Справочно-информационная система по защите персональных данных

Информационная система

ОПЕРАТОР - государственный орган, муниципаль-ный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Таким образом, исходя из данного определения, Федеральный закон «О персональных данных» касается всех лиц, осуществляющих обработку ПДн, ни для каких организаций, предпринимателей либо иных лиц каких-либо исключений не сделано.

Любая организация или физическое лицо, в том числе предприниматель, осуществляющее обработку данных субъектов персональных данных является оператором персональных данных.

Часть 1 ст. 7 Федерального закона «О персональных данных» обязывает операторов и третьих лиц, получающих доступ к персональным данным, обеспечивать конфиденциальность таких данных.

С учетом вышеизложенного предпринимаемые операто­ром ПДн меры призваны обеспечить:

• конфиденциальность информации (защита от несанк­ционированного доступа, т. е. обеспечение того со­стояния информации, при котором доступ к ней осу­ществляют только субъекты, имеющего право);
• целостность информации (актуальность и непротиво­речивость информации, ее защищенность от разруше­ния и несанкционированного изменения);
• доступность информации (возможность за приемлемое время получить требуемую информационную услугу).

Федеральным законом «О персональных данных» обязан­ность обеспечения конфиденциальности не распространяется:

1. на обезличенные персональные данные;
2. общедоступные персональные данные7.

В соответствии со ст. 19 Федерального закона «О персональных данных» «оператор при обработке персо­нальных данных обязан принимать необходимые организацион­ные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персо­нальных данных, а также от иных неправомерных действий»

Таким образом, оператор ПДн обязан выполнить ряд обя­зательных требований в случае осуществления обработки ПДн. При этом необходимо исходить из системного подхода, который предполагает проведение комплекса мероприятий, включающих исследование угроз информационной безопасности и разработку системы защиты ПДн с позиции комплексного применения тех­нических и организационных мер и средств защиты

Как отмечалось выше, оператором персональных данных будет являться любая организация, любой предприниматель, осуществляющие обработку персональных данных. Несомненно, перечень мероприятий по защите персональных данных будет отличаться в различных организациях в зависимости от категории обрабатываемой информации, способа обработки сведений персонального характера и т. п. Например, минимальные требования будут предъявлены к тем организациям, которые передадут обработку данных специализированным организациям, имеющим соответствующие технические возможности и опыт в построении системы защиты ПДн (аутсорсинг). А для организаций, самостоятельно осуществляющих обработку сведений, например, медицинского характера (о состоянии здоровья), или избирательным комиссиям придется затратить на защиту персональных данных максимум сил и средств, в том числе финансовых.

Вместе с тем, как показывает практика, в целях минимизации расходов по защите персональных данных особо важно четко продумать и спланировать те меры, которые будут необходимы и достаточны в целях соблюдения законодательства о защите персональных данных.

Основные задачи и принципы построения системы защиты персональных данных

Система защиты персональных данных (далее - СЗПДн) представляет собой совокупность организационных и техниче­ских мероприятий для защиты ПДн от неправомерного или слу­чайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомер­ных действий с ними.

Безопасность ПДн достигается путем исключения несанк­ционированного, в том числе случайного, доступа к персональ­ным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение пер­сональных данных, а также иных несанкционированных дейст­вий. Основной целью СЗПДн является минимизация ущерба от возможной реализации угроз безопасности ПДн

 

В соответствии с п. 1.2 Положения о методах и способах защиты информации в информационных системах персональ­ных данных, утвержденного Приказом ФСТЭК России от 05.02.2010 № 58 определено, что к методам и способам защиты информации в информационных системах относятся:

• методы и способы защиты информации, обрабатывае­мые техническими средствами информационной сис­темы, от несанкционированного, в том числе случай­ного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, бло­кирование, копирование, распространение персональ­ных данных, а также иных несанкционированных дей­ствий
• методы и способы защиты речевой информации, а так­же информации, представленной в виде информатив­ных электрических сигналов, физических полей, от несанкционированного доступа к персональным дан­ным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий

 

Дополнительно стоит обратить внимание, что п. 1.3 рас­сматриваемого документа предусмотрено, что для выбора и реа­лизации методов и способов защиты информации в ИСПДн оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных дан­ных, либо может привлекаться организация, имеющая оформ­ленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной ин­формации

 

Для достижения безопасности ПДн ИСПДн должна обес­печивать эффективное решение следующих задач:

• защиту от вмешательства в процесс функционирова­ния ИСПДн посторонних лиц (возможность использо­вания АС и доступ к ее ресурсам должны иметь только пользователи, имеющие соответствующие право поль­зования);
• разграничение доступа зарегистрированных пользова­телей к аппаратным, программным и информацион­ным ресурсам ИСПДн (возможность доступа только к тем ресурсам и выполнения только тех операций с ни­ми, которые необходимы конкретным пользователям ИСПДн для выполнения своих служебных обязанно­стей), то есть защиту от несанкционированного доступа
  • к информации, циркулирующей в ИСПДн;
  • средствам вычислительной техники ИСПДн
  • аппаратным, программным и криптографическим средствам защиты, используемым в ИСПДн
• регистрацию действий пользователей при использова­нии защищаемых ресурсов ИСПДн в системных жур­налах и периодический контроль корректности дейст­вий пользователей системы путем анализа содержимо­го этих журналов
• контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения
• защиту от несанкционированной модификации и кон­троль целостности используемых в ИСПДн программ­ных средств, а также защиту системы от внедрения несанкционированных программ
• защиту ПДн от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи
• защиту ПДн, хранимой, обрабатываемой и передавае­мой по каналам связи, от несанкционированного раз­глашения или искажения
• обеспечение живучести криптографических средств защиты информации при компрометации части клю­чевой системы
• своевременное выявление источников угроз безопасности ПДн, причин и условий, способствующих нанесению ущерба субъектам ПДн, создание механизма оперативного реагирования на угрозы безопасности ПДн и негативные тенденции;
• создание условий для минимизации и локализации на-носимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности ПДн

 

При построении СЗПДн необходимо учитывать такие ос-новополагающие принципы как законность, системность, свое-временность, комплексность, непрерывность, обязательность контроля и т. п. Кроме того особое внимание при построении СЗПДн следует уделить вопросам снижения и оптимизации финансовых и трудовых затрат при приведении ИСПДн в соответствии с требованиями Федерального закона «О персональных данных».

 

Перечень объектов защиты персональных данных

Объектами защиты являются информация, обрабатываемая в ИСПДн, и технические средства ее обработки и защиты. Объекты защиты включают:

1.         Обрабатываемую информацию (сведения персонального характера).

2.         Информационные технологии, используемые при обработке персональных данных.

3.         Программно-технические средства обработки.

4.         Средства защиты ПДн.

5.         Каналы информационного обмена и телекоммуникации.

6.         Объекты и помещения, в которых размещены компоненты ИСПДн.

 

Этапы построения системы защиты персональных данных

Мероприятия по организации защиты ПДн, обрабатываемых в ИСПДн, состоят из нескольких этапов:

■         предварительный этап - стадия предпроектного об-следования;

■         классификация ИСПДн;

■         разработка технического задания;

■         стадия проектирования и создания системы защиты ПДн в составе ИСПДн;

■         стадия ввода в действие ИСПДн и ее оценка соответствия требованиям безопасности информации.

 

Проведение предпроектного обследования и классификации ИСПДн обязательно для всех операторов ПДн. Для многих организаций именно данный этап может составлять до 90% всей необходимой работы.

 

Основными целями предпроектного обследования являются:

■             установление необходимости обработки ПДн и ИСПДн;

■             определение перечня ПДн, обрабатываемых в организации, объемов таких данных и целей их обработки, а также ситуаций (бизнес-процессов), при которых осуществляется обработка ПДн, определяются источники получения ПДн, оценка законности обработки ПДн и наличие согласия субъектов на обработку ПДн;

■             определение режима обработки ПДн в ИСПДн;

■             определение перечня лиц и степени участия персонала в обработке ПДн;

■             определение конфигурации и топологии ИСПДн, фи-зические, функциональные и технологические связи как внутри системы, так и с другими системами различного уровня и назначения;

■             определение технических средств и систем, используемых в ИСПДн, условий их расположения;

■             иные факторы, которые могут оказать в дальнейшем влияние на организацию защиты ПДн.

С учетом проведенного предпроектного обследования ус-танавливается необходимость и проводятся следующие мероприятия:

1.            Инвентаризация/обследование информационных системы ПДн, созданных/существующих в организации.

2.            Формирование перечня подразделений и сотрудников, участвующих в обработке ПДн в рамках служебной деятельности (определение лиц, имеющих доступ к данным).

 

3.            Проведение предварительного категорирования ПДн и классификации ИСПДн.

4.            Разработка схемы документооборота, предусматри-вающей получение согласия субъектов ПДн.

5.            Контроль и корректировка договорных отношений с субъектами.

6.            Определение типа ИСПДн (типовая или специальная).

7.            Формирование актуальной модели угроз в отношении каждой ИСПДн и разработка на основе модели угроз системы защиты ПДн.

8.            Анализ возможности по выработке мер, направленных на снижение категорий обрабатываемых ПДн и в необходимых случаях проведение уточнения классов ИСПДн, составление и утверждение акта классификации ИСПДн.

9.            Подготовка технического задания (ТЗ) по созданию требуемой системы защиты с учетом присвоенного класса защиты.

10.          Проектировка и внедрение системы защиты ПДн, в т. ч. выполнение требований по инженерно- технической защите помещений, пожарной безопасности, охране, электропитанию и заземлению, санитарные и экологические требования.

11.          При необходимости, определенной методическими документами ФСТЭК России и ФСБ России, получение необходимых лицензий.

12.          Разработка пакета внутренних организационно-распорядительных документов, регламентирующих обработку ПДн, в том числе установление сроков хранения данных, а также условий прекращения обработки ПДн.

13. Рассмотрение вопроса  о необходимости направления в Роскомнадзор уведомления о включении в реестр операторов ПДн. В случае необходимости направление такого уведомления.

14. Учет применяемых СЗИ и носителей ПДн, учет лиц, допущенных к работе с ПДн.

15. Аттестация (сертификация) или декларирование соответствия информационной системы ПДн требованиям  безопасности информации.

16. Назначение сотрудников (спец. комиссии), ответственных за защиту ПДн, в том числе для рассмотрения всех вопросов, связанных с исполнением законодательства о защите ПДн.

17. Обучениеповышение квалификации сотрудников в области защиты ПДн.

18. Эксплуатация ИС – мониторинг, выявление и реагирование на инцинденты ИБ, техническая поддержка и сопровождение подсистем безопасности.

19. Контроль.

 

В результате будут подготовлены:

• Комплект организационно-распорядительной документации
• Комплект проектной документации системы защиты, включающей:
  • требования к системе защиты информации ПДн
  • модель угроз безопасности ПДн
  • модель нарушителя безопасности ПДн
  • концепцию обеспечения безопасности ПДн
• Перечень мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн
• Комплект эксплуатационной документации на СЗПДн
• Аттестат (сертификат) ИСПДн по требованиям безопасности ПДн для 1 и 2 класса либо Декларация соответствия ИСПДн требованиям для 3 класса.

 

Определение перечня ПДн, цели и сроков обработки

К первому этапу работ – определению категории обрабатываемых ПДн, их объема и цели обработки следует подойти с большой долей внимания и ответственности, так как все дальнейшие мероприятия напрямую зависят от правильной оценки обрабатываемой информации, в том числе с разработкой необходимых организационно-распорядительных документов, основным из которых должно стать «Положение об обработке ПДн». Практика показывает, что зачастую операторы работают с избыточными объемами данных без оценки того, какие именно данные им реально необходимы для выполнения своих задач.

Какие же персональные данные обрабатывают в большинстве организаций?

В первую очередь к таким данным относятся ПДн работника - информация, которая необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2. К таким сведения могут быть отнесены паспортные данные, семейное положение, сведения об образовании, номер страхового свидетельства обязательного пенсионного страхования, сведения о трудовой деятельности.

Во вторую очередь в информационных базах многих ор-ганизаций содержатся сведения о контактных лицах контрагентов (фамилии, имена, отчества, должности в организациях, телефоны, адреса и т. п.). Говоря о данной категории сведений, стоит напомнить, что данные о руководителе другой организации можно найти в сети Интернет или в распространяемых базах данных, соответственно такие сведения могут быть отнесены к общедоступным. Получение согласия лица на обработку сведений, а также защита таких персональных данных не требуются. При внесении такой категории данных в базу своей организации может быть рекомендовано указывать источник получения этих сведений. В ряде случаев в базах содержатся сведения - фамилия, имя, отчество человека, а также номер его рабочего телефона, что также не позволяет отнести данную ин-формацию к сведениям, требующим защиты.

Также можно вспомнить, что в информационных базах содержится информация об учредителях, акционерах, бывших работниках и т. п.

Кроме того ряд сведений будет зависеть от сферы дея-тельности. Например:

■             для торговых организаций будут характерно наличие информации о лицах, участвующих в дисконтных про-граммах и оформивших так называемые «клубные» или «дисконтные» карты;

■             у операторов связи будет информация о своих пользо-вателях, а в жилищно-коммунальных службах - о жильцах;

■             в медицинских центрах - о состоянии здоровья людей, проходивших лечение и обследования;

■             в туристических фирмах - сведения о туристах;

■             в образовательных учреждениях - о воспитанниках, учащихся, студентах, преподавателях и т. п.

Также в ряде организаций могут храниться дополнительные персональные данные, связанные с наличием заболеваний у работников при наличии вредных производств, сведения, полученные подразделениями безопасности, данные службы охраны

о             посетителях и т. п.

Результатом проведенного исследования является полный перечень ПДн, обрабатываемых в ИСПДн организации. В случае обработки данных работников организации примером такого перечня может служить:

1. Табельный номер
2. Фамилия
3. Имя
4. Отчество
5. Дата рождения
6. Пол
7. Место рождения
8. Паспортные данные
9. ИНН
10. Страховой № ПФР
11. Адрес регистрации
12. Адрес проживания
13. Контактные телефоны
14. Инвалидность
15. Вид договора
16. Подразделение
17. Должность
18. Стаж работы
19. Оклад

Если же в силу деятельности организации осуществляется обработка персональных данных ее клиентов, например, для учета выданных дисконтных карт, то данный перечень можно представить в следующем виде.

Перечень ПДн клиентов организации, обрабатываемых в ИСПДн:

1.            Фамилия

2.            Имя

3.            Отчество

4.            Дата рождения

5.            Пол

6.            Контактные телефоны

7.            Номер дисконтной карты

 8.           Сумма накоплений на дисконтной карте

9.            Размер предоставляемой скидки по дисконтной карте

Перечень требуемых мероприятий по защите персональных данных во многом зависит от категории обрабатываемых данных. Совместным приказом ФСТЭК России, ФСБ России и Роскомнадзора от 13.02.2008 №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» установлены 4 категории персональных данных:

■             категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

■             категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную ин-формацию, за исключением ПД, относящихся к категории 1;

■             категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД;

■             категория 4 - обезличенные и (или) общедоступные ПД.

 

ПДн, отнесенные к категории 1, признаются специальной категорией ПДн. Обработка таких данных допускает только в случаях, предусмотренных ч. 2 ст. 10 Федерального закона «О персональных данных», в том числе, если:

1)            субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

2)            персональные данные являются общедоступными;

3)            персональные данные относятся к состоянию здоровья субъекта ПДн и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта ПДн невозможно;

4)            обработка ПДн осуществляется в медико- ирофилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг ири условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5)            обработка ПДн членов (участников) общественного объединения или религиозной организации осуществляется со-ответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПДн не будут распространяться без согласия в письменной форме субъектов ПДн;

6)            обработка ПДн необходима в связи с осуществлением правосудия;

7)            обработка ПДн осуществляется в соответствии с зако-нодательством Российской Федерации о безопасности, об опе-ративно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации

 

С учетом определенных выше ограничений осуществляется также обработка биометрических ПДн, т. е. сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные). Например, биометрические данные содержатся в «новых» загранпаспортах, получаемых российскими гражданами

 

Определение цели и способов обработки ПДн

Следующим этапом обследования является определение целей и способов обработки ПДн.

Среди наиболее часто встречающихся целей обработки ПДн без учета отраслевой специфики можно выделить: трудовые отношения с работниками; оформление пропусков для входа на территорию предприятия; договоры бытового подряда, оформление дисконтных карт и т. п.

 

Рассмотрим стандартную ситуацию.

В любой организации содержатся данные о бывших ра­ботниках, срок хранения таких сведений составляет 75 лет. При этом при большой «текучке» кадров сведений о «бывших работниках» может быть существенно больше, чем количест­во работников в настоящее время. Уничтожение записей в ин- формационной базе и хранение карточек формы Т-2 на бумаж­ных носителях (в распечатанном виде) поможет уменьшить количество сведений о субъектах, обрабатываемых в ИСПДн, так как от количества субъектов, в отношении которых обра­батываются ПДн, непосредственно зависит класс ИСПДн, а соответственно и требования по защите ПДн. Данное об­стоятельство особенно важно, если в базе обрабатываются данные в отношении субъектов ПДн нескольких организаций.

Перечень лиц, допущенных к обработке информации

При организации защиты информации особое внимание должно быть уделено максимально четкому определению перечня лиц - сотрудников организации, принимающих участие в обработке персональных данных или имеющих к ним доступ, т. е. разграничению прав доступа в зависимости от должностных обязанностей, а также вида персональных данных. Ведь чем меньше лиц имеет доступ к персональным данным, тем меньше вероятность утечки информации.

При проведении мероприятий по защите персональных данных следует определить категорию лиц - сотрудников организации, допущенных к обработке ПДн, в зависимости от их должностных обязанностей.

Условно можно выделить четыре основные категории:

1.            Администратор ИСПДн - лицо, владеющее полной информацией о системном и прикладном программном обеспечении ИСПДн, обладающее правами кон-фигурирования и администрирования ИСПДн, которое имеет доступ ко всем данным и техническим средствам обработки информации.

2.            Программист-разработчик ИСПДн (в данном случае речь может идти о сотруднике сторонней организации, осуществляющем сопровождение ИСПДн). Данное лицо обладает информацией о программных способах обработки информации в ИСПДн, а также о технических средствах, применяемые для обработки и защиты ПДн, обрабатываемых в ИСПДн.

3.            Лица, осуществляющие обработку ПДн (операторы), т. е. имеющие право доступа к сведениям, отнесенным к ПДн, а также возможность внесения изменений в данную категорию сведений (например, редактирование ранее заявленных данных, добавление новых учетных записей, удаление и т. п.);

4.            Лица, имеющие доступ только к чтению данных (просмотр данных, отбор и группировка по заданному критерию и т. д.), содержащихся в ИСПДн без возможности внесения каких-либо изменений (операторы).

Кроме того, доступ сотрудников к информации может и должен различаться в зависимости от задач, выполняемых подразделением.

 

Вид информации	Подразделение
Сведения о сотрудниках	Администрация Кадровое подразделение Бухгалтерия
Сведения о кандидатах на вакант­ные должности	Кадровое подразделение
И нформация о посетителях	Служба безопасности
Сведения о контактных лицах контрагентов (CRM-системы)	Отдел продаж
Информация о потенциальных клиентах	Отдел продаж
Данные учредителей и прочее	Юридический отдел
Приказы по личному составу	Канцелярия
Доверенности (например, на по­лучение материальных ценно­стей)	Канцелярия (или АХО)

 

Конкретные права пользователей и отнесение их к той или иной категории подлежат определению при проведении обследования ИСПДн.

