В статье разобрали по полочкам все меры защиты информационных систем персональных данных.
Содержание
- Понятие и виды информационных систем персональных данных
- Перечень мер безопасности в отношении ИС
- Нормативные акты в сфере безопасности ИС
- Требования к защите персональных данных в информационных системах
- Подробно о трех основных мерах защиты
- Уровни защищенности информационных систем
- Взаимодействие с ГосСОПКА в целях ликвидации компьютерных атак
Понятие и виды информационных систем персональных данных
Понятие информационной системы персональных данных содержит Закон о персональных данных. Это совокупность информационных технологий и технических средств, которые содержатся в базах данных персональных данных и обеспечивают их обработку (далее — ИС, информационная система).
Кроме того, Постановление Правительства РФ №1119 от 01.11.2012 классифицирует информационные системы по категориям обрабатываемых данных на 5 видов:
- обрабатывает специальные категории персональных данных
- обрабатывает биометрические данные
- обрабатывает общедоступные персональные данные
- обрабатывает персональные данные сотрудников оператора
- обрабатывает иные персональные данные
Перечень мер безопасности в отношении ИС
Меры безопасности в отношении информационных систем ПД можно разделить на:
- общие правовые и организационные меры, которые установлены ст. 18.1 Закона о персональных данных
- специальные меры именно применительно к ИС.
К таким специальным организационно-техническим мерам в отношении ИС относятся:
- оценка эффективности мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы
- определение угроз безопасности персональных данных при их обработке в ИС
- обеспечение безопасности персональных данных при их обработке в ИС. Их исполнение обеспечивают уровни защищенности персональных данных, установленные Правительством РФ
- принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИС и по реагированию на компьютерные инциденты в них
- установление правил доступа к персональным данным, обрабатываемым в ИС, а также обеспечение регистрации и учета всех действий с данными в ИС
Нормативные акты в сфере безопасности информационных систем
Помимо федерального законодательства необходимо руководствоваться иными специализированными нормативными актами.
Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 установлены:
- требования к защите персональных данных при их обработке в ИС, исполнение которых обеспечивает установленные уровни защищенности персональных данных
- уровни защищенности персональных данных при их обработке в ИС в зависимости от угроз безопасности этих данных
Указанные требования установлены в зависимости от:
- возможного вреда субъекту персональных данных,
- объема и содержания обрабатываемых персональных данных,
- вида деятельности, при осуществлении которого обрабатываются персональные данные,
- актуальности угроз безопасности персональных данных устанавливает
Существует два приказа контролирующих органов, которые устанавливают конкретный состав и содержание требований для каждого уровня защищенности. Эти приказы содержат конкретный перечень организационных и технических мер по обеспечению безопасности ИС.
- Приказ ФСБ России от 10 июля 2014 г. № 378
- Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21
Кроме того, ФОИВы, которые осуществляют функции по выработке государственной политики, а также иные государственные органы:
- принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных,
- в ИС при осуществлении конкретных видов деятельности — с учетом содержания ПД, характера и способов их обработки.
В настоящее время в СПС “Гарант” можно встретить 17 Приказов по вопросам, указанным выше.
Также ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности данных. Такие решения учитывают специфику обработки данных при осуществлении определенных видов деятельности членами таких организаций.
Требования к защите персональных данных в информационных системах
Несколько организационных моментов из Постановления Правительства РФ №1119:
- Оператор может осуществлять контроль за исполнением указанных ниже требований самостоятельно.
- Он также может привлечь на договорной основе специализированных лиц. Они должны иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации.
- Оператор обязан проводить контроль не реже 1 раза в 3 года. Также обязан устанавливать сроки проведения такого контроля.
Подробно о трех основных мерах защиты ИС
Выбор средств защиты информации
Оператор выбирает средства защиты информации в соответствии с приказами ФСБ России и ФСТЭК.
Безопасность персональных данных обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы.
Система защиты персональных данных включает в себя:
- организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных
- информационных технологий, используемых в информационных системах.
