Персональные Данные!

[MISTER "X"]

1. Обзор законодательной базы.
«С чего начать изучение российского законодательства по защите персональных данных?».
1995

1. Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» - отменен. Документ утратил силу в связи с изданием федерального закона от 27.07.2006 № 149-ФЗ.
1997

2. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» - действует.
2005

3. Указ Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» - действует. 4. Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» - действует.
2006

5. Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» - действует. 6. Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных» - действует.
2007

7. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» - отменен. Документ утратил силу в связи с изданием Постановления Правительства РФ от 01.11.2012 N 1119.
2008

8. Приказ трех: Приказ ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» - отменен. Документ утратил силу - приказ ФСТЭК РФ N 151, ФСБ РФ N 786, Минкомсвязи РФ N 461 от 31.12.2013.

9. Четверокнижие: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных - отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 [1].

10. Четверокнижие: Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных - - отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58.

11. Четверокнижие: Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных – Документ опубликован не был. Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России 16 ноября 2009 г.

12. Четверокнижие: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) - Документ опубликован не был.

13. Постановление Правительства Российской Федерации от 15 cентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» - действует.

14. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 – Документ опубликован не был.

15. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 - Документ опубликован не был.

16. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» - действует.
2010

17. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» - отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 18 февраля 2013 г. № 21.
2011

18. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных» - действует.

19. Приказ Роскомнадзора от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» – Документ опубликован не был.
2012

20. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» - действует.

21. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных» - действует.

22. Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. 14 декабря 2012 года - действует.
2013

23. Федеральный закон от 7 мая 2013 г. № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона «О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных» и федерального закона «О персональных данных» - действует.


24. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» - действует.

25. Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» - действует.

26. Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» - действует.

27. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» - действует.

28. Разъяснения Роскомнадзора по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным 30 августа 2013 года - действует.
2014
29. Приказ Роскомнадзора от 14 марта 2014 г. № 37 «О внесении изменений в Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706» - документ опубликован не был.
30. Методический документ ФСТЭК России от 11 февраля 2014 «Меры защиты информации в государственных информационных системах» - документ опубликован не был.
Начнем разбираться с этими документами по порядку.

Определение персональных данных впервые появилось в Российском законодательстве в Федеральном законе от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» и звучало следующим образом:

Информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

В этом законодательном акте защите персональных данных была посвящена 11 статья, в которой говорилось о недопустимости сбора, хранения и использования личной информации без согласия на то физического лица. Отдельно упоминалась ответственность за нарушение режима защиты. Несмотря на то, что сейчас закон «Об информации, информатизации и защите информации» не действует в связи с изданием закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», основные принципы работы с персональными данными продолжают быть актуальными.

Закон 149-ФЗ в контексте защиты персональных данных малоинтересен. Самое полезное, что можно из него почерпнуть, это информация о том, что порядок доступа к персональным данным определяется законом «О персональных данных» (статья 9). О самом законе «О персональных данных» поговорим подробнее позже. А пока вернемся к документам-предшественникам.

Персональные данные по своему типу попадают под категорию сведений конфиденциального характера. Это закреплено указом Президента, в котором персональные данные определяются следующим образом:

Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

В копилку определений персональных данных можно добавить еще одно, указанное в постановлении о личных данных гражданского служащего (в контексте государственной службы, естественно):

Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с настоящим Положением.

Многие принципы, указанные в этом постановлении нашли свое отражение в законе «О персональных данных, который был утвержден годом позже:
а) персональные данные гражданского служащего обрабатываются в целях обеспечения соблюдения норм законодательства, содействия гражданскому служащему в прохождении государственной гражданской службы и т.д.;
б) персональные данные должны быть получены лично у гражданского служащего. В ином случае следует заранее известить физическое лицо о целях, предполагаемых источниках и способах получения персональных данных;
в) запрещается обрабатывать персональные данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах. В законе «О персональных данных» такие сведения будут определены как персональные данные специальной категории;
г) при принятии решений запрещается основываться на персональных данных гражданского служащего, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
д) защита персональных данных гражданского служащего обеспечивается в порядке, установленном федеральными законами;
е) передача персональных данных не допускается без письменного согласия, за исключением случаев, установленных федеральным законом.
Все эти принципы легли в основу закона «О персональных данных», однако, первоисточник следует искать даже не в Российском законодательстве. Все основные подходы были изложены еще в 1981 году в Конвенции Совета Европы о защите физических лиц. В России Конвенция была ратифицирована лишь в 2005 году. Официальный перевод был опубликован еще позже – в 2013 году (статья 419 «Собрания законодательства РФ» от 03.02.2014). В законе «О ратификации…» говорится, что положения конвенции не распространяются на персональные данные, которые обрабатываются физическими лицами для личных и семейных нужд, а также на сведения, отнесенные к государственной тайне. Конвенция вступила в силу для Российской Федерации 1 сентября 2013 года.

Посмотрим, какое определение персональных данных используется в Конвенции:

Понятие «персональные данные» означает любую информацию об определенном или поддающемся определению физическом лице («субъект данных»).

Конвенция является своеобразной Конституцией Персональных данных, в ней определены основные принципы, на которых строятся все остальные нормативные документы. Например, в Конвенции дается определение специальной категории данных:

Персональные данные, касающиеся расовой принадлежности, политических взглядов или религиозных или других убеждений, а также персональные данные, касающиеся здоровья или половой жизни, не могут подвергаться автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий. Это положение действует также в отношении персональных данных, касающихся судимости.

Стоит упомянуть о том, что в Конвенции не указываются конкретные средства и способы защиты персональных данных, состав и содержания мер по обеспечению безопасности личной информации отражены в других нормативно-законодательных актах. В Конвенции лишь говорится о необходимости принятия надлежащих мер безопасности, направленных на предотвращение их уничтожения, потери, а также на предотвращение несанкционированного доступа, их изменения или распространения таких данных. В следующих частях публикации будет рассмотрено, как положения Европейской Конвенции преломились в статьях российского законодательство и, прежде всего, в законе «О персональных данных».

 

[MISTER "X"]

Часть 2. Закон «О персональных данных»
В первой части статьи был приведен перечень нормативной документации по защите персональных данных, включающий в себя действующие и отмененные документы. Теперь настало время поговорить о самом важном документе в области безопасности персональных данных в российском законодательстве. Естественно, речь пойдет о законе «О персональных данных», который на момент написания статьи существует в 13 редакции (изменения вносились Федеральными законами: от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ от 23.12.2010 N 359-ФЗ, от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ, от 05.04.2013 N 43-ФЗ, от 23.07.2013 N 205-ФЗ, от 21.12.2013 N 363-ФЗ).

От редакции к редакции менялись не только второстепенные, но и основополагающие принципы. В частности, изменениям подверглось даже само определение персональных данных.

Если в первых редакциях оно звучало следующим образом:

«персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Сейчас определение звучит немного иначе:


«персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Последняя версия определения персональных данных позволяет относить к ним абсолютно любые сведения о субъекте, не указано, что физическое лицо должно быть определено на основании именно этой информации.

Существенно расширилось понятие обработки персональных данных:

«обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».


Тогда как в первой редакции понятие обработки включало следующее:

«Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных».

Отдельно в последних редакциях закона указано, что автоматизированной обработкой является любая обработка с помощью средств вычислительной техники. Ранее операторы пользовались отсутствием четкого определения в своих интересах, объявляя работу в офисных приложениях неавтоматизированной обработкой, ввиду того, что текстовые документы на компьютере нельзя рассматривать как единую базу данных. С введением поправок в закон данная лазейка для операторов исчезла.

Изменилось также понятие трансграничной передачи: если раньше это была передача ЧЕРЕЗ Государственную границу Российской Федерации, то теперь это передача НА ТЕРРИТОРИЮ иностранного государства:

«трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».


Споры и обсуждения вызывает вопрос необходимости предоставления субъектом согласия на обработку персональных данных. Для внесения ясности и снятия части вопросов мною был составлен следующая блок-схема [1]:

В блок-схеме указаны исключения, при которых согласие брать необязательно, в том числе к ним относят обработку персональных данных для исполнения договора, стороной которого является субъект персональных данных. Под данный вид обработки попадают трудовые отношения между работником и работодателем. Но к примеру, передача персональных данных для оформления сотрудникам банковской зарплатной карты в это исключение не входит.


Исходя из положений статьи 6, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (за исключением особых случаев). В свою очередь, лицо, осуществляющее обработку персональных данных по поручению оператора (третье лицо), обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством. При этом третье лицо не обязано получать согласие субъекта персональных данных на обработку его личной информации, оно также не несет перед субъектом персональных данных ответственность за свои действия. Вся ответственность перед субъектом за нарушение правил обработки лежит на операторе. При этом третье лицо несет ответственность за нарушения правил обработки персональных данных перед оператором.


Наверняка вы замечали, что уже несколько лет работодатель не интересуется при приеме на работу национальностью будущего сотрудника и его членством в партии. Это не связано с тактичностью современных кадровиков. Все дело в одном из положений Конвенции:


«Статья 6. Специальные категории данных: Персональные данные, касающиеся расовой принадлежности,политических взглядов или религиозных или других убеждений, а также персональные данные, касающиеся здоровья или половой жизни, не могут подвергаться автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий. Это положение действует также в отношении персональных данных, касающихся судимости».


Эти положения нашли отражение в ФЗ «О персональных данных».

Статья 10. Специальные категории персональных данных: 1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 (наличие согласия в письменной форме, данные являются общедоступными, обработка в связи с переписью населения и т.д.). Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, а также иными лицами в случаях, определенных федеральным законодательством.


После статьи о специальных категориях идет статья 11, посвященная биометрическим персональным данным. В отношении биометрических данных действуют ограничения, подобные ограничениям на работу с персональными данными специальных категорий. В 2011 году 11-я статья претерпела существенные изменения, а именно, в нее было внесено дополнение, уточняющее понятие биометрических данных. Если раньше к биометрии относили «сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные)», то теперь к биометрическим персональным данным относят «сведения, которые характеризуют физиологические и биологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных».


К примеру, если оператор мобильной связи скопирует Ваш паспорт, то это еще не будет означать, что он осуществляет обработку биометрии, так как скан-копии не используются им в целях установления личности. В отчетах Роскомнадзора прошлых лет встречались подобные нарушения.


В законе «О персональных данных» в соответствии с требованиями Конвенции обозначены права физических лиц. Оператор обязан знать права субъектов персональных данных, чтобы не нарушать их. Субъект имеет право на доступ к информации о способах обработки его персональных данных, а также на блокирование своих персональных данных за исключением случаев, определенных законом (одним из исключений является осуществление правосудия). Также решение по какому-либо вопросу, имеющее юридические последствия, не может приниматься на основании исключительно автоматизированной обработки информации без согласия на это субъекта (как и в других статьях, в этом случае есть свои исключения).


Стоит также обратить внимание на статью 15 «Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации». В статье говорится о том, что прямой контакт с потребителем может быть осуществлен исключительно с согласия субъекта. Нарушением этой статьи является адресная реклама на счетах за коммунальные услуги, обзвон потенциальных клиентов по «холодной базе».


Мы обсудили права субъекта, давайте теперь уделим внимание обязанностям оператора, которым посвящена глава 4. Один из важных моментов заключается в необходимости уведомления субъекта персональных данных о начале обработки его личных сведений, если такие данные получены от третьих лиц. Как часто организации, где работают Ваши родственники, присылали Вам подобное уведомление? А ведь данные о близких родственниках обязательно указываются при трудоустройстве.


Одной из основных обязанностей оператора является принятие надлежащих мер защиты. В 2011 году закон «О персональных данных» претерпел существенные изменения, одним из изменений было добавление статьи 18.1, в которой указаны меры по защите персональных данных. Упрощенно основные меры можно представить следующим образом:

1) назначение ответственного за организацию обработки персональных данных;

2) издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных;

5) оценка вреда, который может быть причинен субъектам персональных данных;

6) ознакомление работников оператора, осуществляющих обработку персональных данных, с положениями законодательства и локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.


Также оператор обязан опубликовать или другим доступным образом ознакомить субъектов персональных данных со своей политикой обработки ПДн. Обычно это делается путем размещения информации на сайте.

