Что такое испдн


Категории персональных данных в ИС ПДн


31 октября 20181,4 тыс. прочитали1 мин.2,7 тыс. просмотров публикацииУникальные посетители страницы1,4 тыс. прочитали до концаЭто 53% от открывших публикацию1 минута — среднее время чтенияИС — информационные системы в организации могут быть ориентированы на обработку персональных данных (ПДн). Такие системы можно называть информационными системами персональных данных.В документе был установлен Порядок проведения классификации информационных систем персональных данных.Этот документ уже не действует, но в познавательных целях можно привести пример классификации ИС по категориям:Определяются следующие категории обрабатываемых в информационной системе персональных данных ():категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;категория 4 — обезличенные и (или) общедоступные персональные данные.В настоящее время действует , в котором утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных.Согласно этим требованиям, проводится деление информационных систем по характерным признакам обработки персональных данных:5.

Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со .Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом-третьем настоящего пункта.Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников.

В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.На основании вышеприведённых норм можно получить представление о том, как современное законодательство определяет категории персональных данных и информационные системы, их обрабатывающие.В постановлении Правительства РФ от 1 ноября 2012 года N 1119 приведены типы угроз безопасности персональных данных классифицируемые по уровням (всего определено 3 уровня).Также, об угрозах безопасности ПДн можно посмотреть нормы статьи 19.

В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.На основании вышеприведённых норм можно получить представление о том, как современное законодательство определяет категории персональных данных и информационные системы, их обрабатывающие.В постановлении Правительства РФ от 1 ноября 2012 года N 1119 приведены типы угроз безопасности персональных данных классифицируемые по уровням (всего определено 3 уровня).Также, об угрозах безопасности ПДн можно посмотреть нормы статьи 19. Меры по обеспечению безопасности персональных данных при их обработке закона «О персональных данных» N 152-ФЗ от 27.07.2006 г.Подробнее об угрозах безопасности ПДн будет рассказано в следующих статьях канала «ИНФОРМАЦИОННОЕ ПРАВО в обществе».автор публикации: юрист Демешин С.В.

Требованияк защите персональных данных при их обработкев информационных системах персональных данных

  1. ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Утвержденыпостановлением ПравительстваРоссийской Федерацииот 1 ноября 2012 г.

N 1119 1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее — информационные системы) и уровни защищенности таких данных.2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с Федерального закона «О персональных данных».Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.3.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее — уполномоченное лицо).
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее — уполномоченное лицо).

Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.4.

Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение Федерального закона «О персональных данных».5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со Федерального закона «О персональных данных».Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в — настоящего пункта.Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников.

В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.6.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.7.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение Федерального закона «О персональных данных».8.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.10. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.11.

Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.12.

Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;б) обеспечение сохранности носителей персональных данных;в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.15.

Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.16.

Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных настоящего документа, необходимо выполнение следующих требований:а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Открыть полный текст документа

Информационная система персональных данных

Техническая защита ИСПДн — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

В зависимости от содержания и объёма ИСПДн, её можно отнести к одному из четырёх классов, которые определены приказом от 13 февраля 2008 года N 55/86/20

«Об утверждении Порядка проведения классификации информационных систем персональных данных»

. Класс информационной системы можно определить по двум параметрам: 1) Хпд — категория персональных данных, зависит от типа обрабатываемых данных, может принимать значения

  1. 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
  2. 2 — персональные данные, позволяющие субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  3. 4 — обезличенные и (или) общедоступные персональные данные.
  4. 1 — персональные данные, касающиеся , , политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

2) Xнпд — этот параметр определяется объёмом ИСПДн:

  1. 2 — в ИСПДн одновременно обрабатываются персональные данные от 1000 до 100000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
  2. 3 — в ИСПДн одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
  3. 1 — в ИСПДн одновременно обрабатываются персональные данные более чем 100000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

После того, как будут определены показатели Хпд и Хнпд для своей ИСПДн, класс можно узнать из таблицы: Хпд/Хнпд 1 2 3 4 К4 К4 К4 3 К3 К3 К2 2 К3 К2 К1 1 К1 К1 К1 Закон обязывает оператора персональных данных проводить мероприятия по их защите. Безопасность данных обеспечивается применением сертифицированных , определением угроз для данных, установлением правила доступа к персональным данным и др.

Выбор средств и мер защиты ИСПДн производится с учётом класса ИСПДн.

Как определить уровень защищенности информационных систем

Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.

Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании. Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.
Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

11 июня 2015 Верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты.

