Основные этапы обработки и защиты персональных данных

Лекция 3 ОСНОВНЫЕ ЭТАПЫ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 3.1 Состав мероприятий по приведению информационных систем и процессов обработки персональных данных в соответствие с требованиям законодательства о персональных данных Согласно ст. 18 и 19 Федерального закона «О персональных данных», для обеспечения безопасности ПДн Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом. Основные мероприятия по приведению информационных систем и процессов обработки персональных данных в соответствие с требованиями законодательства о персональных данных можно разделить на три этапа: 1. Подготовительный этап – подготовка уведомления в Роскомнадзор, разработка необходимых внутренних документов, инструкций, регламентов работы с ПДн и др. 2. Основной этап – внедрение средств защиты информации, настройка, обучение пользователей и т. д. 3. Заключительный этап – эксплуатация системы защиты ПДн, контроль исполнения инструкций и регламентов и т. д. Данный перечень этапов и мероприятий не является полным или обязательным к исполнению. Он позволяет получить представление о тех работах, которые могут быть проведены Оператором для приведения своих информационных систем персональных данных в соответствие с требования законодательства. Окончательный перечень реализуемых мероприятий определяется Оператором самостоятельно, либо совместно с организацией, оказывающей услуги по приведению информационных систем Оператора в соответствие с требованиями законодательства. Каждый этап включает в себя ряд мероприятий. Далее рассмотрим перечисленные этапы более подробно. Подготовительный этап 1. Уведомление в Уполномоченный орган по защите прав субъектов персональных данных. Оператор до начала обработки ПДн обязан уведомить Уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 статьи 22. Данное уведомление является основанием для рассмотрения вопроса о внесении сведений об Операторе в Государственный реестр Операторов, осуществляющих обработку персональных данных. Уведомление об обработке персональных данных, направляется Оператором в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Для удобства Операторов на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в разделе «Портал персональных данных уполномоченного органа по защите прав субъектов персональных данных» размещены Реестр Операторов и электронные формы заявлений (электронной уведомление и информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных). Там же можно проверить состояние уведомления об обработке персональных данных. Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) находится по адресу http://rkn.gov.ru/. Портал персональных данных на официальном сайте Роскамнадзора находится по адресу http://pd.rkn.gov.ru/. Реестр Операторов находится по адресу http://pd.rkn.gov.ru/operators-registry/operators-list/. Электронные формы заявления находятся по адресу http://pd.rkn.gov.ru/operators-registry/notification/. Заполнив электронную форму уведомления об обработке персональных данных, Оператор может отправить его через Портал персональных данных на сайте Роскамнадзова. Но в любом случае уведомление необходимо распечатать, заверить подписью ответственного лица и печатью Оператора и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора. 2. Назначение ответственного за соблюдение обязательных требований в сфере обработки ПДн. В качестве одной из мер по выполнению Оператором обязанностей, предусмотренных Федеральным законом ФЗ-152 «О персональных данных» указывается назначение Оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных. Ответственный назначается приказом руководителя организации – Оператора. Для обеспечения деятельности ответственного за организацию обработки персональных данных Оператор утверждает должностные инструкции, которые должны включать разделы, определяющие функции и обязанности, права, и ответственность за исполнение данных функций и обязанностей. В соответствии с пунктом 4 статьи 22.1, лицо, ответственное за организацию обработки ПДн, обязано: • осуществлять внутренний контроль за соблюдением законодательства РФ о ПДн и требований к защите ПДн; • доводить до сведения работников положения законодательства РФ о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн; • организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. 3. Предпроектное обследование (внутренняя проверка, аудит) ИСПДн. В рамках этого этапа проводится обследование существующих информационных систем и организационно-распорядительных документов Оператора, регламентирующих обработку и защиту персональных данных. Целями проведения обследования являются: • выявление существующих информационных систем и категорий обрабатываемых персональных данных; • анализ технологии обработки персональных данных, используемых технических средств, структуры сети; • оценка текущего уровня защищенности информационных систем и выявление угроз безопасности персональных данных; • определение необходимых мероприятий для приведения информационных систем в соответствие требованиям. Предпроектное обследование информационных систем персональных данных, как правило, проводится комиссией, назначаемой приказом руководителя организации – Оператора. В состав комиссии могу войти назначенный ответственный за организацию обработки персональных данных, руководители и специалисты подразделений, в ведении которых находятся информационные системы, руководители и специалисты подразделений, осуществляющих сопровождение информационных технологий и систем обеспечения безопасности. Приказ руководителя устанавливает состав комиссии, её полномочия, сроки проведения предпроектного обследования, а так же перечень документов, которые должны быть подготовлены по результатам проведения предпроектного обследования. При проведении предпроектного обследования комиссия изучает документацию на существующие информационные системы Оператора, опрашивает сотрудников Оператора и, при необходимости, использует инструментальные (программные и программно-аппаратные) средства для сбора информации о конфигурации технических средств и составе системного и прикладного программного обеспечения информационных систем. По результатам предпроектного обследования комиссия подготавливает ряд документов, в состав которых входят: • Перечень персональных данных, подлежащих защите. • Перечень информационных систем персональных данных. • Модель угроз безопасности персональных данных. • Отчет об обследовании (о внутренней проверке). Полученные при проведении предпроектного обследования результаты могут содержать рекомендации по изменению состава, структуры информационных систем, состава обрабатываемых персональных данных, усовершенствованию системы защиты персональных данных. Результаты, полученные при проведении предпроектного обследования, используются на последующих этапах – при подготовке технического задания и проекта системы защиты персональных данных Оператора. 4. Получение письменного согласия субъектов персональных данных на обработку их ПДн. Одним из условий обработки персональных данных является ее осуществление с согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 9 ФЗ-152 «О персональных данных». До начала обработки персональных данных Оператор должен определить, является ли получение согласия на обработку персональных данных в его информационных системах обязательным, принять решение о том, в какой форме необходимо получать согласие. Выбор формы получения согласия на обработку персональных данных определяется необходимостью доказательства получения согласия Оператором в случае жалобы со стороны субъекта персональных данных или проверки со стороны Роскомнадзора. Указанные решения оформляются внутренним локальным актом Оператора. Таким документом может быть «Положение по обработке персональных данных», «Политика обработки персональных данных», «Регламент обработки персональных данных» или другой документ. Если в соответствии с ФЗ-152 «О персональных данных» согласие на обработку персональных данных должно быть получено в письменной форме, Оператор должен разработать и утвердить форму согласия, соответствующую требованиям ФЗ-152. В крупных организациях, осуществляющих обработку больших объёмов персональных данных, имеющих несколько информационных систем персональных данных или обрабатывающих персональные данные с различными целями, может разрабатываться «Регламент получения согласия на обработку персональных данных». Данный документ должен описывать форму и порядок получения согласия в каждом конкретном случае. 5. Разработка организационно-распорядительных документов. В качестве одной из мер по выполнению Оператором обязанностей, предусмотренных Федеральным законом ФЗ-152 «О персональных данных» указывается издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Состав организационно-распорядительных документов у различных Операторов может значительно различаться. Обобщенный состав организационно-распорядительных документов представлен на следующем рисунке. Рис. 3.1 – Состав организационно-распорядительных документов Приведём примеры некоторых организационно-распорядительных документов, которые могут быть разработаны, утверждены и внедрены Оператором. Приказы • приказ о назначении ответственного за организацию обработки персональных данных; • приказ о назначении ответственного за обеспечение безопасности ПДн; • приказ о составе комиссии по проведению предпроектного обследования информационных систем ПДн; • приказ о назначении администраторов безопасности системы защиты ПДн; • приказ об утверждении мест хранения материальных носителей ПДн; • приказ о назначении комиссии по уничтожению документов с ПДн. Инструкции • инструкция по порядку учета и хранению съемных носителей ПДн; • инструкция, определяющая порядок охраны, внутриобъектовый режим и порядок допуска лиц в помещения, в которых ведется обработка конфиденциальной информации, в том числе ПДн; • инструкция администратора, пользователя информационной системы ПДн; • инструкция администратора системы защиты информационной системы ПДн. Положения • положение о порядке обработки и обеспечении безопасности ПДн; • положение о подразделении, осуществляющем функции по организации защиты ПДн; • положение о резервировании и восстановлении работоспособности технических средств и программного обеспечения, баз данных и средств СЗПДн. Руководства • руководство пользователя по эксплуатации технических и программных средств защиты конфиденциальной информации; • руководство администратора по эксплуатации технических и программных средств защиты конфиденциальной информации; • руководство пользователя по обеспечению безопасности ИСПДн; • руководство администратора по обеспечению безопасности ИСПДн. Журналы • журнал учета бумажных и съемных носителей ПДн; • журнал регистрации и учета обращений субъектов ПДн; • журнал учета криптосредств, эксплуатационной и технической документации к ним; • журнал учета ключевых носителей. Перечни • перечень используемых сертифицированных технических средств защиты информации; • перечень сведений конфиденциального характера, подлежащих защите, в том числе ПДн и лист ознакомления к нему; • перечень информационных систем, обрабатывающих ПДн; • перечень эксплуатационной и технической документации, применяемых средств защиты информации. Акты • акт (отчёт) о проведении предпроектного обследования ИСПДн; • акт об уничтожении персональных данных субъекта персональных данных (в случае достижения цели обработки) (как в информационных системах, так и на бумажном носителе). Модели • модель нарушителя информационной безопасности; • частная модель угроз безопасности ПДн, обрабатываемых в информационных системах ПДн. Планы • план мероприятий по технической защите информации; • план мероприятий по защите персональных данных; • план внутренних проверок состояния защиты персональных данных; • планы устранения недостатков, выявленных в ходе проверок вопросов защиты информации. Данный перечень организационно-распорядительных документов не является полным или обязательным. Он позволяет получить представление о тех документах, которые могут быть разработаны, утверждены и внедрены Оператором. Окончательный перечень документов, подлежащих разработке, утверждению и внедрению, определяется по результатам предпроектного обследования и проектирования системы защиты персональных данных. 6. Установка сроков обработки ПДн и процедуры их уничтожения по окончании срока обработки. Статья 21 ч. 1. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. Статья 21 ч. 2. В случае подтверждения факта неточности ПДн оператор на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных. Статья 21 ч. 3. В случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки. В случае, если обеспечить правомерность обработки ПДн невозможно, оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Статья 21 ч. 4. В случае достижения цели обработки ПДн оператор обязан прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн. Статья 21 ч. 5. В случае отзыва субъектом ПДн согласия на обработку его ПДн оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва. 7. Определение порядка реагирования на запросы со стороны субъектов ПДн. Статья 20 ч. 1. Оператор обязан сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя. Статья 14 ч. 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1. подтверждение факта обработки персональных данных оператором, а также цель такой обработки; 2. способы обработки персональных данных, применяемые оператором; 3. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; 4. перечень обрабатываемых персональных данных и источник их получения; 5. сроки обработки персональных данных, в том числе сроки их хранения; 6. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. Статья 20 ч. 2. В случае отказа в предоставлении субъекту персональных данных информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 5 статьи 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных либо с даты получения запроса субъекта персональных данных. Статья 20 ч. 3. Оператор обязан безвозмездно предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к нему, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы. Статья 20 ч. 4. Оператор обязан сообщить в Роскомнадзор по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса. Основной этап 1. Разработка технического задания на создание системы защиты ПДн (СЗПДн). В соответствии с Приказом ФСТЭК № 21 от 18 февраля 2013 года «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных. Требования к создаваемой системе защиты персональных данных описываются в Техническом задании. Техническое задание разрабатывается на основании сведений, полученных на этапе предпроектного обследования, а так же в с учётом требований к защите персональных данных, представленных в нормативно-правовых актах, разработанных и утвержденных Правительством Российской Федерации, Федеральной службой безопасности, Федеральной службой по техническому и экспортному контролю. Техническое задание на создание системы защиты персональных данных должно включать: 1. требования к структуре, составу технических и организационных мер, включаемых в систему защиты персональных данных на основе результатов предпроектного обследования (аудита) ИСПДн; 2. перечень сертифицированных средств защиты информации, нейтрализующих актуальные угрозы безопасности ПДн, либо описание требований к разработке (производству) средств защиты; 3. требования по аттестации объектов информатизации; 4. дополнительную информацию. Требования к системе защиты персональных данных представлены в Постановлении Правительства № 1119 от 01 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Требования к составу и содержанию технических и организационных мер, включаемых в систему защиты персональных данных, представлены в приказе ФСТЭК № 21 от 18 февраля 2012 года «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказе ФСБ № 378 от 10 июля 2014 года "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности". Перечень сертифицированных средств защиты информации составляется на основании государственных реестров сертифицированных средств защиты информации, сведений о средства защиты информации, предоставляемых производителями этих средств, а так же исходя из предпочтений Оператора или организации, которая по договору с Оператором проводит проектирование системы защиты информации. Требования по аттестации объекта информатизации учитываются в том случае, когда Оператор обязан провести аттестацию объекта информатизации либо проходит аттестацию в добровольном порядке. В соответствии с Указом Президента РФ от 06.03.1997 № 188, персональные данные (кроме общедоступных и обезличенных) относятся к сведениям конфиденциального характера. Порядок защиты конфиденциальной информации регламентируется «Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К)». В соответствии с п. 2.17 СТР-К «Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации». Требования СТР-К являются обязательными только для защиты государственных информационных ресурсов: п. 2.3 «Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования». Согласно ст. 14 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и защите информации»: 1. 1. Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. 2. 9. Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами». Из чего можно сделать вывод – обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных или другая конфиденциальная информация. В остальных случаях она носит добровольный (необязательный) характер. 2. Проектирование системы защиты персональных данных. Проектирование системы защиты персональных данных осуществляется в соответствии с требованиями, представленными в Техническом задании на создание системы защиты ПДн. Проект системы защиты персональных данных, в общем случае, может включать: 1. Требования к подсистемам защиты с указанием запланированного к использованию сертифицированного средства защиты информации. 2. Описание режимов функционирования СЗПДн (технический и организационный аспект системы защиты). 3. Порядок ввода СЗПДн в эксплуатацию (поставка, установка, настройка, испытания средства защиты). 4. Дополнительная информация. 3. Ввод в эксплуатацию СЗПДн. Стадия ввода системы защиты персональных данных в эксплуатацию позволяет удостовериться в том, что все требования к защите персональных данных выполнены и система готова к этапу эксплуатации. В рамках данного этапа реализуются следующие группы мер: 1. Технические меры: ◦ установка, настройка, наладка средств защиты; ◦ опытная эксплуатация; ◦ приёмо-сдаточные испытания. 2. Организационные меры: ◦ утверждение документов по защите ПДн; ◦ выполнение мероприятий по подготовке персонала; ◦ организация необходимых подразделений и рабочих мест. Заключительный этап Как уже указывалось ранее, защита информации – это непрерывный процесс. В связи с этим на стадии эксплуатации информационной системы персональных данных и системы защиты персональных данных, так же требуется реализация комплекса мероприятий. В состав мероприятий на данном этапе входят: 1. Контроль защищенности. При обработке ПДн должны применятся необходимые правовые, организационные и технические меры защиты ПДн. Осуществляться внутренний контроль и (или) аудит информационной безопасности. 