Для муниципальных и государственных органов требования к защите определяет Правительство (Постановление Правительства РФ от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»).

Значительно в 2011 году изменилась и статья 19, которая называется «Меры по обеспечению безопасности персональных данных при их обработке»: она стала более развернутой. К перечню названных мер относят:

1) определение угроз безопасности персональных данных;

2) применение организационных и технических мер по обеспечению безопасности персональных данных;

3) применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (это очень важный пункт, т.к. вносится ясность о необходимости применения сертифицированных СЗИ);

4) оценка эффективности принимаемых мер до ввода в эксплуатацию информационной системы персональных данных (одним из способов оценки эффективности мер может быть добровольная аттестация);

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер реагирования;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

В последней редакции появилась информация о том, что Правительство Российской Федерации устанавливает уровни защищенности персональных данных. Ранее системы классифицировались по классам (классификации будет уделено место в следующей статье). Также указано, что состав и содержание мер защиты определяет орган исполнительной власти, уполномоченный в области обеспечения безопасности (ФСБ), и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК), в пределах их полномочий.

Федеральные органы исполнительной власти, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы также могут определять угрозы безопасности персональных данных, актуальные для своей отрасли. А ассоциации, союзы и иные объединения операторов своими решениями вправе определить лишь дополнительные угрозы безопасности персональных данных, актуальные при осуществлении определенных видов деятельности.

Контроль и надзор за выполнением организационных и технических мер осуществляет ФСТЭК и ФСБ осуществляет следующим образом:

1. для государственных систем:

«Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных».

1. Для негосударственных систем формулировка мягче:

«Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных».

Вопросу подачи уведомления об обработке персональных данных посвящена 22 статья. Уведомление не подается в следующих случаях:

1) ПДн обрабатываются в соответствии с трудовым законодательством;

2) ПДн получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, при этом персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) ПДн относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) ПДн сделаны субъектом персональных данных общедоступными;

5) ПДн включают в себя только фамилии, имена и отчества субъектов персональных данных;

6) ПДн необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) ПДн включены в государственные автоматизированные информационные системы, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) ПДн обрабатываются без использования средств автоматизации;

9) ПДн обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.

Обозначены обязательные сведения, которые необходимо отразить в уведомлении. В 2011 году был добавлен пункт о лице, ответственном за организацию обработки персональных данных, а также пункт о сведениях об обеспечении безопасности персональных данных. Также стоит отметить, что введена новая статья 22.1 об ответственном лице, указаны его функции:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

В 23 статье говорится об уполномоченном органе по защите прав субъектов персональных данных, которым в нашей стране является Роскомнадзор. 24-я статья посвящена ответственности за нарушения: предусмотрена гражданская, уголовная, административная и дисциплинарная ответственность. Также в 2011 году определена необходимость возмещения морального вреда.

Итак, мы рассмотрели основные положения ФЗ «О персональных данных». Темой следующей части статьи станет классификация систем персональных данных и моделирование угроз.

 

[MISTER "X"]

3. Классификация информационных систем персональных данных
В первой части статьи был приведен перечень нормативной документации по защите личной информации, во второй – речь шла о законе «О персональных данных», теперь давайте остановимся на классификации информационных систем персональных данных.
Чтобы определить меры и средства защиты ПДн, нужно правильно классифицировать систему. К сожалению, до сих пор во многих организациях руководствуются устаревшими требованиями, давайте разберемся, что было и что стало.
Сразу оговорюсь – все, что касается криптографической защиты персональных данных, останется за рамками рассмотрения данной статьи и будет рассмотрено в части 4. А сегодня мы остановимся на следующих нормативно-правовых актах:

1. Приказ трех: Приказ ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 г. № 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных» – отменен. Документ утратил силу – приказ ФСТЭК РФ N 151, ФСБ РФ N 786, Минкомсвязи РФ N 461 от 31.12.2013.
2. Четверокнижие: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) – Документ опубликован не был.
3. Четверокнижие: Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных – Документ опубликован не был. Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России 16 ноября 2009 г.
4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» – отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 18 февраля 2013 г. № 21.
5. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» – действует.
6. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» – действует.

Приказ трех
В 2008 году был утвержден Приказ ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», который специалисты коротко назвали «Приказ трех». Согласно этому Приказу на класс системы персональных данных влияли:

1. Категория ПДн – хпд;
2. Объем ПДн (количество субъектов) – хнпд;
3. Заданные оператором характеристики безопасности;
4. Структура ИС;
5. Наличие подключений ИС к сетям связи общего пользования и (или) международного обмена;
6. Режим обработки персональных данных;
7. Режим разграничения прав доступа пользователей ИС;
8. Местонахождение технических средств ИС.

Категорий выделялось четыре:
персональные данные специальной категории (национальная принадлежность, религиозные взгляды, состояние здоровья и т.д.),

• ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию,
• персональные данные, предназначенные для идентификации субъекта,
• обезличенные и общедоступные ПДн.

Стоит отметить, что в настоящее время системы не классифицируются по возможности идентификации субъекта, но на уровень защищенности (аналог класса) влияет тип данных.
По объему информационные системы персональных данных классифицировались следующим образом:

1. – в ИС количество субъектов более 100000 или данные в пределах субъекта РФ или РФ в целом.
2. – в ИС одновременно обрабатываются ПДн от 1000 до 100000 субъектов ПДн или ПДн субъектов, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования.
3. – в ИС одновременно обрабатываются ПДн менее чем 1000 субъектов ПДн или субъектов в пределах конкретной организации.

