SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Практическая защита персональных данных. Где компания обрабатывает ПДн?

Практическая защита персональных данных. Где компания обрабатывает ПДн?
07.06.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |      


Руслан Рахметов, Security Vision 


В прошлой статье мы рассмотрели самый первый вопрос, который возникает у компании: что такое персональные данные?


Вкратце пробежим по основным ключевым аспектам:


1) если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация - его персональными данными (Научно-практический постатейный комментарий к Федеральному Закону «О персональных данных» автор Савельев А. Г.)


2) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливают следующие группы/категории персональных данных:


a. Специальная категория персональных данных (ч. 1, п.3 ст. 10 152-ФЗ)

b. Биометрические персональные данные (ч. 1 ст. 11 152-ФЗ)

c. Общедоступные персональные данные (ч.1 ст. 8 152-ФЗ)

d. Иные (п. 5 ПП 1119).


3) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает дополнительные признаки обработки персональных данных:


a. чьи персональные данные (субъект, являющийся сотрудником/работником компании или субъект, не являющийся сотрудником/работником компании)

b. объем обрабатываемых персональных данных (до 100 000, свыше 100 000, без указания количества объема).


На всякий случай повторю сказанное в прошлой статье: показатель без указания количества объема относится к нескольким случаям, и рассматривать его в самом начале работ не целесообразно.


Приступим ко второму вопросу: где компания обрабатывает персональные данные? Но сначала необходимо понять, что вообще понимается под термином «Обработка персональных данных».


Согласно определению, данному в 2008 году, обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Однако Федеральный закон от 25.07.2011 N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» внес в данное определение корректировки, которыми мы руководствуемся и в 2021 году. Сейчас под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ч. 3 ст. 3 152-ФЗ).


Как мы видим, определение уточняет определенные условия обработки, но ключевое понятие осталось неизменным: обработка - это любое действие/операция с персональными данными.


Этот аспект (ПЕРВЫЙ АСПЕКТ) необходимо понимать и помнить. Зачастую в ходе работ заказчик (эксплуатанты, владельцы и т.д.) говорит, что система не обрабатывает персональные данные. Обоснованием такой позиции является то, что система просто не сохраняет их у себя, а сразу передает в другую систему или на сервер. Такая позиция является неверной, т.к., если ей руководствоваться, часть процессов и систем компании выпадает из рассмотрения, что, как следствие, приводит к их нарушениям.


Следующим аспектом (ВТОРОЙ АСПЕКТ), на который обращает внимание определение 152-ФЗ и которое необходимо учитывать в ходе работ, это то, как производится обработка. Она может производиться:

1) с использованием средств автоматизации

2) без использования средств автоматизации.


В зависимости от использованного способа обработки впоследствии будут формироваться требования к применяемым средствам и мерам обеспечения безопасности персональных данных. Документами, конкретизирующими требования по обработке и защите, в частности, являются:


1)  постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»


2) постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».


Кроме вышеуказанных постановлений Правительства Российской Федерации есть еще ряд ключевых нормативно-правовых актов, которые регулируют отдельные аспекты обработки персональных данных:


Однако, в рамках статьи мы не будем рассматривать указанные акты, т.к. они затрагивают отдельные узкие аспекты обработки. Итак, вернемся к ПП 687 и ПП 1119.Пусть Вас не вводят в заблуждение положения п. 1 и п. 2 ПП 687:


1) п. 1 - Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека


2) п. 2 - Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.


На настоящий момент принята следующая позиция: все, что обрабатывается в информационных системах, и момент вывода персональных данных из информационных систем будут относиться к регулированию по ПП 1119, в остальных случаях - к ПП 687.


Однако, так было не всегда. Ранее существовало постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», которое предъявляло более жесткие требования к организации обработки и защиты персональных данных. Вследствие чего многие компании старались по возможности уйти из-под требований ПП 781.


Противостояние ПП 687 и ПП 781 в трактовке вопроса, что относить к обработке персональных данных с использованием средств автоматизации, а что нет, доходила порой до случаев, когда передача факсимильного сообщения с использованием факса приравнивалась к автоматизированной обработке, а сам факс считался информационной системой персональных данных. Но нередки были и случаи, когда заказчик доказывал, что обрабатывает персональные данные на отдельном автоматизированном рабочем месте и обработка регулируется и осуществляется исключительно ПП 687.


Однако за 11 лет Роскомнадзор выработал свою позицию, и она укладывается в то, что я указал выше (информационные системы и вывод из нее персональных данных – ПП 1119, бумага – ПП 687).


Обычно к обработке персональных данных, которую регламентирует ПП 687, относится ведение различных карточек, реестров, журналов (проходов, инструктажа, учета и т.д.) и т.п.