При предоставлении тех или иных полномочий целесообразно исходить из принципа «минимизации полномочий», который предусматривает, что доступ к ПДн предоставляется только в том случае и в том объеме, которые необходимы для выполнения должностных обязанностей сотрудника.

Предоставленные полномочия в дальнейшем должны быть закреплены в организационно-распорядительных документах.

 

Срок хранения информации

Другим вопросом, имеющим отношение к документации оператора персональных данных, является вопрос о сроках хранения персональных данных. В отношении персональных данных можно говорить о трех способах определения срока хранения информации, который может быть определен:

1)            нормативным правовым актом;

2)            достижением цели обработки данных;

3)            явным указанием в согласии.

 

Инвентаризация/обследование информационных систем ПДн в организации

Основной задачей инвентаризации/обследования инфор-мационных систем является выявление ИС, в которых осущест- иляется обработка персональных данных (например, система бухгалтерского учета, кадровый учет, система взаимоотношений с клиентами, биллинговая система и т. п.).

ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Если в небольшой организации, скорее всего, создана одна информационная система ПДн, в крупных - таких систем будет несколько, причем обрабатываемые в них данные могут относится к различным категориям.

Как показывает практика внедрение мер по защите ПДн без предварительного анализа и оптимизации процессов обработки ПДн может привести к неоправданному удорожанию системы защиты ПДн. Оптимизация процессов обработки позволяет не только снизить стоимость работ по организации защиты персональных данных, но и повысить эффективность бизнес- процессов Заказчика.

Обследование ИСПДн включает:

■             обследование персональных данных обрабатываемых в ИСПДн;

■             обследование и анализ ИТ-инфраструктуры ИСПДн;

■             изучение и анализ процедур обработки ПДн;

 

■             обследование и анализ применяемых средств защиты информации;

■             использование антивирусных программ и т. п.

При проведении обследования может быть рекомендовано составление опросных листов, учитывающих специфику дея-тельности оператора, проведение анализа полученной информации с целью возможного понижения класса ИСПДн, выявление бизнес-процессов, анализ организационной структуры и т. п

 

Проведение классификации и присвоение класса информационной системе

Еще одним обязательным мероприятием, которое обязаны осуществить все без исключения операторы информационных систем, является проведение классификации и присвоение класса информационной системе. При проведении классификации необходимо руководствоваться совместным Приказом ФСТЭК РФ (Федеральной службы по техническому и экспортному контролю), ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 № 55/86/20 (далее - приказ № 55/86/20).

Порядок проведения классификации ИСПДн можно представить в виде следующей схемы.

Когда проводим?

Классификация информационных систем персональных данных может проводиться:

■             на этапе создания информационных систем

■             в ходе их эксплуатации (для ранее введенных в экс-плуатацию и (или) модернизируемых информационных систем) (п. 3 Порядка, утв. Приказом № 55/86/20).

 

Кто проводит?

В соответствии с п. 2 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 (далее - Приказ ФСТЭК России № 55/8/20) классификация ИСПДн проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных.

 

Т. е. классификация проводится самой организацией. Не-сомненно, если организация «сомневается в своих силах», то in я проведения классификации следует привлечь стороннюю организацию, специализирующуюся на оказании данных видов услуг.

Какие данные учитываем при проведении классификации типовых ИСПДн?

Категория обрабатываемых в информационной системе ПДн-Хпд

К перечню обрабатываемой информации необходимо подойти с особой тщательностью, ведь от этого напрямую зависит класс информационной систем и, соответственно, сумма расходов на проведение мероприятий по защите ПДн.

В соответствии с Приказом ФСТЭК России № 55/8/20 раз-личают 4 категории данных:

■             Обезличенные и (или) общедоступные данные (Х4);

■             ПДн, позволяющие идентифицировать субъекта ПДн (ХЗ);

■             ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за ис-ключением ПДн, относящихся к категории 1 (Х2);

■             ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни (XI).

Как следует из приведенных выше категорий персональных данных, в случае внесения в информационную систему данных о состоянии здоровья требования, предъявляемые по защите таких данных, максимальные.

Объем обрабатываемых персональных данных (количество объектов персональных данных, ПДн которых обрабатываются в информационной системе) - X нпд

Данная характеристика на первый взгляд кажется относи-тельно простой. При определении класса информационной системы ПДн необходимо определить в какой диапазон попадает ИСПДн вашей организации исходя из объема обрабатываемых данных:

■             в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации (ХЗ);

■             в информационной системе одновременно обрабаты-ваются персональные данные от 1 ООО до 100 000 субъ-ектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе го-сударственной власти, проживающих в пределах му-ниципального образования (Х2);

 ■            в информационной системе одновременно обрабатываются персональные данные более чем 100 ООО субъектов персональных данных или персональные данные субъектов  ерсональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом (XI).

При расчете данного показателя стоит учитывать содер-жащуюся в базе информацию о работниках, бывших работниках, акционерах (учредителях), клиентах, контактных лицах в различных организациях (поставщиках, покупателях) и т. п.

Структура информационной системы

По структуре информационные системы подразделяются

на:

■             автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

■             комплексы автоматизированных рабочих мест, объе-диненных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

■             комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (рас-пределенные информационные системы).

Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного ин-формационного обмена

По наличию подключений к сетям связи общего пользо- мания и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

 

Режим обработки персональных данных

По режиму обработки персональных данных в информа-ционной системе информационные системы подразделяются на однопользовательские и многопользовательские.

Системы с разграничением прав доступа пользователей ин-формационной системы или без

По разграничению прав доступа пользователей информа-ционные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

Местонахождение технических средств информационной системы

Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

 

Приказом ФСТЭК России № 55/86/20 предусмотрено 4 класса типовых систем. С учетом изложенных выше показателей определяем класс типовой информационной системы в соответствии с таблицей № 7.

По результатам анализа исходных данных типовой ин-формационной системе присваивается один из следующих классов:

■             класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

■             класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

■             класс 3 (КЗ) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

■             класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

 

Категория персональных данных	В информационной системе одновременно обрабатываются данные
	Менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации	от 1000 до 100 000 субъектов ПДн или ПДн субъектов ПДн, работающих в отрасли экономики РФ, в органе гос. власти, проживающих в пределах муниципального образования	более чем 100 000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта РФ или РФ в целом
Обезличенные и (или) общедос­тупные данные	К4	К4	К4
ПДн, позволяющие идентифици­ровать субъекта ПДн	КЗ	КЗ	К2
ПДн, позволяющие иденти­фицировать субъекта ПДн и по­лучить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1	КЗ	К2	К1
ПДн, касающиеся расовой, на­циональной принадлежности, политических взглядов, религиоз­ных и философских убеждений, состояния здоровья, интимной жизни.	К1	К1	К1

 

 

Меры по снижению расходов на проведение мероприятий по защите ПДн

В заключение хочется отметить, что в целях повышения класса (от К1 до К2 или от К2 до КЗ) и, соответственно снижения расходов на проведение мероприятий по защите ПДн может быть рекомендовано:

■             проведение тщательного анализа и возможное сокращение перечня получаемых и обрабатываемых сведений в отношении субъектов ПДн (далеко не каждый реквизит на самом деле будет необходим для осуществления деятельности);

■             осуществление обработки некоторых сведений без ис-пользования средств автоматизации;

■             обезличивание части персональных данных с выводом информации, содержащей сведения, позволяющие ус-тановить однозначную связь между личностью и ПДн (стоит отметить, что операция обезличивания персо-нальных данных является необратимой, в ходе выполнения которой утрачивается однозначная связь между субъектом персональных данных и его персональными данными);

■             минимизация мест хранения и обработки ПДн, разде-ление/сегментирование информационных систем, снижение требований к части сегментов;

■             сокращение числа сотрудников, имеющих доступ к персональным данным;

■             выделение рабочих мест, где используются ПДн в от-дельную локальную вычислительную систему и орга-низация защиты только ее;

■             отключение ИСПДн от сетей общего пользования;

■             обеспечение обмена с другими АРМ с помощью сменных носителей;

■             передача по каналам связи только обезличенной ин-формации.

 

минимальные требования по защите персональных данных будут предъявлены к тем организациям, которые передадут обработку данных специализированным организациям, имеющим соответствующие технические возможности и опыт в построении системы защиты ПДн (аутсорсинг).

В качестве примера может быть приведена следующая схема структуры ИСПДн, позволяющая снизить затраты на проведение мероприятий по защите персональных данных, так как обработка данных осуществляется сторонней организацией (ЦОД), имеющей лицензию на осуществление деятельности по шщите конфиденциальной информации.

По итогам проведения классификации необходимо получить документы, отражающие, что сделано, кем, в какой период, какие данные проанализированы, какой класс присвоен и т. п. То есть результатом данного этапа обследования информационной системы должны быть акт категорирования персональных данных и акт классификации информационной системы ПДн.

класс информационной системы может быть пересмотрен:

 ■            по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

■             по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

Проводить проверку информационной системы на предмет ее соответствия заявленному классу имеют право ФСТЭК РФ и ФСБ РФ. Если в ходе проверки выяснится, что класс системы занижен, то контролирующий орган потребует принять все меры для обеспечения безопасности, необходимые для реального уровня информационной системы персональных данных.

В случае неправильного определения ИСПДн по результатам проверки ФСТЭК может быть вынесено предписание об устранении выявленных нарушений. Какие-либо более жесткие административные меры могут наступить только в случае невы-полнения настоящего предписания.

Вид информационной системы

По типу информационные системы делятся на типовые и специальные. Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных, а специальные ин-формационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности: защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий.

Как правило, в информационных системах, которые ведутся с целью кадрового, бухгалтерского, управленческого учета, важно обеспечить не только конфиденциальность, но и защищенность от уничтожения и изменения. Следовательно, подавляющее большинство информационных систем следует рассматривать в качестве специальных.

К специальным информационным системам должны быть отнесены:

■             информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

■             информационные системы, в которых предусмотрено принятие на основании исключительно автоматизиро-ванной обработки персональных данных решений, по-рождающих юридические последствия в отношении субъекта персональных данных или иным образом за-трагивающих его права и законные интересы.

 

Для специальных ИСПДн требуется провести работу по моделированию возможных угроз.

Формирование Модели угроз безопасности персональных данных является необходимым этапом в создании системы защиты персональных данных согласно пп. 12а Постановления Правительства РФ от 17 ноября 2007 г.

 

№781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». При этом модель угроз позволит применять именно те контрмеры, которые актуальны для условий использования защищаемой системы.

ФСТЭК России и ФСБ России разработаны следующие методические документы, определяющие порядок формирования модели угроз:

■             Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 15.02.2008 г.

■             Методика определения актуальных угроз безопасности персональных данных при их обработке в инфор-мационных системах персональных данных. ФСТЭК России, 14.02.2008 г.

■             Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21.02.2008 г, № 149/54-144.

 

Исходные данные для определения актуальных угроз формируются на основе перечней источников угроз (опрос), уязвимых звеньев ИС (опрос и сканирование сети) и, наконец, перечня технических каналов утечки (обследование ИС). Порядок определения актуальных угроз безопасности ПД в ИСПДн предусматривает следующие этапы:

■             оценка (на основе опроса и анализа) уровня исходной защищенности ИСПДн (высокий, средний, низкий);

■             экспертная оценка частоты (вероятности) реализации угрозы (маловероятная, низкая, средняя, высокая);

■             определение актуальных угроз (путем исключения не-актуальных угроз по определенному алгоритму, опи-санному в методике).

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз на основе Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного Приказом ФСТЭК России от 05.02.2010 №58 формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.