SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Практическая защита персональных данных. Где компания обрабатывает ПДн?

Практическая защита персональных данных. Где компания обрабатывает ПДн?
07.06.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |      


Руслан Рахметов, Security Vision 


В прошлой статье мы рассмотрели самый первый вопрос, который возникает у компании: что такое персональные данные?


Вкратце пробежим по основным ключевым аспектам:


1) если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация - его персональными данными (Научно-практический постатейный комментарий к Федеральному Закону «О персональных данных» автор Савельев А. Г.)


2) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливают следующие группы/категории персональных данных:


a. Специальная категория персональных данных (ч. 1, п.3 ст. 10 152-ФЗ)

b. Биометрические персональные данные (ч. 1 ст. 11 152-ФЗ)

c. Общедоступные персональные данные (ч.1 ст. 8 152-ФЗ)

d. Иные (п. 5 ПП 1119).


3) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает дополнительные признаки обработки персональных данных:


a. чьи персональные данные (субъект, являющийся сотрудником/работником компании или субъект, не являющийся сотрудником/работником компании)

b. объем обрабатываемых персональных данных (до 100 000, свыше 100 000, без указания количества объема).


На всякий случай повторю сказанное в прошлой статье: показатель без указания количества объема относится к нескольким случаям, и рассматривать его в самом начале работ не целесообразно.


Приступим ко второму вопросу: где компания обрабатывает персональные данные? Но сначала необходимо понять, что вообще понимается под термином «Обработка персональных данных».


Согласно определению, данному в 2008 году, обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Однако Федеральный закон от 25.07.2011 N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» внес в данное определение корректировки, которыми мы руководствуемся и в 2021 году. Сейчас под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ч. 3 ст. 3 152-ФЗ).


Как мы видим, определение уточняет определенные условия обработки, но ключевое понятие осталось неизменным: обработка - это любое действие/операция с персональными данными.


Этот аспект (ПЕРВЫЙ АСПЕКТ) необходимо понимать и помнить. Зачастую в ходе работ заказчик (эксплуатанты, владельцы и т.д.) говорит, что система не обрабатывает персональные данные. Обоснованием такой позиции является то, что система просто не сохраняет их у себя, а сразу передает в другую систему или на сервер. Такая позиция является неверной, т.к., если ей руководствоваться, часть процессов и систем компании выпадает из рассмотрения, что, как следствие, приводит к их нарушениям.


Следующим аспектом (ВТОРОЙ АСПЕКТ), на который обращает внимание определение 152-ФЗ и которое необходимо учитывать в ходе работ, это то, как производится обработка. Она может производиться:

1) с использованием средств автоматизации

2) без использования средств автоматизации.


В зависимости от использованного способа обработки впоследствии будут формироваться требования к применяемым средствам и мерам обеспечения безопасности персональных данных. Документами, конкретизирующими требования по обработке и защите, в частности, являются:


1)  постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»


2) постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».


Кроме вышеуказанных постановлений Правительства Российской Федерации есть еще ряд ключевых нормативно-правовых актов, которые регулируют отдельные аспекты обработки персональных данных:


Однако, в рамках статьи мы не будем рассматривать указанные акты, т.к. они затрагивают отдельные узкие аспекты обработки. Итак, вернемся к ПП 687 и ПП 1119.Пусть Вас не вводят в заблуждение положения п. 1 и п. 2 ПП 687:


1) п. 1 - Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека


2) п. 2 - Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.


На настоящий момент принята следующая позиция: все, что обрабатывается в информационных системах, и момент вывода персональных данных из информационных систем будут относиться к регулированию по ПП 1119, в остальных случаях - к ПП 687.


Однако, так было не всегда. Ранее существовало постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», которое предъявляло более жесткие требования к организации обработки и защиты персональных данных. Вследствие чего многие компании старались по возможности уйти из-под требований ПП 781.


Противостояние ПП 687 и ПП 781 в трактовке вопроса, что относить к обработке персональных данных с использованием средств автоматизации, а что нет, доходила порой до случаев, когда передача факсимильного сообщения с использованием факса приравнивалась к автоматизированной обработке, а сам факс считался информационной системой персональных данных. Но нередки были и случаи, когда заказчик доказывал, что обрабатывает персональные данные на отдельном автоматизированном рабочем месте и обработка регулируется и осуществляется исключительно ПП 687.


Однако за 11 лет Роскомнадзор выработал свою позицию, и она укладывается в то, что я указал выше (информационные системы и вывод из нее персональных данных – ПП 1119, бумага – ПП 687).


Обычно к обработке персональных данных, которую регламентирует ПП 687, относится ведение различных карточек, реестров, журналов (проходов, инструктажа, учета и т.д.) и т.п.


Важным аспектом, который необходимо учитывать, является сложившаяся позиция Роскомнадзора, которую он неоднократно озвучивал в ходе различных мероприятий – если форма, в которую заносятся персональные данные, установлена каким-то нормативно-правовым актом и/или органом государственной власти, то она применяется в той форме/виде, как установлена. В иных случаях должны быть учтены дополнительные положения/требования ПП 687. Ранее из-за отсутствия такой позиции у Роскомнадзора компании иногда перерабатывали установленные формы, что приводило к их отклонению проверяющими профильных ведомств или нареканию.


Таким образом, выявлением мест/процессов обработки персональных данных без использования средств автоматизации будет являться выявление фактов использования различных материальных носителей персональных данных. Одним из возможных вариантов решения данной задачи будет организация в компании рабочей группы, в которую войдут представители всех подразделений. Указанная группа сумеет в кратчайшие сроки (т.к. понимает процессы, в которые вовлечены их коллеги) определить процессы, задействованные подразделения/лиц, используемые виды материальных носителей, места хранения и нормативно-правовые акты, а также локальные нормативные акты компании, которые определяют/регламентируют такую обработку.


Перейдем к обработке персональных данных с использованием средств автоматизации.Но, прежде чем рассмотреть положения ПП 1119, необходимо остановиться на ранее существовавших требованиях ПП 781. Это связано с тем, что в ходе работ вам, возможно, придется столкнуться с работами/материалами, выполненными по старым требованиям.


Первым признаком того, что работы были выполнены по старым требованиям, будет являться год разработки документов или выполненных работ – до 2012.


Вторым признаком будет являться наличие в указании класса информационной системы персональных данных терминов «специальная» или «типовая».


Третьим возможным признаком работ, выполненных по старым требованиям, будет являться указание на использования исключительно сертифицированных средств защиты информации/персональных данных.


Почему важно обратить на это внимание? Согласно ПП 781 устанавливалась иная классификация информационных систем персональных данных (типовые, специальные). Классификация проводилась по ряду отличных от указанных в ПП 1119 признаков и в соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Использование старых подходов и документов с высокой вероятностью приведет к ошибочному формированию требований для последующих работ.


Кроме этого, в ходе определения информационных систем персональных данных надо учитывать следующие нюансы:

  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ч. 3 ст. 5 152-ФЗ)

  • при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ).


Зачастую в обработке персональных данных с использованием средств автоматизации участвуют те же подразделения, что и без их использования. Таким образом, в целях выявления информационных систем персональных данных в компании будет правильным привлечение специалистов из ранее организованной в компании рабочей группы по определению мест обработки/процессов, в рамках которых происходит обработка персональных данных без использования средств автоматизации.


Последний аспект (ТРЕТИЙ АСПЕКТ), который ряд компаний упускает из виду, - это привлечение к обработке персональных данных других компаний. Сейчас не является чем-то необычным, когда какие-то процессы или операции отдаются на подряд или выполняются совместными силами нескольких компаний. В этой связи вопрос обработки персональных данных зачастую выходит за область деятельности одной компании. Также не является чем-то необычным отсутствие в договорах/контактах с привлекаемыми компаниями отдельных положений, регулирующих условия обработки персональных данных.


Так, например, при выводе на рынок новых услуг, связанных с информационными системами, нередки случаи, когда одна компания предоставляет услугу (владеет сервисом), вторая владеет ЦОД/вычислительной инфраструктурой, третья пишет и обслуживает прикладное программное обеспечение информационной системы, а четвертая предоставляет услуги операторов или операционистов колл-центра (обслуживающих клиентов сервиса). В такой связке сложно понять, что фактически в обработке персональных данных клиентов участвуют все перечисленные компании. А значит, с точки зрения закона ко всем им должны быть применены соответствующие положения 152-ФЗ.


Еще одним сложным вопросом является момент передачи персональных данных за территорию Российской Федерации. Согласно 152-ФЗ такая передача называется трансграничной и регламентируется отдельными положениями 152-ФЗ (ст. 12), а также необходимостью оценки адекватной защиты прав субъектов персональных данных в стране, куда передаются персональные данные. В настоящий момент оценка производится согласно приказу Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Таким образом, в ходе обработки персональных данных необходимо выяснить правовое основание обработки, лиц, участвующих в этой обработке, и корректно ли сформулированы договорные условия с участвующими/задействованными компаниями.


Важным нюансом, на который обращает внимание Роскомнадзор, является соблюдение компанией (в соответствии со ст. 3 152-ФЗ - оператором) условий ч. 3 ст. 6 152-ФЗ. Указанный пункт гласит: «Оператор вправе поручить обработку персональных данных третьему лицу на основании поручения. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки. Должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 152-ФЗ». Однако, считаем необходимым также привести и мнение ряда юристов, которые считают, что ч. 3 ст. 6 152-ФЗ дает право, а не устанавливает обязанность оператора. Юристы обосновывают указанную позицию тем, что за неисполнение указанных требований не предусмотрены какие-то штрафные санкции.

Подкасты ИБ ГОСТы и документы ИБ Стандарты ИБ Практика ИБ Защита персональных данных (ИСПДН)

Рекомендуем

Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Что за зверь Security Champion?
Что за зверь Security Champion?
Риски кибербезопасности. Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)
Риски кибербезопасности. Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)
Пентесты
Пентесты
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"

Рекомендуем

Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Что за зверь Security Champion?
Что за зверь Security Champion?
Риски кибербезопасности. Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)
Риски кибербезопасности. Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)
Пентесты
Пентесты
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"

Похожие статьи

IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1

Похожие статьи

IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1