На сегодняшний день объем персональных данных также имеет значение при классификации, однако теперь градация упрощенная – менее 100000 и более 100000 субъектов.
Под заданными характеристиками понималось разделение на типовые и специальные системы. В типовых системах должна быть обеспечена только конфиденциальность. В специальных системах – защита не только конфиденциальности, но и от других угроз (уничтожения, изменения, блокирования или другого НСД), к таким ИСПДн в обязательном порядке относятся, например, системы здравоохранения. В настоящий момент подобная классификация не используется.
А вот разделение на автономные ИС, ЛВС и ЛВС с удаленным доступом, которое в приказе трех влияло на класс системы, является актуальным до сих пор – для определения возможных угроз и уточнения дополнительных требований к системе защиты.
Класс типовой системы присваивался исходя из негативных последствий, к которым могло привести нарушение заданных характеристик безопасности. Всего выделялось 4 класса.
К1 – нарушение заданных характеристик приводит к значительным негативным последствиям.
К2 – нарушения приводят к негативным последствиям.
К3 – незначительные негативные последствия.
К4 – не приводит к негативным последствиям.
Класс ИСПДн по Приказу трех

Класс пересматривался оператором самостоятельно, а также по результатам проверки контролирующими органами.
Четверокнижие
Базовая модель: перечень угроз
Классификация по приказу трех была возможна только для типовых систем, класс специальной ИСПДн определялся на основе частной модели угроз в соответствии с 781 Постановлением Правительства. Этот документ не был утвержден в Минюсте, но применялся операторами в обязательном порядке.
В Базовой модели угрозы классифицируются следующим образом:

1. По виду защищаемой информации
2. По видам возможных источников угроз безопасности персональных данных (УБПДн).
3. По типу информационной системы персональных данных (ИСПДн), на которую направлена реализованная УБПДн.
4. По способу реализации УБПДн.
5. По типу ИСПДн, на которую направлена реализуемая УБПДн.
6. По способу реализации УБПДн.
7. По виду нарушенного свойства информации.
8. По используемой уязвимости.
9. По объекту воздействия.

Определены типовые модели угроз для различных случаев – сеть с удаленным доступом, автономная ПЭВМ и т.д. Можно рекомендовать данный документ для изучения специалистами, которые занимаются разработкой модели угроз впервые. Документ хоть и не имеет юридической силы, но общая классификация угроз, представленная в нем, во многом актуальна и по сей день.

Методика определения актуальных угроз
Согласно задумке авторов четверокнижия, после составления списка всех возможных угроз, нужно определить их актуальность, используя положения Методики актуальных угроз. Порядок определения актуальных угроз следующий:

На основании технических и эксплуатационных характеристик ИСПДн определятся показатель исходной защищенности (У1). При расчете показателя учитывается объем, категория данных, наличие подключений и т.д. Показатель исходной защищенности может принимать значение 0, 5 и 10.

1. Экспертным путем определяется частота (вероятность) реализации угрозы (У2), величина может принимать одно из четырех эмпирических значений: маловероятно, низкая вероятность, средняя вероятность, высокая вероятность, которым ставятся в соответствие количественные показатели 0, 2, 5 и 10.
2. На основании вычисленных значений У1 и У2 определяется коэффициент реализации угрозы: У=(У1+У2)/20. Определены 4 категории: 0<=У<=0,3; 0,3<=У<=0,6; 0,6<=У<=0,8; У>0,8, которым в соответствие ставится качественный показатель: низкая, средняя, высокая или очень высокая возможность реализации угрозы.
3. Затем оценивается опасность каждой угрозы: низкая, средняя, высокая.
4. На последнем этапе по специальной таблице, строки которой – возможность реализации угрозы, столбцы – показатель опасности угрозы, определяется актуальность каждой угрозы.

На мой взгляд, данная методика может быть полезна операторам, так как по новым требованиям ФСТЭК требует определить актуальные угрозы, но каким образом это сделать, не поясняет. Здесь же приведены довольно простые правила анализа, если изменить параметры, по которым происходит оценка в соответствии с требованиями нового законодательства, вполне можно применять приведенную выше схему определения актуальности угроз.
Приказ ФСТЭК 58
Чтобы не нарушать хронологию стоит упомянуть данный нормативно-правовой акт, который пришел на смену четверокнижию в 2010-м году и был отменен в 2013-м. В приказе ФСТЭК № 58 классификации был посвящен всего один абзац:
Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с

Для просмотра ссылки необходимо нажать Вход или Регистрация

проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20.
Постановление 1119
На этом экскурс в историю в части классификации и моделирования угроз для информационных систем персональных данных можно считать оконченным. Давайте посмотрим, каким образом классифицируются ИСПДн сегодня.
В Постановлении 1119 выделяются 4 типа ИС:
ИС, обрабатывающая специальные категории – данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
ИС, обрабатывающая биометрические данные – данные, характеризующие физиологические и биометрические особенности человека.
ИС общедоступные – только общедоступные данные.
ИС, обрабатывающая иные данные – если нет специальных, биометрических, общедоступных данных.
Также каждая из информационных систем может быть ИС, обрабатывающей персональные данные сотрудников, если все без исключения субъекты – работники организации.
В Постановлении дается понятие актуальных угроз:
Актуальные угрозы – совокупность условий и факторов, создающих актуальную опасность несанкционированного доступа к ПДн при их обработке в ИС, результатом которых могут стать уничтожение, блокирование, изменение, копирование, предоставление, раскрытие ПДн и иные направленные действия.
Рассматриваются исключительно угрозы трех типов:
Угрозы 1-го типа – угрозы, связанные с НДВ в системном программном обеспечении.
Угрозы 2-го типа – НДВ в прикладном программном обеспечении.
Угрозы 3-го типа – НДВ в системном и прикладном ПО, используемом в информационной системе.
Определение типа актуальных угроз безопасности персональных данных, производится оператором с учетом оценки возможного вреда.
Уровень защищенности определяется исходя из следующих характеристик системы [1]:
Актуальные угрозы (1-й, 2-й, 3-й тип).

1. Тип данных (биометрия, специальные категории, общедоступные ПДн и иные данные).
2. Количество субъектов (менее 100.000, более 100.000 субъектов).
3. Тип субъекта – сотрудник и не сотрудник.

Всего определено 4 уровня защищенности УЗ1-УЗ4, которые никак не связаны с существовавшими раньше классами К1-К4.
Приказ ФСТЭК 17
Персональные данные входят в понятие сведений конфиденциального характера, а, значит, на них распространяются требования, предъявляемые к защите информации ограниченного доступа, не составляющей государственную тайну. Для государственных информационных систем в 2013-м году ФСТЭК был издан Приказ 17, который определяет требования к защите информации, не составляющую государственную тайну в государственных информационных системах. Настоящие Требования применяются наряду с

Для просмотра ссылки необходимо нажать Вход или Регистрация

к защите персональных данных, утвержденными постановлением Правительства № 1119. По своему желанию ими могут руководствоваться операторы негосударственных информационных систем.
В данном приказе устанавливаются четыре класса защищенности: самый высокий 1-й, самый низкий 4-й. Класс определяется в зависимости от уровня значимости (УЗ – не путать с уровнем защищенности (УЗ) из Постановления 1119).
Класс защиты (К) = [уровень значимости информации; масштаб системы].
Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.
УЗ=[(конфиденциальность, степень ущерба), (доступность, степень ущерба), (целостность, степень ущерба)].
Определены три степени возможного ущерба:
Высокая – существенные негативные последствия и (или) оператор не сможет выполнять возложенные функции.
Средняя – негативные последствия и (или) невозможность выполнять одну функцию.
Низкая – незначительные негативные последствия и (или) выполнение функций с недостаточной эффективностью.
Уровень значимости определяется на основании следующих правил:
УЗ1 –высокая степень ущерба для конфиденциальности и(или) целостности, и (или) доступности.
УЗ2 – хотя бы одна средняя и ни одной высокой оценки.
УЗ3 – для всех угроз низкий уровень ущерба.
УЗ4 – если уровень ущерба не определяется.
Масштаб системы:
Федеративная – сегменты в субъектах.
Рациональная – на территории региона.
Объектовая – на объектах одного федерального органа, органа государственной власти.
Исходя из определенного уровня значимости и масштаба системы, определяется ее класс:

Несмотря на то, что классы обозначаются К1-К4, ничего общего с классами К1-К4 из приказа трех они не имеют.

Итак, мы рассмотрели нормативно-правовые акты, в которых раскрываются особенности классификации информационных систем персональных данных, как устаревшие, так и действующие. Теперь рассмотрим, как это будет выглядеть на примере:
Возьмем ИСПДн организации, обладающей следующими характеристиками:

1. Объем базы – 500 субъектов.
2. Характеристики безопасности, которые необходимо поддерживать – конфиденциальность.
3. Тип данных – ФИО, должность, информация о документе, удостоверяющем личность, данные об образовании, фактический адрес и адрес по прописке для сотрудников; ФИО, адрес и степень родства для родственников.
4. Субъекты – сотрудники, родственники сотрудников.
5. Меры безопасности – установлена сертифицированная операционная система.

Класс по «Приказу трех» для типовых систем (а наша система типовая, т.к. необходимо поддерживать только конфиденциальность) определяется по специальной таблице. Учитывается объем и категория данных. В нашем случае объем – 3 (в ИС одновременно обрабатываются ПДн менее чем 1000 субъектов), категория 2 (ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию). Класс ИСПДн: К3.
Уровень защищенности по Постановлению 1119. В ИСПДн обрабатываются иные данные сотрудников и их родственников в количестве менее 100.000. Актуальными являются угрозы 2-го типа, так как системное программное обеспечение сертифицировано по требованиям безопасности. Уровень защищенности определяется по таблице – в нашем случае УЗ3.
Класс по 17 Приказу ФСТЭК. Масштаб системы – объектовый. Степень возможного ущерба – низкая (УЗ3). Таким образом, класс системы К3.
Безусловно, приведенные оценки довольно приблизительные, т.к. для более точного определения класса оператору нужно построить модель угроз. Класс ИСПДн (уровень защищенности) влияет на выбор мер и средств обеспечения информационной безопасности, а значит, и на стоимость системы защиты информации. Занижение класса приводит к появлению уязвимостей, что может послужить причиной утечки персональных данных. В обратном случае – при завышении класса – оператор несет неоправданные расходы. Существующее законодательство предлагает инструменты оценки, а как ими воспользоваться – решать специалистам.

Темой обсуждения в четвертой части публикации станет криптографическая защита персональных данных…

 

[MISTER "X"]

4. Криптография
В первой части был приведен общий перечень нормативной документации по информационной безопасности, во второй – дан краткий анализ закона «О персональных данных», в третьей – рассмотрен вопрос классификации ИСПДн. Четвертая часть посвящена криптографическим мерам защиты.

В 22 статье закона «О персональных данных» сказано о необходимости предоставления в Роскомндазор информации об использовании криптографических средств защиты. В документах ФСТЭК и Постановлениях Правительства не рассматриваются вопросы криптографии, эти требования находятся в ведении ФСБ России.



Честно признаюсь, что написание четвертой части далось мне сложнее, чем трех предыдущих – если вопрос защиты персональных данных по требованиям ФСТЭК достаточно изучен, то требования ФСБ остаются до сих пор загадкой для многих специалистов. Почему так происходит? Причин несколько:

1. Необязательное применение средств шифрования операторами.
2. Сложная для понимания нормативная база.
3. Отсутствие разъяснений к документам со стороны регулятора.
4. Страх операторов навлечь на себя дополнительные проверки при использовании криптографии.

Но, несмотря на все трудности, без криптографической защиты не обойтись при передаче персональных данных по незащищенному каналу связи, сюда входит, например, удаленная работа сотрудников с базой данных клиентов, обмен информацией между филиалами и головным офисом, передача личной информации работников третьим лицам. В том или ином виде подобные задачи присутствуют практически в каждой организации.
Давайте разберем в общих чертах нормативную базу по этому вопросу. Можно выделить три основных документа по криптографической защите персональных данных в Российской Федерации:
1. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 – Документ официально опубликован не был.
2. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 - Документ официально опубликован не был.
3. Приказ ФСБ № 378 от 10 июля 2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Зарегистрировано в Минюсте России 18 августа 2014г.
Методические рекомендации
Документ был принят еще во времена действия «старых» документов ФСТЭК («четверокнижия», 58-го Приказа, 781 Постановления Правительства) и дополнял их содержание. Стоит отметить, что рассматриваемый нормативный документ не был зарегистрирован в Минюсте, на сегодняшний день статус его непонятен. Скорее всего, в связи с изданием Приказа 378 Методические рекомендации свою актуальность потеряли. Однако я хочу кратко остановиться на содержании документа, чтобы было понятно, как исторически развивались требования к системам шифрования.