Определение типа угроз безопасности
Оператор определяет тип угроз безопасности, актуальных для информационной системы с учетом оценки возможного вреда. Всё это во исполнение п. 5 ч. 1 ст. 18.1 Закона о персональных данных.
Подробнее: статья “Оценка степени вреда персональным данным — требования Роскомнадзора”.
Закон выделяет три типа угроз безопасности
- Угрозы 1-го типа. Если для ИС актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном ПО, используемом в ИС.
- Угрозы 2-го типа. Если для ИС актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном ПО, используемом в ИС.
- Угрозы 3-го типа. Если для ИС актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном ПО, используемом в информационной системе.
Что такое актуальные угрозы безопасности? Это совокупность условий и факторов, создающих актуальную опасность:
- несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИС,
- результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия.
Контроль уровня защищенности персональных данных
Оператор контролирует установленные уровни защищенности персональных данных.
Уровень защищенности персональных данных — это комплексный показатель. Характеризует требования, исполнение которых обеспечивает нейтрализацию угроз безопасности персональных данных при их обработке в ИС.
Далее подробно разберем все уровни защищенности.
Уровни защищенности информационных систем персональных данных
Существует 4 уровня защищенности персональных данных
Первый уровень защищенности
Устанавливают, когда есть хотя бы одно из условий
- для ИС актуальны угрозы 1-го типа. Также ИС обрабатывает либо специальные категории ПД, либо биометрические ПД, либо иные категории ПД
- для ИС актуальны угрозы 2-го типа. Также ИС обрабатывает специальные категории ПД более чем 100 000 субъектов ПД, которые не являются сотрудниками оператора.
Для обеспечения 1 уровня защищенности необходимо выполнить такие требования:
- создать структурное подразделение, ответственное за обеспечение безопасности ПД в ИС, либо возложить на одно из структурных подразделений функции по обеспечению такой безопасности
- назначить должностное лицо (работника), который будет ответственен за обеспечение безопасности персональных данных в ИС
- организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
- обеспечить сохранность носителей персональных данных
- утвердить документ, определяющий перечень лиц, которым необходим доступ к ПД для выполнения ими служебных (трудовых) обязанностей
- обеспечить, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для работников оператора или уполномоченных лиц, которым сведения нужны для исполнения трудовых обязанностей
- осуществлять автоматическую регистрацию в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПД, содержащимся в ИС
- использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации. В случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Второй уровень защищенности
Его устанавливают, когда есть хотя бы одно из условий:
- для ИС актуальны угрозы 1-го типа и ИС обрабатывает общедоступные ПД
- для ИС актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПД сотрудников оператора или специальные категории ПД менее, чем 100 000 субъектов, не являющихся сотрудниками оператора
- для ИС актуальны угрозы 2-го типа и ИС обрабатывает биометрические пд
- для ИС актуальны угрозы 2-го типа и ИС обрабатывает общедоступные пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора
- для ИС актуальны угрозы 2-го типа и ИС обрабатывает иные категории пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора
- для ИС актуальны угрозы 3-го типа и ИС обрабатывает специальные категории пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора.
Для обеспечения 2 уровня защищенности необходимо выполнить такие требования:
- назначить должностное лицо (работника), который будет ответственен за обеспечение безопасности пд в ИС
- организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
- обеспечить сохранность носителей пд
- утвердить документ, который определяет перечень лиц, которым необходим доступ к ПД для выполнения ими служебных (трудовых) обязанностей
- обеспечить, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для работников оператора или уполномоченных лиц, которым сведения нужны для исполнения трудовых обязанностей
- использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации. В случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Третий уровень защищенности
Его устанавливают, когда есть хотя бы одно из условий:
- для ИС актуальны угрозы 2-го типа и ИС обрабатывает общедоступные пд сотрудников оператора или общедоступные пд менее, чем 100 000 субъектов, не являющихся сотрудниками оператора
- для ИС актуальны угрозы 2-го типа и ИС обрабатывает иные категории пд сотрудников оператора или иные категории пд менее, чем 100 000 субъектов, не являющихся сотрудниками оператора
- для ИС актуальны угрозы 3-го типа и ИС обрабатывает специальные категории пд сотрудников оператора или специальные категории пд менее, чем 100 000 субъектов пд, не являющихся сотрудниками оператора
- для ИС актуальны угрозы 3-го типа и ИС обрабатывает биометрические пд
- для ИС актуальны угрозы 3-го типа и ИС обрабатывает иные категории пд более, чем 100 000 субъектов, не являющихся сотрудниками оператора.
Для обеспечения 3 уровня защищенности необходимо выполнить такие требования:
- назначить должностное лицо (работника), который будет ответственен за обеспечение безопасности пд в ИС
- организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
- обеспечить сохранность носителей персональных данных
- утвердить документ, который определяет перечень лиц, которым необходим доступ к ПД для выполнения ими служебных (трудовых) обязанностей
- использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации. Когда применение таких средств необходимо для нейтрализации актуальных угроз.
Четвертый уровень защищенности
Его устанавливают, когда есть хотя бы одно из условий:
- для ИС актуальны угрозы 3-го типа и ИС обрабатывает общедоступные пд
- для ИС актуальны угрозы 3-го типа. Также ИС обрабатывает иные категории пд сотрудников оператора или иные категории пд до 100 000 субъектов-не сотрудников
Для обеспечения 2 уровня защищенности необходимо выполнить такие требования:
- организовать режим безопасности помещений, в которых размещена ИС. Такой режим должен препятствовать неконтролируемому проникновению или пребыванию в помещениях лиц, не имеющих права доступа в них.
- обеспечить сохранность носителей персональных данных
- утвердить документ, который определяет перечень лиц, которым необходим доступ к ПД для выполнения ими служебных обязанностей
- использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям закона в области обеспечения безопасности информации. Когда применение таких средств необходимо для нейтрализации актуальных угроз.
Взаимодействие с ГосСОПКА в целях ликвидации компьютерных атак
Это относительно новая обязанность операторов — действует с 1 сентября 2022 г. Обязан взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее — ГосСОПКА).
Такое взаимодействие включает информирование ФСБ России. Информировать нужно о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных. Далее — компьютерный инцидент.
Так, оператор взаимодействует с ФСБ России через Национальный координационный центр по компьютерным инцидентам (далее — НКЦКИ).
Порядок взаимодействия в этих целях установлен здесь:
Указанные правовые акты выделяют два вида операторов:
- субъекты критической инфраструктуры и иные, в том числе иностранные и международные
- все остальные операторы
В зависимости от вида оператора отличается порядок взаимодействия с НКЦКИ. Разберем порядок взаимодействия для всех обычных операторов.
Оператор обязан:
- в течение 24 часов с момента обнаружения инцидента уведомить Роскомнадзор о неправомерной передаче персональных данных (форма на сайте)
- в течение 72 часов — всё то же самое о результатах внутреннего расследования.
Подтверждением передачи информации в НКЦКИ является присвоение компьютерному инциденту идентификатора НКЦКИ. Оператор получает идентификатор в течение 24 часов с момента присвоения.
Оператор вправе обратиться в НКЦКИ для оказания ему содействия в реагировании на выявленный компьютерный инцидент. А также для привлечения сил ГосСОПКА.
В случае необходимости проверки сведений о компьютерном инциденте, НКЦКИ направляет запросы о проведении такой проверки. Оператор обязан информировать НКЦКИ о результатах проверки в течение 24 часов с момента получения указанных запросов.
Автор: Марина Новицкая, юрист и основатель юридической фирмы Итербиум.
Еще статьи о мерах безопасности в области персональных данных:
- Обзор мер по обеспечению безопасности обработки персональных данных
- Политика обработки персональных данных — 2024
- Оценка степени вреда персональным данным — требования Роскомнадзора
Если у вас остались вопросы о защите персональных данных с учетом специфики вашего бизнеса, вы можете обратиться к нам за консультацией.
Специализированные юристы фирмы Итербиум знают нюансы и помогут вам.