10 мая 2022
122

Содержание

  1. Особенности ИСПДн
  2. Категории обрабатываемых персональных данных
  3. Виды ИСПДн
  4. Контроль безопасности персональных данных в ИС
  5. Актуальные угрозы ИСПДн
  6. Уровни и классы защищенности персональных данных
  7. Как получить аттестацию ИСПДн

Формирование и внедрение системы защиты персональных данных (ПДн) — обязательный этап работы операторов персональных данных в соответствии с современным российским законодательством. Важно определить необходимый уровень защиты. Сделать это можно после выявления типа угроз ИСПДн: внешние факторы и условия, которые приводят к незаконному доступу и совершению операций третьими лицами с персональными данными граждан.

Особенности ИСПДн

Информационная система персональных данных — совокупность информационных и программных, а также технических средств. Основными составляющими ИСПДн являются:

  1. Персональные данные в базах — совокупность информации и ее носителей, которые используются в ИС.
  2. Информационные технологии — приемы, способы и методы, которые оператор применяет для обработки персональных данных.
  3. Технические средства и системы, которые обрабатывают ПДн: информационно-вычислительные комплексы, сети и техника, устройства звукозаписи, -воспроизведения, -усиления, переговорная и телевизионная техника, устройства для изготовления, тиражирования документов, обработки графической, видео, речевой и буквенно-цифровой информации.
  4. Программные средства — системы управления базами данных, операционные системы, прикладное программное обеспечение и т.п.
  5. Средства защиты информации (СЗИ).
  6. Вспомогательные технические средства и системы коммуникации, которые не участвуют в обработке ПДн, но находятся в помещениях вместе с ИСПДн: телефония, вычислительная техника, радиосвязь, охранная и пожарная сигнализации, системы кондиционирования, контрольно-измерительные устройства, средства приема радио- и телевизионного сигнала, устройства электрочасофикации, оргтехника.

Пример ИСПДн — информационная система для работы отдела кадров и бухгалтерии, которая обрабатывает сведения сотрудников организации. Данная информационная система содержит базу данных персональной информации работающих и уволенных сотрудников. В систему входят все средства, которые участвуют в обработке этих данных. Например, автоматизированные рабочие места, серверы, программное обеспечение и СЗИ.

Чтобы понять, насколько эффективно система осуществляет ликвидацию факторов, которые приводят к незаконному доступу и использованию ПДн, нужно провести категорирование персональных данных, которые обрабатываются. Этот параметр наравне с типом системы и другими показателями повлияет на причисление информационной системы к 1, 2, 3 или 4 уровню защищенности.

Категории обрабатываемых персональных данных

Разделять ПДн необходимо, чтобы устанавливать правила обработки и защиты данных для разных категорий и определять наказания за нарушение этих правил. Действующее законодательство РФ выделяет четыре категории ПДн:

  • общедоступные
  • биометрические
  • специальные
  • другие

В законодательстве четко прописаны только три первые категории, а о четвертой конкретика отсутствует. Операторам нужно определить, с какими сведениями они работают, а затем установить степень защищенности ИС.

Общедоступные ПДн

Отличие общедоступных персональных данных от других категорий — доступ к ним получает неограниченный круг лиц. Эти ПДн содержатся в открытых источниках, например, социальных сетях, интернет-сайтах, радио и телевидении, пресс-релизах и т.д., но при этом гражданин должен дать свое согласие на размещение в предварительном порядке. ФЗ-152 содержит классификацию, в соответствии с которой к категории общедоступных ПДн относятся:

  • имя, фамилия и отчество;
  • место рождения или проживания;
  • возраст;
  • образование, профессия;
  • дата рождения;
  • электронная почта;
  • номер телефона и т.д.

Гражданин имеет право требовать удалить информацию о себе из источника, если не хочет, чтобы она была в общем доступе. Для этого ему нужно подать заявление. Также убрать данные из общедоступных источников можно по решению суда или государственного органа.

Биометрические ПДн

Зачастую на предприятиях устанавливается система охраны и видеонаблюдения, а также ограниченный доступ на территорию или в отдельные помещения. Для идентификации сотрудников, которые имеют доступ к определенным зонам или действиям, применяются фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические параметры относятся к категории биометрических ПДн. Обязательное условие их использования — письменное согласие человека. Документ не требуется, если данные используются, чтобы обеспечить государственную безопасность, правоохранительную деятельность, работу государственных структур.

