Содержание
Классификация ПД
Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 возлагает обязанность классификации информационных систем персональных данных и задачу обеспечения их безопасности — на оператора персональных данных, а разработку методов и способов защиты персональных данных в информационных системах — на ФСТЭК России и ФСБ России
Классификация информационных систем персональных данных определяется в зависимости от категории обрабатываемых данных и их количества.
Установлены следующие категории персональных данных:
Категория 1 — ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
Категория 2 — ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1
Категория 3 — персональные данные, позволяющие идентифицировать субъекта ПД
Категория 4 — обезличенные и (или) общедоступные персональные данные
Классы типовых информационных систем персональных данных
Информационные системы персональных данных подразделяются на типовые и специальные. К типовым системам относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных.
Все остальные системы относятся к специальным.
В зависимости от последствий нарушений заданной характеристики безопасности персональных данных, типовой информационной системе присваивается один из классов:
класс 1 (К1) – информационные системы, для которых нарушения могу привести к значительным негативным последствиям для субъектов персональных данных
класс 2 (К2) — информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) — информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) — информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.
Класс типовой информационной системы персональных данных выбирается по таблице:
| Количество субъектов / Категории ПД | 1000 – 100 000 | > 100 000 | |
|---|---|---|---|
| категория 4 | К4 | К4 | К4 |
| категория 3 | К3 | К3 | К2 |
| категория 2 | К3 | К2 | К1 |
| категория 1 | К1 | К1 | К1 |
Оценка соответствия информационных систем требованиям безопасности
Устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности:
- для информационных систем 1 и 2 класса соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации)
- для информационных систем 3 класса соответствие требованиям безопасности подтверждается декларированием соответствия, проводимым оператором персональных данных
- для информационных системы 4 класса оценка проводится по решению оператора персональных данных
Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.
Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.
Постановление Правительства № 1119 от 1 ноября 2012
Определение уровня защищенности персональных данных
Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.
Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;
3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
- обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
- обработка персональных данных субъектов, не являющихся работниками вашей организации.
По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
- менее 100 000 субъектов;
- более 100 000 субъектов;
К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы…
И наконец, типы актуальных угроз:
- угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
- угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
- угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.
Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:
В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.
Постановлением № 1119, принятым 1 ноября 2012 г., утверждены требования, распространяющиеся на защиту персональных данных (ПД) при их обработке в информсистемах. Также этот норматив определяет несколько уровней защищенности такой информации.
Предприятие, использующее персональную информацию, определяет уровень, который должен обеспечить ее защищенность, и оформляет при этом соответствующий акт.
Система защиты персональных данных
Эту систему составляют мероприятия организационной и технической направленности, определяемые в зависимости от реальных угроз, которые имеют место во время обработки ПД и использования при этом информационных технологий в информсистемах.
Обеспечение безопасности должен предусмотреть оператор, занимающийся обработкой ПД. Это может быть конкретное лицо, на которое возложены обязанности, или выполняющее поручение оператора по договору (уполномоченное лицо). Соглашение между предприятием и уполномоченными лицами составляется с учетом обязанности этих лиц обеспечивать безопасность ПД во время их обработки в информационной системе персональных данных (ИСПДн).
Средства защиты ИСПДн выбираются оператором с учетом нормативов, введенных в действие ФСБ РФ и ФС по техническому и экспортному контролю в соответствии с ч. 4 ст. 19 закона «О персональных данных».
ИСПДн имеет вид системы, в которой обрабатываются специальные категории данных, относящихся к персональным по расовым, национальным признакам, политическим, религиозным, философским взглядам и убеждениям, состоянию здоровья, личной жизни каждого субъекта ПД.
ИС по обработке биометрической информации имеет вид системы, в которой обрабатываются сведения по физиологическим, биологическим параметрам субъекта, позволяющим определить его личность и применяемым оператором для этих целей. Но не проходят обработку данные, имеющие отношение к специальному виду ПД.
Информсистемы с общедоступными данными обрабатывают информацию, которая получена из источников ПД, являющихся общедоступными, сформированных в соответствии со ст. 8 закона о персональных данных.
Информсистема, осуществляющая обработку ПД работников предприятия, производит все действия с их использованием только в отношении своих работников. В других случаях ИСПДн считается информсистемой, в которой проходит обработку информация о субъектах, не являющихся сотрудниками предприятия.
Актуальные угрозы, типы
К актуальным относят угрозы, представляющие собой группу условий и факторов, создающих определенную опасность неразрешенного (также и случайного) доступа к ПД во время работы с ними в ИС. Такие действия могут привести к тому, что важная конфиденциальная информация может быть уничтожена, изменена, заблокирована, скопирована, предоставлена кому-либо, распространена или даже использована для выполнения неправомерных действий.
Законодательство выделяет три типа угроз, которые могут быть актуальными для персональных данных:
- к угрозам первого типа в информсистеме относятся те из них, которые в этой системе дополняются угрозами, связанными с недокументированными возможностями в системном ПО, которое применяется в данной ИС;
- угрозами второго типа являются актуальные для ИС угрозы, включая связанные с недокументированными возможностями с использованием прикладного ПО, которое используется в ИС;
- угрозы третьего уровня в ИС, которые не связаны с недокументированными возможностями в системном и прикладном ПО, которое в этой системе применяется.
Оператор самостоятельно определяет для себя тип угроз, актуальных для безопасности ПД, учитывая возможный ущерб, который они могут нанести, и ориентируясь на пункт 5 части 1 ст. 18 ФЗ о персональных данных, а также на ч. 4 ст. 19 этого же документа.
Классификация
ИСПДн классифицируются по структурным признакам и бывают:
- автономного типа, размещенными в пределах одного автоматизированного рабочего места;
- локального типа, в виде группы автоматизированных рабочих мест, объединенных в одну сеть локального вида;
- распределенного типа, при котором связь между рабочими местами, локальными сетями, связанными между собой, осуществляется путем удаленного доступа.
Режим работы с ПД в ИСПДн разделяет их на одно- и многопользовательские. Первые встречаются довольно редко, обычно в пределах одного рабочего места может находиться от двух взаимозаменяемых человек.
Многопользовательские ИСПДн подразделяются на:
- не ограничивающие права доступа;
- разграничивающие эти права.
По расположению:
- системы, размещенные на территории РФ;
- системы, находящиеся полностью или частично за пределами России.
Уровни защищенности
Во время обработки ПД в информсистемах предусматривается установка четырех уровней защищенности этих данных.
Чтобы обеспечить первый уровень, необходимо соблюдение хотя бы одного из ниже перечисленных условий:
- для такой ИС актуальны угрозы 1-го типа, ИС выполняет обработку спецкатегорий, биометрических или других ПД;
- актуальность угроз 2-го типа с обработкой в ИС данных спецкатегорий ПД, касающихся больше 100 тыс. субъектов, не относящихся к сотрудникам оператора.
Обеспечить второй уровень необходимо, если соблюдается хоть одно из условий:
- ИС подвергается угрозам 1-го типа и предназначена для обработки общедоступных ПД;
- возможны угрозы 2-го типа при обработке информационной системой спецкатегорий ПД работников оператора, а также спецкатегорий данных не больше 100 тыс. субъектов, не считающихся работниками предприятия;
- возможны угрозы 2-го типа с обработкой биометрических ПД;
- при угрозах 2-го типа и обработке информсистемой общедоступных данных, касающихся больше чем 100 тыс. субъектов, которые не имеют отношения к сотрудникам оператора;
- при угрозах 2-го типа и обработке прочих категорий ПД, превышающих по количеству 100 тыс. субъектов этих данных, не относящихся к работникам предприятия;
- для ИСПДн с актуальными угрозами 3-го типа с обработкой в ней спецкатегорий ПД больше 100 тыс. субъектов, не являющихся работниками компании.
Требуется создать эффективную защиту для персональной информации с использованием 3-го уровня, если соблюдается одно из условий:
- присутствуют угрозы 3-го типа, обработка информсистемой ведется по общедоступным ПД работников компании или общедоступным ПД, превышающим 100 тыс. субъектов, не являющихся сотрудниками предприятия;
- актуальны угрозы 2-го типа для информсистемы, обрабатывающей прочие категории ПД работников оператора или другие категории ПД до 100 тысяч субъектов, которые не относятся к сотрудникам оператора;
- возможны угрозы 3-го типа для информсистемы, которая производит обработку спецкатегорий ПД работников оператора или таких же данных до 100 тысяч субъектов, не относящихся к сотрудникам оператора;
- угрозы 3-го типа при обработке биометрических ПД;
- угрозы 3-го типа с обработкой прочих категорий персональной информации свыше 100 тыс. субъектов ПД, не сотрудников оператора.
Четвертый уровень ИСПДн предусматривается, если будет присутствовать одно из условий в информационной системе:
- присутствие угроз 3-го типа во время обработки общедоступных ПД;
- присутствуют угрозы 3-го типа при обработке иных категорий ПД сотрудников оператора или субъектов, не являющихся его сотрудниками, в количестве до 100 тыс. человек.
Обеспечение защищенности
Чтобы обеспечить 4-й уровень защищенности ПД, необходимо выполнять следующие требования:
- организовать режим, обеспечивающий безопасное использование помещений, которые применяются для размещения информсистемы. Такой режим должен препятствовать попыткам несанкционированного доступа или пребывания в них людей, которые не имеют права в них находиться;
- носителям персональных данных необходимо обеспечить сохранность;
- руководитель оператора обязан утвердить документ, устанавливающий список сотрудников, имеющих доступ к ПД, которые обрабатываются в информсистеме, и выполняющих с использованием этих данных своих служебные обязанности;
- должны использоваться средства защиты информации, которые были оценены на соответствие требованиям законов РФ, касающихся обеспечения информационной безопасности, если применение этих средств требуется, чтобы нейтрализовать актуальные угрозы.
Третий уровень защищенности ПД во время их обработки в ИС должен обеспечиваться вышеперечисленными требованиями, а также путем назначения конкретного должностного лица, которое будет отвечать за обеспечение безопасности ПД в информсистеме.
Второй уровень ИСПДн в дополнение ко всем перечисленным требованиям должен обеспечиваться ограничением доступа к содержанию электронной формы журнала сообщений. Доступ должен разрешаться только должностным лицам оператора (уполномоченным оператором лицам), использующим сведения, имеющиеся и поступающие в журнал, для выполнения своих рабочих или служебных полномочий.
Чтобы обеспечить первый уровень защищенности ПД во время их обработки в информсистемах, кроме всех требований, описанных в этом разделе, нужно выполнять дополнительные условия:
- выполнение регистрации в электронном журнале в автоматическом режиме изменения полномочий, которыми наделяется сотрудник оператора по доступу к ПД, хранящимся в информсистеме;
- формирование подразделения в структуре оператора, которое должно отвечать за создание и соблюдение условий безопасности ПД в информсистеме. Можно возложить такие обязанности на определенное структурное подразделение.
Оператор должен обеспечить контроль над соблюдением всех требований, установленных законодательством РФ в отношении использования персональных данных. Сделать это можно как самостоятельно, так и с привлечением по договору лицензированных юридических лиц, ИП для организации технической защиты персональной информации и конфиденциальных данных. Такой контроль должен осуществляться 1 раз в три года. Сроки оператор устанавливает самостоятельно.
Акт классификации ИСПДн
Акт должен определять структуру всей системы ПД, а также режим, в котором будут обрабатываться конфиденциальные сведения. Этот документ относится к категории хранящихся под грифом конфиденциальности, ему должен быть присвоен учетный номер.
Чтобы провести классификацию, оператор должен создать на предприятии специальную комиссию. В ее состав должно войти в обязательном порядке лицо, ответственное за защищенность персональных данных. Комиссию назначают приказом собственника предприятия. Этот орган должен осуществлять свою деятельность с учетом Положения о такой комиссии. Результаты ее работы оформляются актом классификации ИСПДн. Подписанный всеми членами комиссии акт утверждается ее председателем.