2. Повышение квалификации сотрудников в области защиты ПДн. Согласно нормативно-методическим документам ответственным за обеспечение информационной безопасности в организации является лицо, имеющее специальное образование в области защиты информации и (или) прошедшее курсы повышения квалификации согласно программе, утвержденной ФСТЭК России. 3. Реагирование на инциденты, связанные с нарушением безопасности информации. Отдельно можно рассмотреть вопрос необходимости лицензирования. Для обеспечения безопасности персональных данных юридическому лицу необходимо получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации только для реализации требований по технической защите конфиденциальной информации. Если оператор ИСПДн заключает договор на проведение соответствующих мероприятий в части защиты персональных данных (или другой конфиденциальной информации) с лицензиатом ФСТЭК России, иметь собственную лицензию ему не обязательно. «Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора». Ответственность за точное исполнение всех требований по защите ПДн, в случае отсутствия необходимости обязательной аттестации лежит на операторе ПДн. В случае выявленных несоответствий в ходе государственного контроля и надзора, именно оператор будет нести за это ответственность. Если же оператор проходит процедуру оценки соответствия установленным требованиям с привлечением организации-лицензиата, по результатам которых оформляется аттестат соответствия или заключение, то: 1. оператор получает уверенность, что все меры выполнены; 2. в случае выявленных нарушений организация-лицензиат разделяет риски с оператором ПДн. Постановлением РФ от 15 мая 2010 г. № 330 утверждено «Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну...»: «оценка соответствия осуществляется в формах обязательной сертификации». Из этого следует, что необходимо использовать сертифицированные средства защиты информации, а для ИСПДн 1 класса необходимо применять средства, соответствующие 4 уровню контроля отсутствия НДВ. 3.2 Постановление Правительства РФ от 01.11.2012 N 1119 Постановление Правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных». Далее в Постановлении Правительства № 1119 приводится классификация информационных систем в зависимости от типа обрабатываемых персональных данных. Согласно данной классификации информационные системы делятся на: • информационные системы, обрабатывающие специальные категории персональных данных; • информационные системы, обрабатывающие биометрические персональные данные; • информационные системы, обрабатывающие общедоступные данные; • информационные системы, обрабатывающие иные категории персональных данных. Кроме того, независимо от типа обрабатываемых персональных данных, информационные системы подразделяются на: • информационные системы, обрабатывающие персональные данные сотрудников оператора персональных данных; • информационные системы, обрабатывающие персональные данные субъектов, не являющихся сотрудниками оператора. Далее в Постановлении Правительства № 1119 приводится «краткая» классификация актуальных угроз. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Угрозы безопасности персональных данных делятся на три типа: • Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. • Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. • Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. Отсутствие недокументированных (недекларированных) возможностей в системном или прикладном программном обеспечении ИСПДн подтверждается наличием сертификата по уровню контроля отсутствия недекларированных возможностей (сертификат НДВ) в системе сертификации ФСТЭК. В случае отсутствия сертификата НДВ у системного или прикладного программного обеспечения ИСПДн необходимо обосновать неактуальность таких угроз. Например, при построении модели нарушителя Оператор может показать, что предполагаемый нарушитель не обладает необходимыми навыками, средствами или возможностями для реализации соответствующей угрозы. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных». Методика оценки возможного вреда, причиняемого субъекту персональных данных в случае реализации угрозы безопасности, не разработана ни одним из надзорных или контролирующих органов. Операторы самостоятельно разрабатывают и применяют такую методику. Далее Постановление Правительства № 1119 определяет уровни защищенности персональных данных при их обработке в информационных системах. Всего таких уровней четыре. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: 1. а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных; 2. б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: 1. а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные; 2. б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; 3. в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные; 4. г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; 5. д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; 6. е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: 1. а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; 2. б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; 3. в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; 4. г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные; 5. д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: 1. а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные; 2. б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора. Таблица 3.1 – Определение уровня защищенности персональных данных Тип ИСПДн Сотрудники оператора Количество субъектов Тип актуальных угроз 1 2 3 ИСПДн-С Нет > 100 000 УЗ-1 УЗ-1 УЗ-2 Нет < 100 000 УЗ-1 УЗ-2 УЗ-3 Да   ИСПДн-Б     УЗ-1 УЗ-2 УЗ-3 ИСПДн-И Нет > 100 000 УЗ-1 УЗ-2 УЗ-3 Нет < 100 000 УЗ-2 УЗ-3 УЗ-4 Да   ИСПДн-О Нет > 100 000 УЗ-2 УЗ-2 УЗ-4 Нет < 100 000 УЗ-2 УЗ-3 УЗ-4 Да   В данной таблице ИСПДн-С – информационные системы, обрабатывающие специальные категории персональных данных; ИСПДн-Б – информационные системы, обрабатывающие биометрические персональные данные; ИСПДн-И – информационные системы, обрабатывающие иные категории персональных данных; ИСПДн-О – информационные системы, обрабатывающие общедоступные данные; УЗ-1(2,3,4) – уровень защищенности персональных данных. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: 1. а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; 2. б) обеспечение сохранности носителей персональных данных; 3. в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; 4. г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для обеспечения 4-го уровня защищенности персональных данных, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для обеспечения 3-го уровня защищенности персональных данных, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных для обеспечения 2-го уровня защищенности персональных данных , необходимо выполнение следующих требований: 1. а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; 2. б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. Таблица 3.2 – Требования к ИСПДн в зависимости от уровня защищенности ПДн Требования Уровни защищенности 1 2 3 4 Режим обеспечения безопасности помещений, где обрабатываются персональные данных + + + + Сохранность носителей персональных данные + + + + Перечень лиц, допущенных к персональным данным + + + + СЗИ, прошедшие процедуру оценки соответствия + + + + Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн + + + – Ограничение доступа к содержанию электронного журнала сообщений + + – – Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным + – – – Структурное подразделение, ответственное за обеспечение безопасности персональных данных + – – – Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом). 3.3 Стадия предпроектного обследования. Составление перечня ПДн, перечня сотрудников, работающих с ПДн. Описание ИСПДн Цель Федерального закона № 152 «О персональных данных». Обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. В соответствии со статьёй 19 ФЗ, обеспечение безопасности ПДн достигается, в частности: 1. 1. Определением угроз безопасности ПДн при их обработке в ИСПДн; … 2. 4. Оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн; ... 3. 6. Обнаружением фактов несанкционированного доступа к ПДн и принятием мер; ... 4. 9. Контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных (СЗПДн). Система защиты персональных данных – это комплекс организационно-технических мероприятий, направленных на обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Для построения системы защиты персональных данных Оператор проводит предпроектное обследование информационной системы персональных данных. Целями проведения обследования являются оценка текущего уровня соответствия ИСПДн требованиям нормативных документов по защите ПДн, сбор сведений, необходимых для построения системы защиты персональных данных (СЗПДн), определение требований к СЗПДн. Предпроектное обследование – это первый этап создания СЗПДн. В рамках предпроектного обследования решаются следующие задачи: 1. Устанавливается необходимость и цель обработки ПДн в ИСПДн. 2. Определяется состав персональных данных, их категория и объем. 3. Определяется конфигурация и топология ИСПДн и ее отдельных компонент. 4. Определяются режимы обработки ПДн. 5. Определяются условия расположения ИСПДн относительно границ контролируемой зоны. 6. Определяются технические средства и системы, используемые в действующей ИСПДн. 7. Определяются общесистемные и прикладные программные средства. 8. Определяется технологический процесс обработки ПДн в целом ИСПДн и для отдельных компонент ИСПДн. Уточняется степень участия персонала в обработке ПДн, характер их взаимодействия между собой. 9. Определяются существующие методы и способы защиты информации в организации. 10. Определяются организационно-распорядительные документы по обеспечению безопасности конфиденциальной информации, введенные в организации. 11. Определяются источники и угрозы безопасности ПДн к конкретным условиям функционирования ИСПДн. 12. Разрабатывается модель угроз безопасности ПДн, обрабатываемых в ИСПДн. 13. Формируются рекомендации по защите ИСПДн. Рассмотрим данные задачи более подробно. 1. Установление необходимости обработки ПДн в ИСПДн. Персональные данные собираются, накапливаются, обрабатываются в информационных системах Оператора с заранее определенной целью. По результатам проведения предпроектного обследования Оператор может выяснить, что некоторые из информационных систем персональных данных не являются необходимыми для осуществления деятельности Оператора. Либо персональные данные продублированы в различных базах данных и имеется возможность получать данные без необходимости ведения дополнительной информационной системы. В этих случаях Оператор может существенно сократить издержки по обеспечению безопасности персональных данных путём отказа от тех ИСПДн, которые Оператору не нужны. 2. Определение состава ПДн, их категории и объема. Анализ состава персональных данных, обрабатываемых в ИСПДн, позволяет установить категорию таких данных, а впоследствии и уровень защищенности персональных данных и требования к системе защиты персональных данных. При формировании перечня ПДн исходными данными могут быть различные процессы обработки персональных данных: • оформление трудовых договоров с работниками (карточка Т2); • ведение учета труда работников и зарплаты; • осуществление пенсионного страхования; • оказание услуг клиентам; • заключение договоров с поставщиками или подрядчиками; • и др. В перечень персональных данных могут войти, например, следующие сведения: • фамилия, имя, отчество; • дата рождения; • гражданство; • № свидетельства государственного пенсионного страхования; • ИНН; • знание иностранных языков; • данные об образовании (номер, серия диплома, год окончания, специальность, присвоенная квалификация); • данные о приобретенных специальностях (сертификат об окончании курсов, удостоверение о повышении квалификации, диплом о профессиональной переподготовке); • семейное положение; • данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения); • фактическое место проживания; • контактная информация (номер телефона, адрес e-mail, имя в социальных сетях); • данные о воинской обязанности; • данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т. п.). Для каждой информационной системы разрабатывается индивидуальный перечень обрабатываемых персональных данных. В зависимости от состава обрабатываемых персональных данных информационная система будет относиться к системам, обрабатывающим специальные категории ПДн, обрабатывающим биометрические ПДн, обрабатывающим общедоступные ПДн или обрабатывающим иные категории ПДн. 3. Определение конфигурации и топологии ИСПДн и ее отдельных компонент. Сетевая топология – способ описания конфигурации сети, схема расположения и соединения сетевых устройств. Нормативно-правовой документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», разработанный ФСТЭК России, определяет следующие возможные конфигурации информационных систем персональных данных: • автоматизированное рабочее место, не имеющее подключение к сетям связи общего пользования и (или) сетям связи международного информационного обмена; • автоматизированное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям связи международного информационного обмена; • локальная информационная система, не имеющая подключение к сетям связи общего пользования и (или) сетям связи международного информационного обмена; • локальная информационная система, имеющая подключение к сетям связи общего пользования и (или) сетям связи международного информационного обмена; • распределенная информационная система, не имеющая подключение к сетям связи общего пользования и (или) сетям связи международного информационного обмена; • распределенная информационная система, имеющая подключение к сетям связи общего пользования и (или) сетям связи международного информационного обмена. Автоматизированное рабочее место представляет собой отдельный компьютер, на котором обрабатываются персональные данные, которые может иметь или не иметь подключение к провайдеру сети Интернет. Локальная информационная система представляет собой несколько компьютеров, на которых обрабатываются персональные данные, расположенных на ограниченной территории и соединенных в локальную сеть. Локальная информационная система так же может иметь или не иметь подключение к провайдеру сети Интернет. Распределенная информационная система характеризуется: • наличием каналов связи (передачи данных) между территориально-удаленными подразделениями или другими объектами, входящими в состав системы; • информационными технологиями, обеспечивающих возможность подключения к ресурсам системы из или через неконтролируемые зоны (например, сеть Интернет). В случае наличия подключения к компьютерной сети (локальной или сети Интернет) модель угроз должна быть дополнена угрозами, связанными с использование протоколов сетевого взаимодействия. При проведении предпроектного обследования необходимо определить конфигурацию информационной системы, а так же способы и характеристики подключения информационной системы к внешним сетям. 4. Определение режима обработки ПДн в ИСПДн. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Существующие способы обработки персональных данных можно разделить на две группы: • Однопользовательский режим – режим использования информационной системы, когда все её ресурсы выделены только одному пользователю. • Многопользовательский режим – это возможность работы нескольких пользователей с одной ИСПДн организации под разными учетными записями и в соответствии с правилами разграничения доступа. В однопользовательском режиме пользователь, по сути, является администратором системы и имеет неограниченный доступ ко всем данным, которые хранятся в системе. В многопользовательском режиме с персональными данными работают разные пользователи. Возможна реализация многопользовательского режима без разграничения доступа – все пользователи имеют неограниченные права на доступ к персональным данным и несут персональную ответственность за совершаемые в системе действия. В случае реализации многопользовательского режима с разграничением доступа, каждому пользователю назначаются права только на тот массив данных, с которым должен работать пользователь. Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. При проведении предпроектного обследования необходимо выяснить применяемый в информационной системе режим обработки персональных данных и построить матрицу доступов – таблицу, описывающую права доступа пользователей в информационной системе. Таблица 3.3 – Пример матрицы доступов Пользователь\ресурс Прикладная программа База данных Папка с документами Файл в ПДн Администратор Установка, обновление, запуск, удаление Создание, изменение структуры, удаление Создание файлов/папок, Управление правами доступа Управление правами доступа Пользователь N Запуск Просмотр записей Создание папок/файлов чтение, изменение, добавление, удаление Чтение Группа пользователей M Запуск Просмотр записей, Изменение записей, Удаление записей Чтение Чтение, изменение, удаление 5. Определение условий расположения ИСПДн относительно границ контролируемой зоны. Определение условий расположения ИСПДн относительно контролируемой зоны проводится для проведения анализа технических каналов утечки информации и связанных с ними угроз безопасности персональных данных. Контролируемая зона – это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств. Контролируемая зона создаётся за счёт применения технических средств охраны или реализации организационных мер, препятствующих неконтролируемому проникновению нарушителей. В зависимости от применяемых средств охраны, граница контролируемой зоны может совпадать с границей территории организации, может совпадать с границей этажа или отдельного помещения или группы помещений. Результаты определения расположения ИСПДн относительно границ контролируемой зоны оформляются в виде схем и/или чертежей с указанием минимального расстояния от средств вычислительной техники до границ контролируемой зоны. 6. Определение технических средства и системы, используемых в действующей ИСПДн. Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации. Различают два типа технических средств относительно информационной системы персональных данных: • основные технические средства и системы (ОТСС); • вспомогательные технические средства и системы (ВТСС). Основные технические средства и системы (ОТСС) – технические средства и системы, а так же их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. Например, системный блок, монитор, манипулятор (мышь), клавиатура, принтер и т. д. При проведении предпроектного обследования необходимо рассматривать помимо основных технических средств и систем (ОТСС), осуществляющих обработку, хранение и передачу ПДн, вспомогательные технические средства и системы (ВТСС), которые размещены совместно с ОТСС в пределах контролируемой зоны. Вспомогательные технические средства и системы (ВТСС) – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных. Например, кондиционер, телефон, копир, настенные электронные часы и т. д. В качестве примера можно рассмотреть ситуацию, когда в одном кабинете находятся три компьютера. На двух компьютерах осуществляется обработка персональных данных, соответственно, они являются основными техническими средствами с составе ИСПДн. Третий компьютер расположен в том же кабинете, не является компонентом ИСПДн. Т. е. этот компьютер относиться к вспомогательным техническим средствам и системам. 7. Определение общесистемных и прикладных программных средств. Для возможности оперативного решения поставленных задач пользователь ИСПДн имеет индивидуальный набор программного обеспечения, который необходимо учитывать при проведении предпроектного обследования. Программное обеспечение информационных систем делится на системное и прикладное. Под операционной системой понимается системная программа, которая управляет всеми системными ресурсами и обеспечивает основу для работы прикладных программ. Специализированный пакет – прикладная программа или комплекс прикладных программ, предназначенных для выполнения пользователем определенных задач с использованием ИСПДн. Офисный пакет – набор приложений, предназначенный для обработки электронной документации на персональном компьютере. Правовой пакет – набор приложений, содержащий тексты указов, постановлений и решений различных государственных органов. Для каждого средства вычислительной техники составляется перечень установленного программного обеспечения. При наличии лицензий или сертификатов информация о них так же вноситься в отчёт о предпроектном обследовании. 8. Определяется технологический процесс обработки ПДн. Уточняется степень участия персонала в обработке ПДн, характер их взаимодействия между собой. Технологический процесс обработки информации представляет собой упорядоченную последовательность действий по обработке данных, информации, знаний до получения необходимого пользователю результата. Технологический процесс обработки информации зависит от характера решаемых задач, используемых технических средств, систем контроля, числа пользователей и др. факторов. Технологический процесс обработки информации может включать следующие операции (действия): сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Сбор персональных данных – документально оформленная процедура получения держателем персональных данных от субъектов этих данных. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Уточнение персональных данных – оперативное внесение изменений в ПДн в соответствии с процедурами, установленными законодательством. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Общий технологический регламент обработки ПДн должен содержать описание технологического процесса обращения с ПДн на всех этапах жизненного цикла без учета средств защиты информации, а именно: 1. Порядок приема должностными лицами ПДн, внесения их в базу данных, обработки, хранения, дополнения, исправления, передачи, обезличивания, уничтожения; время и сроки выполнения всех операций. 2. Порядок взаимодействия с субъектом ПДн (получение согласия на обработку, реагирование на запросы, предоставление собранной информации, уведомление о передаче, уничтожении). 3. Порядок обращения с носителями информации: учета, хранения, присвоения и изменения класса персональных данных, передачи, приема, уничтожения, перевода в другой вид (например, распечатка электронного документа). 4. Порядок обращения с электронными и распечатанными носителями ПДн при чрезвычайных ситуациях (наводнение, пожар, пропадание электропитания, теракт, вооруженное нападение, неадекватные действия клиентов, действия вирусов (атаки), отказы оборудования, переезды, нестыковки ключевой документации, введение военного положения). 5. Порядок обращения с электронными носителями персональных данных, средствами автоматизации, их содержащими, при техническом обслуживании и ремонте. В силу специфики функционирования ИСПДн пользователи ИСПДн имеют разные полномочия на физический доступ к информационным, программным и аппаратным ресурсам ИСПДн. Все физические лица в зависимости от предоставленных им прав доступа к ИСПДн можно разделить на следующие типы: • Зарегистрированные (легальные) пользователи. • Технический и обслуживающий персонал. • Физические лица, имеющие разовый доступ к ИСПДн, но не являющиеся зарегистрированными пользователями или техническим персоналом ИСПДн. Зарегистрированные (легальные) пользователи: • системный администратор, осуществляющий конфигурирование и настройку используемых в ИСПДн технических средств, а также осуществляющий конфигурирование и настройку средств защиты персональных данных; • пользователи ИСПДн, осуществляющие доступ к ИСПДн из локальной вычислительной сети, находящейся в пределах контролируемой зоны. Технический и обслуживающий персонал • технические специалисты по обслуживанию технических средств ИСПДн и сопровождению используемого на них общесистемного и прикладного программного обеспечения; • обслуживающий персонал, проводящий работы в помещениях, в которых размещаются технические средства ИСПДн (к ним относятся сотрудники, проводящие уборочные, ремонтные и другие виды работ, не относящиеся к ИСПДн); • работники, осуществляющие функции физической защиты и обеспечивающие поддержание установленных режимов безопасности (охранники, вахтеры и т. д.). Физические лица, имеющие разовый доступ к ИСПДн, но не являющиеся зарегистрированными пользователями или техническим персоналом ИСПДн • сотрудники, имеющие доступ в помещения, в которых размещаются технические средства ИСПДн; • программисты-разработчики системного (СПО) и прикладного программного обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДн. 9. Определение существующих методов и способов защиты информации в организации. Существующие методы и способы защиты информации можно подразделить на четыре группы: • организационной защиты информации; • инженерно-технической защиты информации; • программно-аппаратные средства защиты информации; • криптографические средства защиты информации. К методам и способам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации ИСПДн для обеспечения защиты ПДн. Организационно-технические мероприятия проводятся при строительстве или ремонте помещений, в которых будет размещаться ИСПДн; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности ИСПДн. Методы и способы организационно-правовой защиты информации. На этом уровне защиты информации рассматриваются приказы, положения, постановления введенные в организации, трудовые договора, инструкции, руководства и другие документы, регламентирующие режим работы предприятия, порядок допуска сотрудников и посетителей на территорию предприятия, организация контроля на предприятии (охрана, видеонаблюдение и т. д.). Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивающие: 1. Защиту территории и помещений, в которых располагаются компоненты ИСПДн, от проникновения нарушителей. 2. Защиту аппаратных средств ИСПДн и носителей информации от хищения. 3. Предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств ИСПДн. 4. Предотвращение возможности перехвата ПЭМИН (побочных электромагнитных излучений и наводок), вызванных работающими техническими средствами ИСПДн и линиями передачи данных. 5. Организацию доступа в помещения, где располагаются компоненты ИСПДн, сотрудников. 6. Контроль над режимом работы персонала, обрабатывающего ПДн в ИСПДн. 7. Контроль над перемещением сотрудников ИСПДн в различных производственных зонах. 8. Противопожарную защиту помещений ИСПДн. 9. Минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий. Важнейшей составной частью инженерно-технических средств защиты информации являются технические средства охраны, которые образуют первый рубеж защиты ИСПДн и являются необходимым, но недостаточным условием сохранения конфиденциальности, целостности, доступности и других характеристик безопасности ПДн в ИСПДн. Криптографические методы защиты и шифрование. Шифрование является основным средством обеспечения конфиденциальности. Так, в случае обеспечения конфиденциальности данных на локальном компьютере применяют шифрование этих данных, а в случае сетевого взаимодействия – шифрованные каналы передачи данных. Криптография применяется: 1. Для защиты конфиденциальности информации, передаваемой по открытым каналам связи. 2. Для аутентификации (подтверждении подлинности) передаваемой информации. 3. Для защиты конфиденциальной информации при ее хранении на открытых носителях. 4. Для обеспечения целостности информации (защите информации от внесения несанкционированных изменений) при ее передаче по открытым каналам связи или хранении на открытых носителях. 5. Для обеспечения неоспоримости передаваемой по сети информации (предотвращения возможного отрицания факта отправки сообщения). 6. Для защиты программного обеспечения и других информационных ресурсов от несанкционированного использования и копирования. К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств ИСПДн и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств ИСПДн. К основным аппаратным средствам защиты информации относятся: 1. Устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т. п.). 2. Устройства для шифрования информации. 3. Устройства для предотвращения несанкционированного включения рабочих станций и серверов (электронные замки и блокираторы). Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения ИСПДн исключительно для выполнения защитных функций. К основным программным средствам защиты информации относятся: 1. Программы идентификации и аутентификации пользователей ИСПДн. 2. Программы разграничения доступа пользователей к ресурсам ИСПДн. 3. Программы шифрования информации. 4. Программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования. Примеры вспомогательных программных средств защиты информации: 1. Программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т. п.). 2. Программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью ИСПДн, для обеспечения возможности восстановления и доказательства факта происшествия этих событий. 3. Программы имитации работы с нарушителем. 4. Программы тестового контроля защищенности ИСПДн и др. 10. Определение источников и угроз безопасности ПДн к конкретным условиям функционирования ИСПДн. Угроза безопасности информации – возможность возникновения такого явления или события, следствием которого может быть негативное воздействие на информацию: • нарушение физической целостности; • логической структуры; • несанкционированная модификация; • несанкционированное получение; • несанкционированное размножение. Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. Возможности источников УБПДн обусловлены совокупностью способов несанкционированного и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн. Носитель ПДн – физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. Носители ПДн могут содержать информацию, представленную в следующих видах: 1. Акустическая (речевая) информация (РИ). 2. Видовая информация (ВИ). 3. Информация, обрабатываемая (циркулирующая) в ИСПДн, в виде электрических, электромагнитных, оптических сигналов. 4. Информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, файлов и других логических структур. В документе «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» описан порядок формирования перечня актуальных угроз безопасности ПДн. На основании сформированного перечня возможных угроз, в соответствии с описанным в данном документе порядком, формируется перечень актуальных угроз безопасности ПДн. Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Формирование перечня актуальных угроз состоит из следующих этапов: 1. Составление полного перечня угроз ПДн в ИСПДн. 2. Определение уровня исходной защищенности ИСПДн. 3. Определение частоты (вероятности) реализации угроз. 4. Определение коэффициентов реализуемости угроз. 5. Определение показателей опасности угроз. 6. По коэффициентам реализуемости и показателям опасности угроз определяется перечень актуальных угроз. Составление полного перечня угроз ПДн в ИСПДн осуществляется на основании документа «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе модели угроз безопасности ПДн и в зависимости от уровня защищенности ПДн. Выбранные и реализованные методы и способы должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой системы защиты персональных данных (СЗПДн).