Оператору нужно помнить об ограничениях при обработке биометрическими ПДн: данные разрешено собирать, дополнять, хранить и т.д., пока оператор не достигнет цели обработки или не закончится срок, указанный в подписанном субъектом разрешении.

Специальные персональные данные

К данной группе относятся:

  • сведения о здоровье;
  • гендер и раса;
  • сексуальная ориентация и все, что касается сексуальной жизни;
  • религиозные убеждения;
  • философские воззрения;
  • политические взгляды и т.д.

Если в совокупности по общедоступным ПДн можно определить субъекта, то специальные персональные данные такой возможности не дают. Для их обработки нужно выполнить одно из условий:

  • получить письменное согласие в форме, установленной законом;
  • использовать информацию, опубликованную самим гражданином в общедоступных источниках;
  • вступили в силу международные договоренности;
  • выполняются действия в ходе судопроизводства или по решению суда;
  • есть угроза здоровью и жизни субъекта или других людей;
  • информация обрабатывается в рамках деятельности общественной или религиозной организации.

Иные персональные данные

На сегодняшний день в нормативно-правовой документации нет четкого определения иных ПДн. Есть только указание, что речь идет о персональных данных, которые не относятся к категории общедоступных, биометрических и специальных ПДн. Таким образом, оператору, чтобы идентифицировать данные как «иные», нужно убедиться в том, что они не относятся к указанным трем категориям.

Виды ИСПДн

Федеральная служба по техническому контролю и экспорту (ФСТЭК) выпустила документ об определении угроз, в котором пояснила, что ИСПДн делятся на группы по различным критериям. Каждая группа обладает базовой защищенностью. Исходя из нее можно определить общий уровень защищенности системы. Он считается так:

  1. Если система обладает 70% критериев с высокой защищенностью и остальными со средней, то общий уровень защищенности всей ИСПДн будет высоким.
  2. Если система имеет 70% критериев с высокой или средней защищенностью и остальные с низкой, то общий уровень защищенности системы — средний.
  3. В остальных случаях общая защищенность системы будет на низком уровне.

Группы ИСПДн по принадлежности

В этой группе ИСПДн делятся на такие типы:

  • принадлежат государственным и муниципальным органам;
  • принадлежат юридическим и физическим лицам, которые обрабатывают персональные данные, а также определяют цели и содержание обработки таких данных.

Ко второму типу не относятся системы физических лиц, которые используют персональные данные исключительно в личных и семейных целях.

Группы ИСПДн по территориальному размещению

По территориальному признаку ИСПДн делятся на следующие типы:

  1. Распределенные. Системы находятся в разных регионах и населенных пунктах страны. Пример: ИСПДн облачного провайдера распределенная, так как серверы и клиенты рассредоточены по всей России.
  2. Городские. Все части системы находятся в пределах одного населенного пункта.
  3. Корпоративные распределенные. Все части системы принадлежат одной организации и могут находиться в одном или в нескольких городах. Пример: компания с филиалами по всей стране будет иметь корпоративную распределенную ИСПДн.
  4. Кампусные. Все части системы находятся в близко расположенных зданиях. Пример: на заводе ИСПДн является кампусной.
  5. Локальные. Все части системы располагаются в одном здании. Обычно такой ИСПДн обладают небольшие фирмы.

Зависимость уровня защищенности от типа системы по территориальному размещению отражена в таблице.

Тип системыУровень защищенности
Распределенная Низкий
Городская Низкий
Корпоративная распределенная Средний
Кампусная Средний
Локальная Высокий

Низкая защищенность по одному из параметров не означает уязвимость всей системы, но требует от владельца ИСПДн дополнительных мер, чтобы обеспечить безопасность данных.

Группы ИСПДн по наличию выхода в интернет

ИСПДн в этой группе делятся на следующие типы:

  1. С многоточечным выходом в сеть — доступ в интернет осуществляется напрямую с любого устройства в сети.
  2. С одноточечным выходом в интернет — доступ осуществляется через центральный шлюз.
  3. Без выхода в интернет — когда доступ ограничен или отсутствует, так как на предприятии создана закрытая сеть.

В таблице можно проследить зависимость уровня защищенности от типа системы по наличию выхода в интернет.

Тип системыУровень защищенности
С многоточечным выходом Низкий
С одноточечным выходом Средний
Без выхода Высокий

Группы ИСПДн по доступным операциям с данными

ИСПДн этой группы делятся на следующие типы:

  1. Разрешаются только чтение и поиск, т.е. база сформирована, ее нельзя дополнять и изменять.
  2. Можно записывать, удалять и сортировать данные.
  3. Можно модифицировать и передавать данные. Именно так работают практически все системы.

Зависимость уровня защищенности от типа системы по доступности операций с данными можно увидеть в таблице.

Тип системыУровень защищенности
Можно модифицировать и передавать данные Низкий
Можно записывать, удалять и сортировать данные Средний
Разрешается только чтение и поиск Высокий

Группы ИСПДн по разграничению доступа к персональным данным

В данной группе ИСПДн делятся на следующие типы:

  1. Доступ к персональным данным есть у субъекта ПД и отдельных сотрудников оператора.
  2. Доступом к ПДн обладают все сотрудники оператора.

В таблице наглядно показана зависимость уровня защищенности от типа системы по разграничению доступа к персональным данным.

Тип системыУровень защищенности
Доступ есть у всех сотрудников оператора Низкий
Доступ есть у некоторых сотрудников оператора Средний

Вполне возможно создать систему, в которой доступ к персональным данным будет иметь любой посторонний человек. Однако такой подход противоречит закону, т.к. некоторые категории ПДн требуют максимальной конфиденциальности.

Группы ИСПДн по уровню обезличивания данных

По уровню обезличивания данных ИСПДн делятся на следующие типы:

  1. Пользователи ИСПДн получают только обезличенные данные, т.е. их нельзя связать с конкретным человеком. В самой системе данные хранятся не в обезличенном виде, поэтому являются персональными.
  2. Данные обезличиваются для передачи в другие организации, но сотрудники оператора получают их не обезличенными.
  3. Данные не обезличивают даже для передачи.

Зависимость уровня защищенности от типа системы по обезличиванию данных приведена в таблице.

Тип системыУровень защищенности
Оператор не обезличивает данные даже для передачи Низкий
Оператор обезличивает данные для передачи, но сотрудники оператора получают их необезличенными Средний
Система выдает обезличенные данные Высокий

Группы ИСПДн по объему предоставления базы данных другим компаниям

В этой группе ИСПДн делятся на следующие типы:

  1. Оператор предоставляет по запросу другой компании доступ ко всей базе персональных данных.
  2. Оператор выдает по запросу доступ только к части данных, например, к информации об отдельных пользователях.
  3. Оператор не предоставляет никакой информации, хранит базу только для себя и не передает ее третьим лицам.

В таблице показана зависимость уровня защищенности от типа системы по объему предоставленного доступа другим компаниям.

Тип системыУровень защищенности
Оператор по запросу предоставляет полный доступ к данным Низкий
Оператор по запросу выдает доступ к части данных Средний
Оператор не передает данные и хранит базу только для себя Высокий

Вернемся к уровню общей защищенности системы и рассчитаем его на примере. Представим, что у фирмы есть филиалы в разных городах, выход в интернет многоточечный, доступ к данным есть только у некоторых сотрудников, разрешается только чтение и поиск данных, система выдает обезличенные данные, и компания хранит ПДн только для себя. Вывод: по одному критерию у системы низкая защищенность, по двум — средняя, а по остальным трем — высокая. Значит, ИСПДн компании обладает средним общим уровнем защищенности.

Контроль безопасности персональных данных в ИС

Реализация мер по защите персональных данных — ответственность оператора, т.е. субъекта, который собирает и обрабатывает данные в информационной системе. Как правило, таким субъектом выступает компания, которая владеет базами данных своих сотрудников и клиентов, либо сторонняя организация, уполномоченная компанией-владельцем.

Невыполнение требований безопасности при работе с персональными данными влечет ответственность в соответствии со статьей 13.11 КоАП РФ.

Работу ИСПДн в России контролируют следующие органы и службы:

  1. ФСТЭК проверяет техническую и организационную части обработки персональных данных.
  2. Роскомнадзор защищает права субъекта ПДн и контролирует соответствие технологии обработки персональных данных требованиям закона 152-ФЗ.
  3. ФСБ осуществляет контроль за безопасностью ПДн в процессе их обработки.

