Защита информации с человеческим лицом
Главная» Как защитить информацию» Защита персональных данных»Изменения, вызванные принятием Постановления Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Изменения, вызванные принятием Постановления Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Что нового?

  • Признается утратившим силу постановление правительства от 17 ноября 2007 г. № 781;
  • Дано понятие безопасности персональных данных;
  • Определено, что выбор средств  защиты для систем защиты ПДн осуществляются оператором в соответствии с  НПА, принятыми ФСБ и ФСТЭК.
  • Дана новая классификация (5 типов ИСПДн);
  • Введены 3 типа угроз  безопасности персональных данных;
  • Введены 4 уровня защищенности персональных данных;
  • Установлены требования по обеспечению каждого уровня защищенности.

Признается утратившим силу постановление правительства от 17 ноября 2007 г. № 781

Фактически перестают действовать руководящие документы ФСБ и ФСТЭК, базировавшиеся на ПП-781:

  • Приказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 г. N 55/86/20 «Порядок проведения классификации информационных систем персональных данных;
  • Приказ ФСТЭК от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
  • Руководящий документ ФСТЭК от 15 февраля 2008 г. «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Руководящий документ 8 Центра ФСБ России N 149/54-144 от 21 февраля 2008 г. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
  • Руководящий документ 8 центра ФСБ России N 149/6/6-622 21 февраля 2008 года «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».

Изменение подхода к сертификации:

  • Принятые в начале 2012 года руководящие документы ФСТЭК по системам обнаружения вторжений (СОВ) и средствам антивирусной защиты (САЗ) привязаны в 4 классам ИСПДн – указанные РД были предназначены для разработчиков средств защиты, заявителей на сертификацию, а также испытательных лабораторий и органов по сертификации. ;
  • принятый 4 года назад подход по указанию в сертификатах ФСТЭК класса ИСПДн, для которого возможно применение прошедшего оценку соответствия средства защиты теперь невозможно;
  • судьба уже выданных сертификатов на средства защиты непонятна.

Безопасность персональных данных

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

Выбор средств защиты ПДн

Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

Новая классификация ИСПДн

ПО ВИДУ ОБРАБАТЫВАЕМЫХ ПДн

  • ИСПДн обрабатывающая специальные категории ПДн (ИСПДн-С)

ПДн касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни субъектов

  • ИСПДн обрабатывающая биометрические ПДн (ИСПДн-Б)

сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных

  • ИСПДн обрабатывающая общедоступные ПДн (ИСПДн-О)

ПДн полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О  персональных данных»

  • ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)

если не обрабатываются ПДн, указанные в абзацах первом - третьем настоящего пункта

 

ПО ПРИНАДЛЕЖНОСТИ ОБРАБАТЫВАЕМЫХ ПДн

  • ИСПДн обрабатывающая ПДн сотрудников оператора

ПДн только указанных сотрудников (кадры). В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора. Могут быть специальные, общедоступные и иные.

Типы угроз безопасности ПДн

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

3 типа угроз ПДн:

Угрозы 1-го типа (уровень системы) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа (уровень приложения) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа (уровень пользователя) актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

Уровни защищенности ИСПДн

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

Необходимость обеспечения определенного уровня защищенности определяется типом ИСПДн, типом актуальных угроз и количеством субъектов, ПДн которых обрабатываются в ИСПДн.

Необходимость обеспечения определенного уровня защищенности ПДн устанавливается при наличие хотя бы одного из условий 

 

угрозы 1 типа

угрозы 2 типа

угрозы 3 типа

ИСПДн-С

1

-

-

ИСПДн-Б

1

2

3

ИСПДн-О

2

-

4

ИСПДн-И

1

-

-

ИСПДн – С. Не сотрудников

-

2  < 100000 > 1

3 < 100000 > 2

ИСПДн-С сотрудников

-

2

3

ИСПДн-О Не сотрудников

-

3 < 100000 > 2

-

ИСПДн-О сотрудников

-

3

-

ИСПДн-И сотрудников

-

3

4

ИСПДн-И Не сотрудников

-

3 < 100000 > 2

4 < 100000 > 3

Необходимость обеспечения определенного уровня защищенности ПДн устанавливается при наличие хотя бы одного из условий.

Требования

1

2

3

4

Регулярный контроль за выполнением требований

Контроль за выполнением настоящих требований организуется и проводится оператором самостоятельно и (или) с привлечением лицензиатов ФСТЭК.

*

*

*

*

Физ.безопасность и контроль доступа

Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения

*

*

*

*

Безопасность носителей

Обеспечение сохранности носителей персональных данных

*

*

*

*

Перечень допущенных лиц

Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей

*

*

*

*

Сертифицированные СЗИ

Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

*

*

*

*

Назначение ответственного за безопасность ПДн

Назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИСПДн

*

*

*

-

Контроль доступа к эл. журналу доступа.

Обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей

*

*

-

-

Автоматическая регистрация в эл. журнале доступа

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИСПДн

*

-

-

-

Создание структурного подразделения

Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

*

-

-

 

Требования по обеспечению уровня защищенности

Для обеспечения 4-го уровня защищенности:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Для обеспечения 3-го уровня защищенности:

а) выполнение требований, предусмотренных для 4-го уровня защищенности;

б) назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных

Для обеспечения 2-го уровня защищенности:

а) выполнение требований, предусмотренных для 3-го уровня защищенности;

б) доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Для обеспечения 1-го уровня защищенности:

а) выполнение требований, предусмотренных для 2-го уровня защищенности;

б) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

в) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Контроль выполнения требований

Контроль за выполнением требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ.

Проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Операторам на данный момент необходимо проверить себя по следующим вопросам:

Разработать/Внедрить если еще не сделали:

  • Определить перечень носителей ПДн и требования по их хранению, использованию, транспортировке и уничтожению. 
  • Обеспечить физическую безопасность носителей ПДн и контроль доступа в помещения обработки ПДн. Хорошей практикой является наличие утвержденного списка лиц, допущенных в серверное помещение. Иногда регуляторы еще и спрашивают про перечень лиц, допущенных во все помещения, где производится обработка ПДн, но, на мой взгляд, это излишне.
  • Назначить должностное лицо (работника), ответственного за обеспечение безопасности ПДн в ИСПДн. Надо различать ответственного за обработку и за обеспечение безопасности ПДн.
  • Разработать и утвердить перечень лиц, допущенных к обработке ПДн.
  • Для СЗПДн использовать СЗИ, прошедшие процедуру оценки соответствия.
  • Определить процедуру регулярных проверок выполнения требований к СЗПДн (процедура внутреннего контроля).

Пересмотреть/Доработать с учетом новых данных:

  • Пересмотреть протокол возможного ущерба субъектам ПДн.
  • Пересмотреть и обновить Акты классификации ИСПДн с учетом уровней защищенности.

Быть готовым к пересмотру и доработке:

  • Быть готовым к пересмотру модели угроз ИСПДн.
  • Быть готовым к пересмотру всей СЗПДн и закупке новых СЗИ.
  • Начать думать об электронном журнале (что это и какие технологии используются) и обеспечить его безопасность.
Комментарии к статье "Изменения, вызванные принятием Постановления Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных""
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?