Требования вышеуказанного документа (а также других нормативных актов в области криптографической защиты ПДн) не распространяются на следующие случаи:

1. Обработка персональных данных без использования средств автоматизации;
2. Работа с персональными данными, составляющими государственную тайну;
3. Использование технических средств, расположенных за пределами РФ.

В документе сказано, что в случае использования средств криптографической защиты, нужно разрабатывать модель угроз по требованиям как ФСТЭК, так и ФСБ (за редким исключением). Операторы могут сами составлять модели угроз и нарушителя, лишь при необходимости привлекая лицензиатов ФСБ. Все угрозы в документе делятся на атаки и угрозы, не являющиеся атаками, приведены примеры распространенных угроз. Вы можете руководствоваться Методикой как справочным материалом при написании модели по новым требованиям.
Модель угроз верхнего уровня определяет характеристики безопасности ПДн и других объектов защиты. В детализированной модели угроз обозначены требуемые условия криптозащиты. На модель угроз влияют различные факторы: условия создания и использования ПДн, формы представления ПДн, характеристики безопасности и т.д. Кроме привычных характеристик: целостности, конфиденциальности и доступности выделяют также неотказуемость, учетность, аутентичность и адекватность.

Пример модели угроз верхнего уровня:

1. Угроза конфиденциальности персональных данных.

2. Угроза целостности персональных данных.

3. Угроза доступности персональных данных.

Документ посвящен не только вопросам формирования модели угроз, но и особенностям составления адекватной модели нарушителя. Все нарушения в Методических рекомендациях делятся на два класса: прямые и косвенные нарушения безопасности ПДн (угрозы, создающие условия для возникновения прямых угроз). Выделяется 6 основных типов нарушителей: Н1, Н2, Н3, Н4, Н5, Н6. Чем выше цифра, тем больше возможностей, нарушитель каждого следующего типа наследует возможности предыдущего. Оператор самостоятельно определяет уровень подготовки нарушителей, доступные им инструменты и делает предположение о сговоре. В документе указаны основные характеристики нарушителя каждого типа. Также определены 6 уровней криптозащиты: KC1, KC2, KC3, KB1, KB2, KA1 и 6 классов криптосредств с аналогичными названиями, в этом плане ничего не изменилось и по сей день. ИСПДн также разделяются на 6 классов, в зависимости от наивысшей категории нарушителя. АК1- если наивысшая категория нарушителя Н1, АК2-если Н2, АК3 – если Н3, АК4 – если Н4, АК5 – если Н5, АК6 – если Н6. Соответственно распределены средства криптозащиты: АК1 – КС1, АК2 – КС2, АК3 – КС3, АК4 – КВ1, АК5 – КВ2, АК6 – КА1.
Типовые требования
Типовые требования были написаны в тот же период, что и Методические рекомендации, не зарегистрированы в Минюсте, на сегодняшний день их статус непонятен. На мой взгляд, в документе содержится полезная для изучения информация. Подробно описаны обязанности пользователей криптосредств, обозначены основные правила для них:

• не допускать копирования ключевой информации;
• не разглашать информацию о ключах;
• не записывать на ключевые носители постороннюю информацию и т.д.

Описан процесс уничтожения ключа, основные требования к помещениям, представлены типовые формы журналов. На основании информации, содержащейся в документе можно построить некоторые полезные инструкции.
Приказ 378
Выхода 378 Приказа ждало все профессиональное сообщество и вот, наконец, он вступил в силу. На сегодняшний день это – главный документ в области криптографической защиты персональных данных, и его действие распространяется на все ИСПДн, в которых используются в качестве защиты криптографические СЗИ.
Приказом определены требования не только к криптографической защите, но и к режиму обеспечения безопасности помещений, порядок хранения носителей информации и другие организационные меры в зависимости от уровня защищенности системы. Отдельно указано, что оператору следует использовать СЗИ, прошедшие оценку соответствия – сертифицированные по требованиям безопасности. Защитные меры описаны очень подробно, включают в себя требования к оснащенности помещений (замки, приспособления для опечатывания, решетки на окна и т.д.).
В отличие от положений Методических рекомендаций в Приказе 378 класс СКЗИ определяется относительно уровня защищенности и актуального типа угроз. Возможности злоумышленника учитываются лишь при определении класса СКЗИ для 4 уровня защищенности.
Таблица 1. Класс СКЗИ

Зависимость от уровня защищенности и типа угроз достаточно очевидна, и, как мы видим, оператор почти всегда может выбрать класс СКЗИ из нескольких вариантов.
Документ отличается четкой логикой изложения – достаточно знать уровень защищенности своей системы – требования к ИСПДн каждого уровня представлены в отдельных разделах. Стоит отметить, что требования наследуются от более низких уровней к более высоким, ИСПДн 1-го уровня защищенности должна отвечать требованиям для ИСПДн 2-го, 3-го и 4-го уровней. На мой взгляд, разобраться с требованиями нового Приказа не составит труда даже начинающему специалисту.

Безусловно, в одной краткой статье невозможно определить все нюансы криптографической защиты персональных данных, да и нужно ли это делать? Мы разобрали здесь основные моменты, поняли логику документов, остальное – детали, которые можно изучить самостоятельно. А в пятой части будут рассмотрены не менее важные вопросы: определение требований к системе защиты персональных данных и выбор мер защиты.

 

[MISTER "X"]

Часть 5. Меры защиты
Первая часть статьи была посвящена обзору законодательства в области защиты персональных данных, во второй приводился анализ закона «О персональных данных». Третья часть затрагивала вопросы классификации ИСПДн, а четвертая – защиту личной информации с помощью криптографических средств. В пятой части будут рассмотрены основные меры защиты персональных данных.
В прошлых частях мы с вами разбирались с тонкостями законодательства, классифицировали систему и определяли класс криптографических средств, остался последний этап – определить меры защиты согласно требованиям нормативных документов. Перечень основных нормативно-правовых актов в этой области представлен ниже (также стоит учитывать отраслевые стандарты исходя из вида деятельности предприятия):

1. Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» – Документ утратил силу;
2. Приказ ФСТЭК РФ от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» – Документ утратил силу;
3. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных 15.02.2008 – Документ утратил силу;
4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных 15.02.2008 – Документ утратил силу;
5. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
6. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
7. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
8. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
9. Методический документ. Меры защиты информации в государственных информационных системах (утв. ФСТЭК России 11.02.2014).