Актуальные угрозы ИСПДн

Актуальные угрозы безопасности ПДн — совокупность условий и факторов, создающих риск нелегального, в том числе случайного доступа к ПДн в процессе обработки в информационной системе. В ходе такого проникновения нарушители могут уничтожать, менять, блокировать, копировать, предоставлять, распространять данные, а также совершать иные неправомерные действия.

Актуальные угрозы ИСПДн указаны в постановлении Правительства РФ №1119. В соответствии с этим документом они делятся на три типа:

  1. К угрозам первого типа относятся не декларированные, то есть не задокументированные возможности в системном ПО — операционная система, сервисные программы, антивирусы.
  2. Ко второму типу относятся не декларированные возможности в прикладном ПО. Оно бывает общего назначения, например, СУБД, и специального, например, бухгалтерские программы.
  3. К третьему типу относятся угрозы в системном и программном ПО, несвязанные с предыдущими двумя типами угроз.

Уровни и классы защищенности персональных данных

Стоит отметить, что постановление №1119 заменило применяемые ранее классы ИСПДн на уровни защищенности ПДн.

В соответствии с современным российским законодательством, существует четыре уровня защищенности (УЗ) персональных данных: УЗ-1, 2, 3 и 4. При этом ИСПДн с УЗ-1 требует более серьезных мер защиты, чем система с УЗ-4, которая меньше остальных нуждается в безопасности данных.

УЗ зависят от нескольких факторов:

  • принадлежат ли данные только сотрудникам оператора;
  • количества субъектов;
  • типа актуальных угроз.

В зависимости от уровня защищенности данных в вашей ИСПДн, можно подобрать инфраструктуру, которая соответствует требованиям государственных регуляторов.

Как получить аттестацию ИСПДн

ФСБ и ФСТЭК России — уполномоченные службы в сфере защиты информации, которые регламентируют порядок аттестации. Методология аттестации ИСПДн основывается на более чем 30 документах ФСТЭК.

Главные акты, на которые нужно обратить внимание, — приказы ФСТЭК № 17 и 21, а также приказ ФСБ № 378. Для проведения аттестации необходима лицензия ФСТЭК России.

Порядок работ по методологии ФСТЭК России следующий:

  1. Обследуются информационные системы персональных данных:
    • акт (отчет) об обследовании;
    • модель угроз безопасности персональных данных по требованиям ФСБ и отдельно по ФСТЭК России;
    • акт определения уровня защищенности персональных данных;
    • техзадание на проект системы защиты персональных данных.
  2. Проектируется система защиты персональных данных:
    a. технический проект на систему защиты персональных данных:
    • ведомость эксплуатационных документов;
    • план-схема комплекса технических средств;
    • спецификация технических средств;
    • пояснительная записка.
  3. Внедряется система защиты информации:
    • поставка и ввод в эксплуатацию средств защиты информации;
    • создание организационно-распорядительной документации (ОРД) в части защиты персональных данных (около 15 документов).
  4. Проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных:
    • технический паспорт на ИСПДн;
    • программа и методика оценки;
    • протокол оценки;
    • заключение по результатам оценки;
    • аттестат соответствия (выдает лицензиат ФСТЭК России).

Компания «Комрунет» выполняет комплекс работ по аттестации ИСПДн — от изучения системы и разработки модели потенциальных угроз до создания и внедрения системы защиты и выдачи сертификата об ее аттестации.

Поддерживать систему информационной безопасности силами отдельной компании — довольно трудная задача. Не каждая частная или государственная организация могут позволить себе штат профильных специалистов. В большинстве случаев проще отдать эту задачу на аутсорс, нанять сторонних специалистов, которые помогут подобрать и установить подходящее оборудование, проконсультируют сотрудников, окажут поддержку с написанием политики конфиденциальности и внутренних регламентов по обращению с засекреченной информацией.

Позвоните нам!
Ваш заказ готов к оформлению
Личный кабинет
Вам будет доступна история заказов, управление рассылками, свои цены и скидки для постоянных клиентов и прочее.
Ваш логин
Ваш пароль
Работаем для вас пн-пт с 9:00 до 18:00
г. Москва, ул. Барклая, д. 13, стр. 1
Интернет-магазин Комрунет
г. Москва, ул. Барклая, д.13, стр.1
+74951059152sale@komrunet.ru