Если уровень завышен — деньги потрачены зря. Учреждения здравоохранения используют множество информационных систем персональных данных, поэтому рассмотрим параметры определения уровня защищенности на примере медиков. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». На данный момент требования к защите персональных данных при их обработке в информационных системах установлены постановлением Правительства РФ от 01.11.2012 N 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

.

Постановление пришло на смену утратившему силу постановлению Правительства РФ от 17.11.2007 N 781

«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

и приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, который утверждал порядок классификации ИСПДн.

Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.

В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий: 1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица; 2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000; 3) категория персональных данных, обрабатываемых в информационной системе:

  1. биометрические,
  2. иные;
  3. специальные,
  4. общедоступные,

4) тип актуальных угроз безопасности персональных данных:

  1. актуальны угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении;
  2. актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.
  3. актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении;

Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных.

Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений. Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн.

Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений. В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы. В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т.

е. потребуется выполнение минимального перечня организационных и технических мер. Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.

С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

  1. анализируют финансовую и административную информацию.
  2. обрабатывают данные медицинских исследований в цифровой форме;
  3. ведут электронные амбулаторные карты, электронную регистратуру;
  4. собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
  5. используют как средство общения между сотрудниками;

При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

  1. в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т.

    д.);

  2. субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.

В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных. В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.

Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.

В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора.

Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением. Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам. Специалисты «Контур-Безопасность»

  1. классифицируют информационную систему
  2. помогут выбрать оптимальные средства защиты
  3. составят модель угроз
  4. грамотно выстроят систему защиты

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность» Подписаться × П Пользователь Не совсем понятно, как определить тип актуальных угроз, что такое недокументированные возможности?

Например, сервис разрабатывается на распространенном стэке — mysql+php+js. По идее недокументированных возможностей в системном программном обеспечении быть не должно, так как технологии распространенные и скорее всего возможности задокументированы.

Или не так? И как определить задокументированность возможностей прикладного ПО 0 Ответить С Сергей Для прикладного ПО должна быть проверка на недокументированные возможности (отправляют они чего-то, куда-то без вашего ведома и вообще не живут-ли своей жизнью в сети).

По окончании проверки на ПО выдают сертификат от ФСТЭК. Если в сети есть хоть одно ПО без сертификата ФСТЭК, то типом актуальных угроз можно считать тип 2 —

«актуальные угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечени»

. Если есть операционные системы без сертификата ФСТЭК, то тип 1

«актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении»

.

А вот если в организации есть сотрудник, касающийся компьютеров и являющийся сыночком генерального директора, которому все можно и даже в КС на серваке поиграть, то тип 3

«актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении»

. Я все так понял. 1 Ответить Загрузить ещё

Практическое руководство по выполнению требований 152-ФЗ


Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.

Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании. Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.

Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

10 апреля 2015 Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства.

Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход. Отношение Операторов персональных данных к требованиям законодательства разнообразно.

Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается.

Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов.

На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным. При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить.

Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам. Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее. Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

  • .
  • .
  • .

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения.

Дальнейшие действия будут зависеть от того, какая перед нами система. Разберем порядок действий на отдельно взятой информационной системе. Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет.

От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной . Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы.

Определение актуальных угроз производится в соответствии с

«Методикой определения актуальных угроз безопасности персональных данных»

. В общем случае алгоритм выглядит так:

  • По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  • На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.
  • Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
  • Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
  • На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  1. не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.
  2. связанные с наличием недекларированных возможностей в системном программном обеспечении;
  3. связанные с наличием недекларированных возможностей в прикладном программном обеспечении;

Рассматриваем каждую угрозу в отдельности.

Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных.

Существуют следующие категории персональных данных:

  1. общедоступные;
  2. иные.
  3. биометрические;
  4. специальные;

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ. Необходимо определить объем обрабатываемых ПДн.

Здесь возможны 3 вариации:

  1. более 100 тысяч;
  2. до 100 тысяч;
  3. ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119. Для Определения УЗ можно воспользоваться специальной таблицей: Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

  • Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.
  • Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС. После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС. Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17. В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Следующим шагом является анализ полученного базового набора мер и его актуализация.

То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ.

В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами.

В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер. В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер.

Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ. Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации.

Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются оказывающие соответствующие услуги. При самостоятельном внедрении .

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн. После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства. Для ИСПДн оценка соответствия в форме аттестации не обязательна.

Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой.

Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность. Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации. В результате данного подхода получаем систему защиты информации.

Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации. Система защиты информации внедрена и принята в эксплуатацию.

Можно ли успокоиться и забыть о ней?

Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны.

Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.