентификатора НКЦКИ. Оператор получает идентификатор в течение 24 часов с момента присвоения.

Оператор вправе обратиться в НКЦКИ для оказания ему содействия в реагировании на выявленный компьютерный инцидент. А также для привлечения сил ГосСОПКА.

В случае необходимости проверки сведений о компьютерном инциденте, НКЦКИ направляет запросы о проведении такой проверки. Оператор обязан информировать НКЦКИ о результатах проверки в течение 24 часов с момента получения указанных запросов.

Автор: Марина Новицкая, юрист и основатель юридической фирмы Итербиум.

Еще статьи о мерах безопасности в области персональных данных:

• Обзор мер по обеспечению безопасности обработки персональных данных
• Политика обработки персональных данных — 2024
• Оценка степени вреда персональным данным — требования Роскомнадзора

Если у вас остались вопросы о защите персональных данных с учетом специфики вашего бизнеса, вы можете обратиться к нам за консультацией. 

Специализированные юристы фирмы Итербиум знают нюансы и помогут вам.