Начнем разбираться с устаревших документов, чтобы понять историю вопроса, затем рассмотрим текущую нормативную базу.
Постановление 781
Этот нормативно-правовой акт вышел еще в 2007 году и в нем были закреплены первые требования к системе защиты персональных данных. Документы ФСТЭК появились чуть позже. В Постановлении указаны требования к защите компьютерной, а также речевой информации и информации в виде электро-магнитных сигналов. Упомянута необходимость обеспечения безопасности каналов связи, по которым передаются персональные данные. Очень важным пунктом является требование оценки соответствия СЗИ (другими словами, использования сертифицированных средств защиты). Вот откуда ноги растут – данное требование затем переходит из документа в документ.

Полезная информация, которую мы можем почерпнуть для себя – это перечень этапов работ по защите персональных данных:

1. Определение угроз и построение модели угроз.
2. Разработка системы защиты информации.
3. Проверка готовности СЗИ к использованию.
4. Установка и ввод в эксплуатацию СЗИ.
5. Обучение лиц, использующих СЗИ.
6. Учет СЗИ.
7. Учет лиц, допущенных к работе.
8. Разбирательства.
9. Описание системы защиты информации.

Еще одно важное требование, которое сохраняется и сейчас – необходимость ведения электронного журнала запросов к персональным данным.

Приказ 58

Во исполнение требований Постановления Правительства № 781 был издан Приказ ФСТЭК № 58, в котором перечислены конкретные методы и способы защиты информации от НСД. Естественно, криптография осталась за скобками. Основные требования сохраняются до сих пор, например, при взаимодействии ИСПДн с сетью нужен межсетевой экран, антивирусное средство. Указаны меры и средства защиты от утечки по техническим каналам. В Приказе 58 определена необходимость контроля на НДВ для средств защиты в ИСПДн 1 класса. В новых документах ФСТЭК это требование ужесточается. В приложении приведены методы и способы защиты информации для каждого класса, которые разделены по следующим направлениям:

1. Управление доступом;
2. Регистрация и учет;
3. Обеспечение целостности.

Очень подробно указаны настройки межсетевого экрана – каким образом должна происходить фильтрация. Полезно проглядеть этот документ для формирования обобщенного перечня направлений защиты.

Основные мероприятия

Этот документ является частью «четверокнижия» ФСТЭК и в данный момент не действует. Большое внимание уделяется терминам и определениям, ориентироваться на которые стоит с осторожностью, все-таки терминология закона «О персональных данных» претерпела значительные изменения с 2008 года. К основным мерам обеспечения безопасности относится классификация ИСПДн, непосредственная установка и настройка СЗИ, прошедших процедуру оценки соответствия.

Указаны 3 стадии создания системы защиты персональных данных (СЗПДн):

• предпроектная;
• стадия проектирования;
• стадия ввода в действие.

По результатам предпроектной стадии пишется ТЗ или ЧТЗ на систему защиты. Несмотря на то, что сейчас нет законодательного требования обязательного наличия этих документов, на мой взгляд, составить техническое задание все же стоит.

В документе подробно расписаны меры для каждого класса, эти положения можно смело опускать. В качестве самого интересного я бы выделила следующее:

1. Обязательная сертификация (аттестация) по требованиям безопасности информации систем 1 и 2 класса, декларирование соответствия требований безопасности информации для 3 класса и оценка соответствия по решению оператора для 4 класса. В настоящий момент аттестация обязательна для государственных информационных систем.
2. Обязательная лицензия по технической защите конфиденциальной информации – это требование для негосударственных органов явно нигде не фигурирует в настоящий момент.

Документ охватывает широкий спектр вопросов и полезен как «источник вдохновения» для продумывания мер защиты.

Рекомендации
Основной смысл рекомендаций – устаревшие меры, нам с вами это ни к чему. Но есть один интересный фрагмент, посвященный ущербу. Как мы помним, оператор по новым правилам должен самостоятельно оценивать вред, который может быть причинен субъекту в результате утечки информации, методика же на сегодняшний день отсутствует. Поэтому даже пара фраз из устаревшего документа может пригодиться.

Ущерб может быть двух видов непосредственный и опосредованный. Непосредственный – физический, материальный, финансовый, моральный вред непосредственно субъекту ПДн; возникновение незапланированных непроизводительных финансовых или материальных затрат субъекта, потери субъектом свободы действий, нарушение конституционных прав и свобод. Опосредованный – причинение вреда обществу и (или) государству в результате нарушения деятельности организаций.

Постановление Правительства 1119
Вот мы и подошли к действующему законодательству. В третьей части статьи Постановление 1119 рассматривалось в контексте классификации ИСПДн. Но в документе также содержатся требования к каждому уровню защиты.

Требования к более высокому уровню включают требования к уровням более низкого уровня.
4 уровень:
Безопасность помещений;

1. Сохранность носителей;
2. Перечень лиц, имеющих доступ к ПДн;
3. Использование СЗИ, прошедших процедуру оценки соответствия (в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз).

3 уровень (+ требования к 4 уровню):

1. Назначено ответственное лицо за обеспечение безопасности.

2 уровень (+ требования к 3 и 4 уровню):

1. Ограниченный доступ к электронному журналу.

1 уровень (+ требования ко 2, 3 и 4 уровню):

1. Регистрация изменений полномочий сотрудника, имеющего доступ к ПДн;
2. Ответственное за безопасность ПДн подразделение.

Важно! Если в старых документах проводить манипуляции с системой защиты можно было только лицензиатам, то теперь осуществлять контроль оператор может самостоятельно.
Приказ ФСТЭК 21
На замену Приказа 58 пришел Приказ 21, в котором определяются конкретные требования к системе безопасности.
Состав мер следующий:

1. Идентификация и аутентификация;
2. Управление доступом;
3. Ограничение программной среды;
4. Защита машинных носителей;
5. Регистрация событий безопасности;
6. Антивирусная защита;
7. Обнаружение вторжений;
8. Контроль защищенности ПДн;
9. Обеспечение целостности ИС и ПДн;
10. Обеспечение доступности ПДн;
11. Защита среды виртуализации;
12. Защита технических средств;
13. Защита информационных систем, ее средств, систем связи, передачи данных;
14. Выявление инцидентов;
15. Управление конфигурацией ИС и СЗПДн.

Определены основные этапы работы:

1. Определение базового набора мер;
2. Адаптация базового набора;
3. Уточнение адаптированного базового набора;
4. Дополнение уточненного адаптированного набора мер.

Дополнительные меры включают в себя следующее:
Проверка системного и прикладного ПО на НДВ.

1. Тестирование ИС на проникновение.
2. Использование ПО, разработанного с использованием методов защищенного программирования.

С учетом экономической целесообразности могут применяться компенсирующие меры, но для этого должно быть приведено обоснование.
Документ определяет классы СВТ, классы системы обнаружения вторжений (СОВ), антивирусной защиты, классы МЭ в зависимости от уровня защищенности (Таблица 1).
Таблица 1. Требования к СЗИ (Приказ 21 ФСТЭК)

В приложении представлена таблица соответствия мер и уровней защищенности. Меры, не обозначенные «+» и применяются как дополнительные.



Приказ ФСТЭК 17

Требования документа предназначены для государственных информационных систем, остальные могут использовать приказ по желанию. Указано, что внешняя организация с лицензией привлекается при необходимости (такой необходимостью будет являться отсутствие лицензии у оператора). Также необходимо использовать СЗИ, прошедших оценку соответствия в форме обязательной сертификации.

Меры защиты как организационные, так и технические направлены на исключение основных видов угроз:

1. Неправомерность доступа, копирование и распространение информации.
2. Неправомерность уничтожения и модификации.
3. Неправомерность блокирования информации.

Меры для ИС 1 класса – блокирование угроз нарушителем с высоким потенциалом. Меры для ИС 2 класса – блокирование угроз нарушителя с потенциалом не ниже среднего. Меры для 3 и 4 класса – нарушители с низким потенциалом. Потенциал нарушителя определяется в ходе оценки его возможностей, проводимый при определении угроз безопасности. Этапы работы по созданию СЗПДн следующие:

1. Формирование требований.
2. Разработка системы защиты информационной системы.
3. Внедрение системы защиты информации ИС;
4. Аттестация ИС по требованиям защиты информации и ввод ее в действие;
5. Обеспечение защиты информации при выводе из эксплуатации.

Требования зависят от класса защищенности ИС и угроз безопасности информации. Требования определяются в соответствии с ГОСТ Р ИСО/МЭК 27001, разработка системы защиты информации производится с учетом ГОСТ 34.601 «ИТ. Комплекс стандартов на АС», ГОСТ 51583, ГОСТ Р 51624.
Проводится анализ уязвимостей, по результатам дорабатывается модель угроз. Для государственных информационных систем аттестация обязательна.
Исходными данными при создании СЗПДн являются:

1. Модель угроз безопасности информации.
2. Акт классификации ИС.
3. Техническое задание или ЧТЗ.
4. Проектная и эксплуатационная документация.

Результатом работы должны быть протоколы аттестационных испытаний, заключение о соответствии требованиям ОЗИ и аттестат соответствия в случае положительных испытаний (а также другие документы, которые разрабатываются при проведении процедуры аттестации).
Описаны общие меры, такие как управление учетками пользователей, установка обновлений, регистрация и анализ событий, информирование об угрозах безопасности, сопровождение системы защиты. В случае невозможности реализовать конкретную меру, реализуется компенсирующая мера. При выводе из эксплуатации необходимо осуществлять архивирование и уничтожение.
Система защиты информации должна обеспечивать:

1. Идентификация и аутентификация субъектов и объектов доступа.
2. Управление доступом субъектов доступа к объектам доступа.
3. Ограничение программной среды.
4. Защита машинных носителей информации.
5. Регистрация событий безопасности.
6. Антивирусная защита.
7. Обнаружение (предотвращение) вторжений
8. Контроль (анализ) защищенности.
9. Целостность ИС и информации.
10. Доступность информации.
11. Защита среды виртуализации.
12. Защита технических средств.
13. Защита ИС, ее средств, систем связи и передачи данных

Ниже представлены классы СВТ, классы системы обнаружения вторжений (СОВ), антивирусной защиты, классы МЭ в зависимости от класса (Таблица 2).

Таблица 2. Требования к СЗИ (Приказ 17 ФСТЭК)

Соответствие класса и уровня представлено ниже (Таблица 3):
Таблица 3. Соответствия класса и уровня

Постановление Правительства 211

Документ предназначен для государственных и муниципальных органов. В нем представлены следующие основные мероприятия:

1. Назначение ответственного лица;
2. Утверждение необходимой документации: правила обработки данных, правила работы с обезличенными данными, перечень ИСПДн и т.д.;
3. Организационные и технические меры в соответствии с требованиями Постановления 1119;
4. Выполнение требований 687 Постановления Правительства;
5. Проведение периодических проверок;
6. Ознакомление работников;
7. Уведомление в Роскомнадзор;
8. Обезличивание.

Самое интересное – в документе приведен перечень документов, которые необходимо разработать, можно позаимствовать его и не мучиться с формулировками названий.

Меры защиты в государственных информационных системах

В этом многостраничном документе указаны детализированные требования 17 приказа ФСТЭК. Меры защиты определены исходя из класса, который определяется одновременно с уровнем защищенности. Указано, как адаптировать набор мер защиты. Подробно рассмотрены характеристики мер защиты информации, приведенных в 17 приказе. Содержится информация об усилении мер защиты применительно к каждому классу. В таблице указаны основные и усиленные меры. Весьма полезный документ для понимания положений 17 приказа.

Вот, в общем-то, вкратце и все требования. Меры защиты персональных данных практически не меняются, хотя одни документы сменяют другие. Основные требования остаются и переходят из документа в документ, хотя мы можем наблюдать некоторые послабления. Это касается требований аттестации и привлечения лицензиатов.

В шестой заключительной части мы с вами рассмотрим перспективы изменения законодательства в области защиты персональных данных.
Ожидайте в будущем.