Важным аспектом, который необходимо учитывать, является сложившаяся позиция Роскомнадзора, которую он неоднократно озвучивал в ходе различных мероприятий – если форма, в которую заносятся персональные данные, установлена каким-то нормативно-правовым актом и/или органом государственной власти, то она применяется в той форме/виде, как установлена. В иных случаях должны быть учтены дополнительные положения/требования ПП 687. Ранее из-за отсутствия такой позиции у Роскомнадзора компании иногда перерабатывали установленные формы, что приводило к их отклонению проверяющими профильных ведомств или нареканию.


Таким образом, выявлением мест/процессов обработки персональных данных без использования средств автоматизации будет являться выявление фактов использования различных материальных носителей персональных данных. Одним из возможных вариантов решения данной задачи будет организация в компании рабочей группы, в которую войдут представители всех подразделений. Указанная группа сумеет в кратчайшие сроки (т.к. понимает процессы, в которые вовлечены их коллеги) определить процессы, задействованные подразделения/лиц, используемые виды материальных носителей, места хранения и нормативно-правовые акты, а также локальные нормативные акты компании, которые определяют/регламентируют такую обработку.


Перейдем к обработке персональных данных с использованием средств автоматизации.Но, прежде чем рассмотреть положения ПП 1119, необходимо остановиться на ранее существовавших требованиях ПП 781. Это связано с тем, что в ходе работ вам, возможно, придется столкнуться с работами/материалами, выполненными по старым требованиям.


Первым признаком того, что работы были выполнены по старым требованиям, будет являться год разработки документов или выполненных работ – до 2012.


Вторым признаком будет являться наличие в указании класса информационной системы персональных данных терминов «специальная» или «типовая».


Третьим возможным признаком работ, выполненных по старым требованиям, будет являться указание на использования исключительно сертифицированных средств защиты информации/персональных данных.


Почему важно обратить на это внимание? Согласно ПП 781 устанавливалась иная классификация информационных систем персональных данных (типовые, специальные). Классификация проводилась по ряду отличных от указанных в ПП 1119 признаков и в соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Использование старых подходов и документов с высокой вероятностью приведет к ошибочному формированию требований для последующих работ.


Кроме этого, в ходе определения информационных систем персональных данных надо учитывать следующие нюансы:

  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ч. 3 ст. 5 152-ФЗ)

  • при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ).


Зачастую в обработке персональных данных с использованием средств автоматизации участвуют те же подразделения, что и без их использования. Таким образом, в целях выявления информационных систем персональных данных в компании будет правильным привлечение специалистов из ранее организованной в компании рабочей группы по определению мест обработки/процессов, в рамках которых происходит обработка персональных данных без использования средств автоматизации.


Последний аспект (ТРЕТИЙ АСПЕКТ), который ряд компаний упускает из виду, - это привлечение к обработке персональных данных других компаний. Сейчас не является чем-то необычным, когда какие-то процессы или операции отдаются на подряд или выполняются совместными силами нескольких компаний. В этой связи вопрос обработки персональных данных зачастую выходит за область деятельности одной компании. Также не является чем-то необычным отсутствие в договорах/контактах с привлекаемыми компаниями отдельных положений, регулирующих условия обработки персональных данных.


Так, например, при выводе на рынок новых услуг, связанных с информационными системами, нередки случаи, когда одна компания предоставляет услугу (владеет сервисом), вторая владеет ЦОД/вычислительной инфраструктурой, третья пишет и обслуживает прикладное программное обеспечение информационной системы, а четвертая предоставляет услуги операторов или операционистов колл-центра (обслуживающих клиентов сервиса). В такой связке сложно понять, что фактически в обработке персональных данных клиентов участвуют все перечисленные компании. А значит, с точки зрения закона ко всем им должны быть применены соответствующие положения 152-ФЗ.


Еще одним сложным вопросом является момент передачи персональных данных за территорию Российской Федерации. Согласно 152-ФЗ такая передача называется трансграничной и регламентируется отдельными положениями 152-ФЗ (ст. 12), а также необходимостью оценки адекватной защиты прав субъектов персональных данных в стране, куда передаются персональные данные. В настоящий момент оценка производится согласно приказу Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Таким образом, в ходе обработки персональных данных необходимо выяснить правовое основание обработки, лиц, участвующих в этой обработке, и корректно ли сформулированы договорные условия с участвующими/задействованными компаниями.


Важным нюансом, на который обращает внимание Роскомнадзор, является соблюдение компанией (в соответствии со ст. 3 152-ФЗ - оператором) условий ч. 3 ст. 6 152-ФЗ. Указанный пункт гласит: «Оператор вправе поручить обработку персональных данных третьему лицу на основании поручения. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки. Должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 152-ФЗ». Однако, считаем необходимым также привести и мнение ряда юристов, которые считают, что ч. 3 ст. 6 152-ФЗ дает право, а не устанавливает обязанность оператора. Юристы обосновывают указанную позицию тем, что за неисполнение указанных требований не предусмотрены какие-то штрафные санкции.

Подкасты ИБ ГОСТы и документы ИБ Стандарты ИБ Практика ИБ Защита персональных данных (ИСПДН)

Рекомендуем

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только

Рекомендуем

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы