SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2

Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
21.06.2021


Руслан Рахметов, Security Vision


Вот наконец мы добрались до вопроса, как компания должна защищать персональные данные. По сложившейся традиции быстро пробежим по ранее рассмотренным темам.


Итак, компания, решившая привести процессы обработки персональных данных в соответствие с российским законодательством и нормативными требованиями, столкнется со следующими вопросами:

1) Что такое персональные данные?

2) Где Компания обрабатывает персональные данные?

3) Как Компания должна обрабатывать и защищать персональные данные?


Что такое персональные данные? Изучение положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» позволит компании понять, что такое персональные данные, какие виды/категории персональных данных бывают, что (какие критерии) задать при поиске и локализации мест их обработки. Более подробно мы рассмотрели указаннуютему в первой статье – Практическая защита персональных данных.


Где компания обрабатывает персональные данные? Изучение положений постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» позволит понять принципы выделения процессов, в рамках которых происходит обработка персональных данных (как происходит обработка персональных данных), и определить лиц, задействованных в указанных процессах обработки. Более подробно мы рассмотрели указанную тему во второйстатье – Практическая защита персональных данных. Где компания обрабатываетперсональные данные.


Как компания должна обрабатывать и защищать персональные данные? Изучение положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» данных» позволит понять основные этапы/моменты обработки персональных данных, принципы и условия организации их обработки. Более подробно мы рассмотрели указанную тему в третьей статье – Практическаязащитаперсональных данных. Как компания должна обрабатывать и защищать персональныеданные. Часть 1.


Подходы по защите персональных данных до 2012 года


С выходом 152-ФЗ у компаний появилась задача по защите персональных данных. Но у большей части компаний возникали вопросы, как это сделать. Они были вызваны в первую очередь тем, что публичных документов или какой-то аналогичной массовой практики по указанному вопросу ранее не существовало. То, что вопрос защиты персональных данных будет зарегламентирован профильными ведомствами, ни у кого не вызывало сомнений.


Закон устанавливал следующие ответственные ведомства:

  • Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (прим. ФСБ России) – ч. 3 ст. 19 152-ФЗ;

  • Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (прим. ФСТЭК России) – ч. 3 ст. 19 152-ФЗ;

  • Уполномоченный орган по защите прав субъектов персональных данных (прим. сначала Россвязьохранкультура, впоследствии Россвязькомнадзора, сейчас Роскомнадзор) – ст. 23 152-ФЗ.


Сложившаяся ситуация выявила следующие основные подходы к выполнению работ. Первый способ – мы лицензиат ФСТЭК России или окологосударственная компания/организация, а значит, мы используем документы профильных регулирующих органов (ФСТЭК России и ФСБ России) в области защиты конфиденциальной информации. Несмотря на то, что Федеральный закон от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации» отменен и само понятие «конфиденциальная информация» (ст. 2 24-ФЗ) ушло, но остался Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», который п. 1 вводил персональные данные в указанный перечень. Согласно такому подходу компании/организации в качестве ключевых документов использовали:


Однако, у данного способа было несколько существенных минусов:


1) СТР-К носит пометку «Для служебного пользования» (далее – ДСП) и является ограниченным для распространения (что это такое, смотрите в постановлении Правительства Российской Федерации от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности»), он недоступен большинству компаний


2) рядом экспертов статус СТР-К, как обязательного для исполнения всеми, подвергается сомнению. В качестве основания такого вывода используется п. 10 Указа Президента Российской Федерации от 23.05.1996 № 763 «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти», а именно: «Нормативные правовые акты федеральных органов исполнительной власти, кроме актов и отдельных их положений, содержащих сведения, составляющие государственную тайну, или сведения конфиденциального характера, не прошедшие государственную регистрацию, а также зарегистрированные, но не опубликованные в установленном порядке, не влекут правовых последствий, как не вступившие в силу, и не могут служить основанием для регулирования соответствующих правоотношений, применения санкций к гражданам, должностным лицам и организациям за невыполнение содержащихся в них предписаний. На указанные акты нельзя ссылаться при разрешении споров».


Второй способ – так как каких-то публичных документов кроме 152-ФЗ нет, а ст. 19 указывает, что Правительство Российской Федерации должно установить соответствующие требования, то мы выполним только то, что для нас предписывает в ч. 1 ст. 19 152-ФЗ, а именно: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».


Компании разрабатывали какой-то минимальный набор документов и применяли по выбору какой-то набор средств защиты. Но у такого подхода тоже был ряд определенных минусов:


1) рано или поздно Правительство Российской Федерации и указанные выше ведомства должны будут издать соответствующие нормативно-правовые акты. А значит, ранее выполненная работа с большой долей вероятности будет перечеркнута, что в ряде случаев может привести к нареканиям со стороны руководства компании о нецелевом использовании ресурсов компании и подразделений


2) ФСТЭК России и ФСБ России привыкли работать в рамках определенного пласта документов, которые не позволят вольно трактовать или подходить к вопросу защиты конфиденциальной информации. Однако механизмы, реализующие указанные требования, были затратны для реализации, а в ряде случаев и невозможны для применения в коммерческих компаниях, что также ограничивало их применение.


До выхода 152-ФЗ (т.е. до 2006 года) компании, заинтересованные в защите конфиденциальной информации, руководствовались как правило следующими нормативно-правовыми актами:


Как показала история, выиграл второй подход. Это заключается в следующем. Вслед за 152-ФЗ спустя некоторое время выходят следующие нормативно-правовые акты:


Однако многие компании указывали, что, выпуская указанные выше документы с пометкой ДСП, ФСТЭК России нарушает одно из ключевых требований 152-ФЗ, а именно публичность требований, что закрепляется ч. 2 ст. 4 152-ФЗ: «На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных. Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами».


Спустя какое-то время (16.11.2009) ФСТЭК России снимает с части документов пометку ограничения ДСП. Некоторые из указанный документов просуществовали до 2021 года. В частности:


Параллельно шла борьба по устранению в качестве обязательного требования применения в информационной системе персональных данных средств криптографической защиты, как того требовали положения ч. 1 ст. 19 152-ФЗ, которая звучала как: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». В 2009 году Федеральный закон от 27.12.2009 N 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных» отменил указанную норму.


Сейчас иногда приходится сталкиваться с результатами работ, которые были выполнены по указанным документам. Явными маркерами работ/подходов, в которых руководствовались данными документами, являются:

  • классификация информационной системы персональных данных как типовая или специальная

  • использование в целях защиты персональных данных исключительно сертифицированных средств защиты информации

  • градация нарушителей безопасности при определении необходимого класса криптозащиты Н1, Н2, Н3, Н4, Н5, Н6

  • требования по использованию средств криптографической защиты (исключение средства электронной подписи) класса КВ1 или КВ2

  • обязательная аттестация информационных систем персональных данных

  • необходимость наличия у компании, даже если она обрабатывает персональные данные только своих работников, лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.


Понимание данных аспектов поможет вам грамотно спланировать работы, обосновать необходимость требуемых корректировок и провести необходимые работы. А пока движемся дальше. В 2010 году происходят изменения ранее сформированных требований в области защиты персональных данных:


1) утверждается приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (Зарегистрирован в Минюсте России 19.02.2010 № 16456)


2) Решением ФСТЭК России от 05.03.2010 признаются утратившими силу следующие документы в области защиты персональных данных:

  • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утв. заместителем директора ФСТЭК России 15.02.2008)

  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. заместителем директора ФСТЭК России 15.02.2008).


В приказе 58 уже нет слов про сертификацию по классам СВТ и МЭ и о необходимости аттестации. Остается указание на сертификацию по РД НДВ, но только для систем 1 класса или по выбору оператора/компании.


Вопрос формы оценки соответствия применяемых средств защиты информации для обеспечения безопасности персональных данных становится одним из ключевых. Дополнительно масла в огонь подливает утверждение постановления Правительства Российской Федерации от 15.05.2010 № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» (пометка ограничения ДСП) (далее – ПП 330). Но применимость ПП 330 в области защиты персональных данных компании также подвергают сомнению на основании ч. 2 ст. 4 152-ФЗ.


Вопрос, какую форму оценки соответствия должны проходить средств защиты в целях защиты персональных данных, в настоящей статье рассматриваться не будет. Возможно, он будет рассмотрен в одной из следующих статей. Скажем ключевое: в 152-ФЗ, действующих на настоящий момент приказах ФСТЭК России и ФСБ России указано только, что средства защиты информации должны быть подвергнуты процедуре оценки соответствия. Что такое процедура оценки соответствия и какие ее формы бывают, установлено Федеральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании».


Подходы по защите персональных данных после 2012 года


В 2012-2013 происходят очередные изменения в области защиты персональных данных. Утверждаются:


1) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»


2) постановление Правительства Российской Федерации от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»


3) постановление Правительства Российской Федерации от 16.04.2012 № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»


4) приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ 21)


5) приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 31.12.2013 № 151/786/461 «О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».


Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП 1119) в п. 2 указывает на признание утратившим силу ПП 781.


Приказ 21 указывает в п. 2 на признание утратившим силу приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».


Постановления Правительства Российской Федерации о лицензировании закрепляют норму, что выполнение мероприятий по защите конфиденциальной информации компаниями для собственных целей (для себя) не требует от компании наличия лицензии, как это было ранее, и зачастую для некоторых это было мало реализуемо (например, для банков, где это было связано со сложностью изменения Устава компании).


Чуть позже (в 2014 году) ФСБ России во исполнение ПП 1119 издает документы в области обеспечения безопасности персональных данных с использованием криптографических средств:


1) приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»


2) Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" (утв. ФСБ России 31.03.2015 № 149/7/2/6-432)


Однако, с выходом указанных документов у компаний появляется недопонимание, какие документы по СКЗИ они обязаны применять в области обеспечения безопасности персональных данных, т.к. указанные документы не отменяют предыдущие.


Соответствующее разъяснение о применимости документов, связанных с криптографической защитой в области обеспечения безопасности персональных данных, ФСБ России дает в 2016 году – Информация ФСБ России от 21.06.2016 «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных». С этого момента наступает новый этап в области защиты персональных данных.


Параллельно с выходом профильных документов по защите персональных данных с 2011 году ФСТЭК России и ФСБ России утверждает требования к средствам защиты информации:


1) Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 06.12.2011 № 638 (информационное письмо ФСТЭК России), пометка ограничения ДСП


2) Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20.03.2012 № 28 (информационное сообщение ФСТЭК России от 30.07.2012 № 240/24/3095), пометка ограничения ДСП


3) Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27.09.2013 № 119 (информационное письмо ФСТЭК России от 06.02.2014 № 240/24/405), пометка ограничения ДСП


4) Требования к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28.07.2014 № 87 (информационное сообщение ФСТЭК России от 24.12.2014 № 240/24/4918), пометка ограничения ДСП


5) Требования к межсетевым экранам, утвержденные приказом ФСТЭК России от 09.02.2016 № 9 (информационное сообщение ФСТЭК России от 28.04.2016 № 240/24/1986), пометка ограничения ДСП


6) Требования безопасности информации к операционным системам, утвержденные приказом ФСТЭК России от 19.08.2016 № 119 (информационное сообщение ФСТЭК России от 18.10.2016 № 240/24/4893), пометка ограничения ДСП


7) Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденные приказом ФСТЭК России от 30.07.2018 № 131 (информационное сообщение ФСТЭК России от 29.03.2019 № 240/24/1525), пометка ограничения ДСП.


Примечание: В настоящее время указанные требования заменены на Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденные приказом ФСТЭК России от 02.06.2020 № 76 (информационное сообщение ФСТЭК России от 15.10.2020 № 240/24/4268), с пометкой ограничения ДСП.


8) Приказ ФСБ России от 27.12.2011 № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».


Кроме этого, в указанные период времени ФСТЭК России дает разъяснение о допустимости применения подхода компаний, когда проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных в информационной системе персональных данных проводится в рамках процедуры аттестации (п. 3 информационное сообщение ФСТЭК России от 15.07.2013 № 240/22/2637).


Этапы выполнения работ по защите персональных данных


Ниже изложим основные этапы работы по защите персональных данных, руководствуясь принципом, что в существующих реалиях найдется крайне мало компаний, которые не используют в своей деятельности компьютеры, ноутбуки и иные средства вычислительной техники. Поэтому вопрос защиты персональных данных мы в первую очередь акцентируем на обработке персональных данных с использованием автоматизированных средств.


Кроме этого, разбор мер защиты информации будем проводить, в большей степени руководствуясь положениями Приказа 21, т.к. меры, указанные в нем, включают в свой состав набор требований изложенных в ст. 19 152-ФЗ и п.13-16 ПП 1119.


В рамках, обозначенных выше документов (в основном в Приказе 21) устанавливается следующий подход по защите персональных данных в информационных системах персональных данных (далее – ИСПДн):


1) Компания определяет условия функционирования системы, как объекта защиты. Под условиями функционирования понимаются:

  • назначение системы и ее функции/задачи, которые она решает

  • правовое поле, в рамках которого система существуют и какие нормативные/контрактные требования на нее распространяются


Примечание: здесь важным аспектом является то, что функционирование/существование системы может быть регламентировано различными нормативными и/или контрактными/договорными требованиями, которые могут устанавливать как особые условия функционирования (подключение, размещения, отказоустойчивости и т.п.), так и относящие ее к различным классам/категориям (например – как государственная информационная система или объект критической информационной инфраструктуры).

  • какие компоненты/модули/подсистемы ее составляют и целевое назначения каждого модуля/подсистемы

  • состав прикладного и системного программного обеспечения, а также аппаратные компоненты, используемые в системе

  • территориальная распределенность/размещение системы и используемые каналы связи с указанием подключения к сетям общего пользования (включая сеть Интернет)

  • взаимодействие с другими (включая сторонние, собственниками которых являются другие юридические лица) информационными системами (включая ИСПДн)

  • пользователи системы, их уровни доступа и функции

  • сторонние компании, участвующие в эксплуатации и использовании системы, а также компании, которые имеют и/или могут в теории получать доступ к различным компонентам системы

  • условия администрирования системы

  • пользователи системы, их уровни доступа и функции

  • размещение физических компонент (площадки, границы контролируемых вашей компанией зон (далее – КЗ) на площадках, порядок доступа в КЗ, порядок обслуживания, обязательства контрагентов)

  • перечень защищаемых информационных ресурсов системы и степень/уровень их конфиденциальности (включая отнесение к информации ограниченного доступа в соответствии с ч. 2 ст. 5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).


2) Компания определяет актуальные угрозы безопасности персональных данных при их обработке в системе.


В рамках определения актуальных угроз необходимо учитывать несколько аспектов:

  • Оценка актуальности угроз проводится без учета применяемых технических средств защиты информации. Это значит, что в ходе оценки средства защиты, даже если они уже сейчас существуют/внедрены в систему, не должны учитываться. Указанной позиции придерживается ФСТЭК России

  • Как мы обозначали в предыдущих статьях, любая сторонняя компания, даже если это дочернее лицо, рассматривается как потенциальный нарушитель. А значит, сведения об этом должны найти отражение в оценке потенциальных нарушителей, праве собственности/владении различными компонентами системы, порядке доступа к компонентам системы и т.д.;

  • Если компанией принимается решение об обеспечении безопасности персональных данных с использованием средств криптографической защиты информации или механизмов, использующих/реализующих криптографические преобразования, то в рамках моделирования угроз необходимо будет кроме нормативно-методических документов ФСТЭК России использовать еще документы ФСБ России и определить необходимый класс криптозащиты.


Также при моделировании угроз предлагаем вам провести оценку актуального типа угроз, как установлено в п. 6 и 7 ПП 1119. Это в любом случае необходимо будет сделать, т.к. иначе вы не сможете определить необходимый уровень защищенности персональных данных, как это устанавливает ПП 1119.


3) Определить необходимый уровень защищенности персональных данных.


Более подробное описание этого аспекта было ранее рассмотрено в рамках первой статьи –Практическая защита персональных данных.


Хотим лишь отметить важный аспект в определении уровня защищенности персональных данных: если в ходе изучения системы вы увидите, что в системе обрабатываются разный объем различных категорий/групп персональных данных (общедоступные, специальные биометрические или иные), которые относятся к различным субъектам, то уровень защищенности должен быть выбран по критериям, которые выходят на самый высокий уровень защищенности.


4) Определение/описание создаваемой с учетом уже существующих средств защиты системы защиты персональных данных.


Нормативными документами не установлена форма документа, в которой должна быть описана система защиты. Однако, руководствуясь своим опытом, предлагаем вам рассмотреть подход, который давно сложился в рамках описания автоматизированных систем - использование для описания информационной системы положений следующих документов:


Предлагается не полностью перенимать положения указанных документов, а использовать подход и наработки, которые в них изложены. Пусть вас не смущает тот факт, что РД 50-34.698-90 отменен (Приказ Росстандарта от 12.02.2019 №216 «О признании недействующими на территории Российской Федерации актов, изданных государственными органами, правопреемником которых является Федеральное агентство по техническому регулированию и метрологии»). К сожалению, в настоящий момент какой-то адекватной замены РД 50-34.698-90 нет (письмо Росстандарта от 16.04.2019 №6620-ИК/03 «По вопросу применения документов взамен РД 50-34.698-90 и Р 50-34.119-90»).


Кроме этого, необходимо отметить, что, если компанией принято решение использовать сертифицированные средства защиты информации в системе сертификации ФСТЭК России № РОСС RU.0001.01БИ00, то компании необходимо учитывать:


Кроме этого, если компанией принято решение использовать сертифицированные средства криптографической защиты информации, то компании необходимо учитывать:


Дополнительным подспорьем в понимании, что ФСТЭК России понимает под каждой мерой, указанной в Приказе 21, может стать документ, который ФСТЭК России разработал по схожей методологии, но применительно к государственным информационным системам. Указанным документом является Методический документ «Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014).


5) Разработка необходимого комплекта организационно-распорядительной документации.


Утвержденного комплекта, как и формы самих документов в нормативных документах не установлено, но необходимо учитывать ряд аспектов:

  • При разработке должны учитываться положения ПП 1119 и ПП 687, определяющие различные условия обработки персональных данных. Это связано с тем, что зачастую в рамках процесса, который обеспечивает защищаемая система, как правило, одна форма обработки может дополняться другой (т.е. из системы могут выводиться документы на бумажных носителях или вами будут разрабатываться какие-то формы учета доступа к системе или ее компонентам, в которых будут отражаться персональные данные субъектов)

  • Если компанией принято решение использовать для защиты персональных данных средства криптографической защиты информации, то необходимо учитывать положения Инструкции 152. В данном документе устанавливается определённый набор документов, форм учета и процедуры, которые должны быть реализованы компанией

  • Определить лиц, участвующих в обработке персональных данных и ответственных за обеспечение системы защиты персональных данных:

    • ответственного за обеспечение безопасности персональных данных
    • администраторов средств защиты персональных данных
    • пользователей криптосредств
    • пользователей системы
    • лиц, допущенных к электронному журналу сообщений и безопасности системы
    • лиц, допущенных в места размещения компонентов системы
    • лиц, допущенных к носителям персональных данных.


Дополнительным подспорьем в понимании, какие меры желательно регламентировать/описать, может стать все тот-же документ ФСТЭК России - Методический документ «Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014).


6) Внедрение системы защиты персональных данных.


На основании разработанной/спроектированной системы защиты производится закупка и установка средств защиты, нейтрализующих актуальные угрозы безопасности. Какие советы можно дать в рамках данного этапа:

  •  Если компанией принято решение использовать для защиты персональных данных средства криптографической защиты информации, то необходимо учитывать положения Инструкции 152. В данном документе устанавливается определённый набор документов, форм учета и процедуры, которые должны быть реализованы компанией в том числе в ходе установки, перемещения и использования

  • Если компанией принято решение использовать сертифицированные средства защиты информации в системе сертификации ФСТЭК России, то ей необходимо учитывать ограничения по эксплуатации и использованию, которые указаны в эксплуатационной документации (формуляры, паспорта и т.д.) на средства защиты

  • Если компанией принято решение использовать сертифицированные ФСБ России средства криптографической защиты информации, то ей необходимо учитывать ограничения по эксплуатации и использованию, которые указаны в правилах использования и эксплуатационной документации (формуляры, паспорта и т.д.) на средства защиты

  • Если компанией принято решение использовать арендуемые у другой компании средства защиты или услуги по защите информации, то соответствующие положения в части оценки угроз, нарушителей и описание данных условий и механизмов должны найти отражение в разрабатываемых документах на систему защиты персональных данных, а компания, оказывающая услуги по защите информации, должна иметь лицензию ФСТЭК России на техническую защиту конфиденциальной информации (с соответствующим разрешенным видом деятельности), а для средств криптографической информации соответствующую лицензию ФСБ России.


7) Оценка эффективности.


Установленной формы оценки эффективности созданной/реализованной системы защиты информации не существует. Форму оценки компания выбирает сама: она может провести ее в рамках приемочных испытаний, в рамках каких-то комплексных испытаний, совмещенных с приемкой системы в эксплуатацию, в рамках аттестационных испытаний по требованиям безопасности информации. Главное, чтобы в ходе проверки были оценены полнота и достаточность реализованных мер защиты, необходимых для нейтрализации актуальных угроз безопасности, а также обязательных требований нормативно-правовых актов и эксплуатационной документации на применяемые средства защиты.


В рамках данного этапа можно посоветовать рассматривать аттестациютолько как один из самых крайних способов. Аттестация больше направлена на фиксацию/статичность объекта защиты и его системы защиты. Эта форма оценки плохо увязывается с классической жизнью информационной системы коммерческой компании, где система постоянно находится в процессе изменения, модернизации, развития.


8) Вывод системы из эксплуатации.


В ходе вывода системы из эксплуатации должно быть обеспечено удаление персональных данных с носителей, подключенных к системе. Удаление должно сопровождаться актом комиссии и соответствующей отметкой в журнале учета.


Дополнительно также необходимо обратить внимание на условия вывода из эксплуатации, указанные в документации на примененные в системе средства криптографической защиты информации и положения Инструкции 152.


Как мы видим, требования по защите персональных данных не стоят на месте и постоянно изменяются. Так, в 2021 году произошли следующие основные изменения:


1) Отменены требования в приказе 21 по обязательной сертификации средств защиты, если для системы были определены актуальными 1 или 2 тип актуальных угроз (п. 6 ПП 1119). Указанные изменения вступили в силу 01.01.2021 в соответствии с приказом ФСТЭК России от 14.05.2020 № 68 «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21»


2) ФСТЭК России:


Таким образом, выполнив работы по защите персональных данных компании, необходимо постоянно отслеживать изменения/уточнения в данном вопросе и своевременно вносить изменения/корректировки в созданную систему защиты.

Практика ИБ ГОСТы и документы ИБ Стандарты ИБ СЗИ Защита персональных данных (ИСПДН)

Рекомендуем

КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности

Рекомендуем

КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют