Руслан Рахметов, Security Vision
Вот наконец мы добрались до вопроса, как компания должна защищать персональные данные. По сложившейся традиции быстро пробежим по ранее рассмотренным темам.
Итак, компания, решившая привести процессы обработки персональных данных в соответствие с российским законодательством и нормативными требованиями, столкнется со следующими вопросами:
1) Что такое персональные данные?
2) Где Компания обрабатывает персональные данные?
3) Как Компания должна обрабатывать и защищать персональные данные?
Что такое персональные данные? Изучение положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» позволит компании понять, что такое персональные данные, какие виды/категории персональных данных бывают, что (какие критерии) задать при поиске и локализации мест их обработки. Более подробно мы рассмотрели указаннуютему в первой статье – Практическая защита персональных данных.
Где компания обрабатывает персональные данные? Изучение положений постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» позволит понять принципы выделения процессов, в рамках которых происходит обработка персональных данных (как происходит обработка персональных данных), и определить лиц, задействованных в указанных процессах обработки. Более подробно мы рассмотрели указанную тему во второйстатье – Практическая защита персональных данных. Где компания обрабатываетперсональные данные.
Как компания должна обрабатывать и защищать персональные данные? Изучение положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» данных» позволит понять основные этапы/моменты обработки персональных данных, принципы и условия организации их обработки. Более подробно мы рассмотрели указанную тему в третьей статье – Практическаязащитаперсональных данных. Как компания должна обрабатывать и защищать персональныеданные. Часть 1.
Подходы по защите персональных данных до 2012 года
С выходом 152-ФЗ у компаний появилась задача по защите персональных данных. Но у большей части компаний возникали вопросы, как это сделать. Они были вызваны в первую очередь тем, что публичных документов или какой-то аналогичной массовой практики по указанному вопросу ранее не существовало. То, что вопрос защиты персональных данных будет зарегламентирован профильными ведомствами, ни у кого не вызывало сомнений.
Закон устанавливал следующие ответственные ведомства:
Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (прим. ФСБ России) – ч. 3 ст. 19 152-ФЗ;
Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (прим. ФСТЭК России) – ч. 3 ст. 19 152-ФЗ;
Уполномоченный орган по защите прав субъектов персональных данных (прим. сначала Россвязьохранкультура, впоследствии Россвязькомнадзора, сейчас Роскомнадзор) – ст. 23 152-ФЗ.
Сложившаяся ситуация выявила следующие основные подходы к выполнению работ. Первый способ – мы лицензиат ФСТЭК России или окологосударственная компания/организация, а значит, мы используем документы профильных регулирующих органов (ФСТЭК России и ФСБ России) в области защиты конфиденциальной информации. Несмотря на то, что Федеральный закон от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации» отменен и само понятие «конфиденциальная информация» (ст. 2 24-ФЗ) ушло, но остался Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», который п. 1 вводил персональные данные в указанный перечень. Согласно такому подходу компании/организации в качестве ключевых документов использовали:
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) (утверждены приказом Гостехкомиссии России от 30.08.02 № 282), пометка ограничения «Для служебного пользования»
приказ ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Инструкция 152).
Однако, у данного способа было несколько существенных минусов:
1) СТР-К носит пометку «Для служебного пользования» (далее – ДСП) и является ограниченным для распространения (что это такое, смотрите в постановлении Правительства Российской Федерации от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности»), он недоступен большинству компаний
2) рядом экспертов статус СТР-К, как обязательного для исполнения всеми, подвергается сомнению. В качестве основания такого вывода используется п. 10 Указа Президента Российской Федерации от 23.05.1996 № 763 «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти», а именно: «Нормативные правовые акты федеральных органов исполнительной власти, кроме актов и отдельных их положений, содержащих сведения, составляющие государственную тайну, или сведения конфиденциального характера, не прошедшие государственную регистрацию, а также зарегистрированные, но не опубликованные в установленном порядке, не влекут правовых последствий, как не вступившие в силу, и не могут служить основанием для регулирования соответствующих правоотношений, применения санкций к гражданам, должностным лицам и организациям за невыполнение содержащихся в них предписаний. На указанные акты нельзя ссылаться при разрешении споров».
Второй способ – так как каких-то публичных документов кроме 152-ФЗ нет, а ст. 19 указывает, что Правительство Российской Федерации должно установить соответствующие требования, то мы выполним только то, что для нас предписывает в ч. 1 ст. 19 152-ФЗ, а именно: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
Компании разрабатывали какой-то минимальный набор документов и применяли по выбору какой-то набор средств защиты. Но у такого подхода тоже был ряд определенных минусов:
1) рано или поздно Правительство Российской Федерации и указанные выше ведомства должны будут издать соответствующие нормативно-правовые акты. А значит, ранее выполненная работа с большой долей вероятности будет перечеркнута, что в ряде случаев может привести к нареканиям со стороны руководства компании о нецелевом использовании ресурсов компании и подразделений
2) ФСТЭК России и ФСБ России привыкли работать в рамках определенного пласта документов, которые не позволят вольно трактовать или подходить к вопросу защиты конфиденциальной информации. Однако механизмы, реализующие указанные требования, были затратны для реализации, а в ряде случаев и невозможны для применения в коммерческих компаниях, что также ограничивало их применение.
До выхода 152-ФЗ (т.е. до 2006 года) компании, заинтересованные в защите конфиденциальной информации, руководствовались как правило следующими нормативно-правовыми актами:
РД АС
СТР-К
Инструкция 152
ГОСТ 34 серии
ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении»
ГОСТ Р 51624-2000 «Защита информации Автоматизированные системы в защищенном исполнении».
Как показала история, выиграл второй подход. Это заключается в следующем. Вслед за 152-ФЗ спустя некоторое время выходят следующие нормативно-правовые акты:
постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – ПП 687)
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утв. заместителем директора ФСТЭК России 15.02.2008), пометка ограничения ДСП
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. заместителем директора ФСТЭК России 15.02.2008), пометка ограничения ДСП
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (утв. ФСТЭК России, 2008), пометка ограничения ДСП
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России, 2008), пометка ограничения ДСП
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. руководством 8 Центра ФСБ России от 21.02.2008 г. № 149/6/6-622)
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21.02.2008 N 149/54-144).
Однако многие компании указывали, что, выпуская указанные выше документы с пометкой ДСП, ФСТЭК России нарушает одно из ключевых требований 152-ФЗ, а именно публичность требований, что закрепляется ч. 2 ст. 4 152-ФЗ: «На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных. Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами».
Спустя какое-то время (16.11.2009) ФСТЭК России снимает с части документов пометку ограничения ДСП. Некоторые из указанный документов просуществовали до 2021 года. В частности:
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписки) (утв. ФСТЭК России, 2008)
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России, 2008).
Параллельно шла борьба по устранению в качестве обязательного требования применения в информационной системе персональных данных средств криптографической защиты, как того требовали положения ч. 1 ст. 19 152-ФЗ, которая звучала как: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». В 2009 году Федеральный закон от 27.12.2009 N 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных» отменил указанную норму.
Сейчас иногда приходится сталкиваться с результатами работ, которые были выполнены по указанным документам. Явными маркерами работ/подходов, в которых руководствовались данными документами, являются:
классификация информационной системы персональных данных как типовая или специальная
использование в целях защиты персональных данных исключительно сертифицированных средств защиты информации
градация нарушителей безопасности при определении необходимого класса криптозащиты Н1, Н2, Н3, Н4, Н5, Н6
требования по использованию средств криптографической защиты (исключение средства электронной подписи) класса КВ1 или КВ2
обязательная аттестация информационных систем персональных данных
необходимость наличия у компании, даже если она обрабатывает персональные данные только своих работников, лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Понимание данных аспектов поможет вам грамотно спланировать работы, обосновать необходимость требуемых корректировок и провести необходимые работы. А пока движемся дальше. В 2010 году происходят изменения ранее сформированных требований в области защиты персональных данных:
1) утверждается приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (Зарегистрирован в Минюсте России 19.02.2010 № 16456)
2) Решением ФСТЭК России от 05.03.2010 признаются утратившими силу следующие документы в области защиты персональных данных:
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утв. заместителем директора ФСТЭК России 15.02.2008)
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. заместителем директора ФСТЭК России 15.02.2008).
В приказе 58 уже нет слов про сертификацию по классам СВТ и МЭ и о необходимости аттестации. Остается указание на сертификацию по РД НДВ, но только для систем 1 класса или по выбору оператора/компании.
Вопрос формы оценки соответствия применяемых средств защиты информации для обеспечения безопасности персональных данных становится одним из ключевых. Дополнительно масла в огонь подливает утверждение постановления Правительства Российской Федерации от 15.05.2010 № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» (пометка ограничения ДСП) (далее – ПП 330). Но применимость ПП 330 в области защиты персональных данных компании также подвергают сомнению на основании ч. 2 ст. 4 152-ФЗ.
Вопрос, какую форму оценки соответствия должны проходить средств защиты в целях защиты персональных данных, в настоящей статье рассматриваться не будет. Возможно, он будет рассмотрен в одной из следующих статей. Скажем ключевое: в 152-ФЗ, действующих на настоящий момент приказах ФСТЭК России и ФСБ России указано только, что средства защиты информации должны быть подвергнуты процедуре оценки соответствия. Что такое процедура оценки соответствия и какие ее формы бывают, установлено Федеральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании».
Подходы по защите персональных данных после 2012 года
В 2012-2013 происходят очередные изменения в области защиты персональных данных. Утверждаются:
1) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП 1119) в п. 2 указывает на признание утратившим силу ПП 781.
Приказ 21 указывает в п. 2 на признание утратившим силу приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
Постановления Правительства Российской Федерации о лицензировании закрепляют норму, что выполнение мероприятий по защите конфиденциальной информации компаниями для собственных целей (для себя) не требует от компании наличия лицензии, как это было ранее, и зачастую для некоторых это было мало реализуемо (например, для банков, где это было связано со сложностью изменения Устава компании).
Чуть позже (в 2014 году) ФСБ России во исполнение ПП 1119 издает документы в области обеспечения безопасности персональных данных с использованием криптографических средств:
Однако, с выходом указанных документов у компаний появляется недопонимание, какие документы по СКЗИ они обязаны применять в области обеспечения безопасности персональных данных, т.к. указанные документы не отменяют предыдущие.
Соответствующее разъяснение о применимости документов, связанных с криптографической защитой в области обеспечения безопасности персональных данных, ФСБ России дает в 2016 году – Информация ФСБ России от 21.06.2016 «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных». С этого момента наступает новый этап в области защиты персональных данных.
Параллельно с выходом профильных документов по защите персональных данных с 2011 году ФСТЭК России и ФСБ России утверждает требования к средствам защиты информации:
1) Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 06.12.2011 № 638 (информационное письмо ФСТЭК России), пометка ограничения ДСП
2) Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20.03.2012 № 28 (информационное сообщение ФСТЭК России от 30.07.2012 № 240/24/3095), пометка ограничения ДСП
3) Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27.09.2013 № 119 (информационное письмо ФСТЭК России от 06.02.2014 № 240/24/405), пометка ограничения ДСП
4) Требования к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28.07.2014 № 87 (информационное сообщение ФСТЭК России от 24.12.2014 № 240/24/4918), пометка ограничения ДСП
5) Требования к межсетевым экранам, утвержденные приказом ФСТЭК России от 09.02.2016 № 9 (информационное сообщение ФСТЭК России от 28.04.2016 № 240/24/1986), пометка ограничения ДСП
6) Требования безопасности информации к операционным системам, утвержденные приказом ФСТЭК России от 19.08.2016 № 119 (информационное сообщение ФСТЭК России от 18.10.2016 № 240/24/4893), пометка ограничения ДСП
7) Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденные приказом ФСТЭК России от 30.07.2018 № 131 (информационное сообщение ФСТЭК России от 29.03.2019 № 240/24/1525), пометка ограничения ДСП.
Примечание: В настоящее время указанные требования заменены на Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденные приказом ФСТЭК России от 02.06.2020 № 76 (информационное сообщение ФСТЭК России от 15.10.2020 № 240/24/4268), с пометкой ограничения ДСП.
Кроме этого, в указанные период времени ФСТЭК России дает разъяснение о допустимости применения подхода компаний, когда проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных в информационной системе персональных данных проводится в рамках процедуры аттестации (п. 3 информационное сообщение ФСТЭК России от 15.07.2013 № 240/22/2637).
Этапы выполнения работ по защите персональных данных
Ниже изложим основные этапы работы по защите персональных данных, руководствуясь принципом, что в существующих реалиях найдется крайне мало компаний, которые не используют в своей деятельности компьютеры, ноутбуки и иные средства вычислительной техники. Поэтому вопрос защиты персональных данных мы в первую очередь акцентируем на обработке персональных данных с использованием автоматизированных средств.
Кроме этого, разбор мер защиты информации будем проводить, в большей степени руководствуясь положениями Приказа 21, т.к. меры, указанные в нем, включают в свой состав набор требований изложенных в ст. 19 152-ФЗ и п.13-16 ПП 1119.
В рамках, обозначенных выше документов (в основном в Приказе 21) устанавливается следующий подход по защите персональных данных в информационных системах персональных данных (далее – ИСПДн):
1) Компания определяет условия функционирования системы, как объекта защиты. Под условиями функционирования понимаются:
назначение системы и ее функции/задачи, которые она решает
правовое поле, в рамках которого система существуют и какие нормативные/контрактные требования на нее распространяются
Примечание: здесь важным аспектом является то, что функционирование/существование системы может быть регламентировано различными нормативными и/или контрактными/договорными требованиями, которые могут устанавливать как особые условия функционирования (подключение, размещения, отказоустойчивости и т.п.), так и относящие ее к различным классам/категориям (например – как государственная информационная система или объект критической информационной инфраструктуры).
какие компоненты/модули/подсистемы ее составляют и целевое назначения каждого модуля/подсистемы
состав прикладного и системного программного обеспечения, а также аппаратные компоненты, используемые в системе
территориальная распределенность/размещение системы и используемые каналы связи с указанием подключения к сетям общего пользования (включая сеть Интернет)
взаимодействие с другими (включая сторонние, собственниками которых являются другие юридические лица) информационными системами (включая ИСПДн)
пользователи системы, их уровни доступа и функции
сторонние компании, участвующие в эксплуатации и использовании системы, а также компании, которые имеют и/или могут в теории получать доступ к различным компонентам системы
условия администрирования системы
пользователи системы, их уровни доступа и функции
размещение физических компонент (площадки, границы контролируемых вашей компанией зон (далее – КЗ) на площадках, порядок доступа в КЗ, порядок обслуживания, обязательства контрагентов)
перечень защищаемых информационных ресурсов системы и степень/уровень их конфиденциальности (включая отнесение к информации ограниченного доступа в соответствии с ч. 2 ст. 5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).
2) Компания определяет актуальные угрозы безопасности персональных данных при их обработке в системе.
В рамках определения актуальных угроз необходимо учитывать несколько аспектов:
Оценка актуальности угроз проводится без учета применяемых технических средств защиты информации. Это значит, что в ходе оценки средства защиты, даже если они уже сейчас существуют/внедрены в систему, не должны учитываться. Указанной позиции придерживается ФСТЭК России
Как мы обозначали в предыдущих статьях, любая сторонняя компания, даже если это дочернее лицо, рассматривается как потенциальный нарушитель. А значит, сведения об этом должны найти отражение в оценке потенциальных нарушителей, праве собственности/владении различными компонентами системы, порядке доступа к компонентам системы и т.д.;
Если компанией принимается решение об обеспечении безопасности персональных данных с использованием средств криптографической защиты информации или механизмов, использующих/реализующих криптографические преобразования, то в рамках моделирования угроз необходимо будет кроме нормативно-методических документов ФСТЭК России использовать еще документы ФСБ России и определить необходимый класс криптозащиты.
Также при моделировании угроз предлагаем вам провести оценку актуального типа угроз, как установлено в п. 6 и 7 ПП 1119. Это в любом случае необходимо будет сделать, т.к. иначе вы не сможете определить необходимый уровень защищенности персональных данных, как это устанавливает ПП 1119.
3) Определить необходимый уровень защищенности персональных данных.
Хотим лишь отметить важный аспект в определении уровня защищенности персональных данных: если в ходе изучения системы вы увидите, что в системе обрабатываются разный объем различных категорий/групп персональных данных (общедоступные, специальные биометрические или иные), которые относятся к различным субъектам, то уровень защищенности должен быть выбран по критериям, которые выходят на самый высокий уровень защищенности.
4) Определение/описание создаваемой с учетом уже существующих средств защиты системы защиты персональных данных.
Нормативными документами не установлена форма документа, в которой должна быть описана система защиты. Однако, руководствуясь своим опытом, предлагаем вам рассмотреть подход, который давно сложился в рамках описания автоматизированных систем - использование для описания информационной системы положений следующих документов:
РД 50-34.698-90. Методические указания. Информационная технология. Автоматизированные системы. Требования к содержанию документов.
Предлагается не полностью перенимать положения указанных документов, а использовать подход и наработки, которые в них изложены. Пусть вас не смущает тот факт, что РД 50-34.698-90 отменен (Приказ Росстандарта от 12.02.2019 №216 «О признании недействующими на территории Российской Федерации актов, изданных государственными органами, правопреемником которых является Федеральное агентство по техническому регулированию и метрологии»). К сожалению, в настоящий момент какой-то адекватной замены РД 50-34.698-90 нет (письмо Росстандарта от 16.04.2019 №6620-ИК/03 «По вопросу применения документов взамен РД 50-34.698-90 и Р 50-34.119-90»).
Кроме этого, необходимо отметить, что, если компанией принято решение использовать сертифицированные средства защиты информации в системе сертификации ФСТЭК России № РОСС RU.0001.01БИ00, то компании необходимо учитывать:
Наличие указанных средств в реестре сертифицированных средств защиты информации
Соответствие условий/классов на которое сертифицировано предполагаемое для использования средство защиты информации и требований, которые установлены в п. 12 приказа 21
Ограничения по эксплуатации и использованию, которые указаны в эксплуатационной документации (формуляры, паспорта и т.д.) на средства защиты
Положения о порядке действия сертификата соответствия, которые указаны в приказе ФСТЭК России от 03.04.2018 № 55 «Об утверждении Положения о системе сертификации средств защиты информации».
Кроме этого, если компанией принято решение использовать сертифицированные средства криптографической защиты информации, то компании необходимо учитывать:
Наличие указанных средств в реестре средств защиты информации, сертифицированных ФСБ России
Ограничения по эксплуатации и использованию, которые указаны в правилах использования и эксплуатационной документации (формуляры, паспорта и т.д.) на средства защиты
Ограничения на вывоз средств криптографической защиты за пределы Российской Федерации, даже для собственных нужд компании (установлена отдельная процедура – Решение Коллегии Евразийской экономической комиссии от 21.04.2015 № 30 «О мерах нетарифного регулирования»).
Дополнительным подспорьем в понимании, что ФСТЭК России понимает под каждой мерой, указанной в Приказе 21, может стать документ, который ФСТЭК России разработал по схожей методологии, но применительно к государственным информационным системам. Указанным документом является Методический документ «Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014).
5) Разработка необходимого комплекта организационно-распорядительной документации.
Утвержденного комплекта, как и формы самих документов в нормативных документах не установлено, но необходимо учитывать ряд аспектов:
При разработке должны учитываться положения ПП 1119 и ПП 687, определяющие различные условия обработки персональных данных. Это связано с тем, что зачастую в рамках процесса, который обеспечивает защищаемая система, как правило, одна форма обработки может дополняться другой (т.е. из системы могут выводиться документы на бумажных носителях или вами будут разрабатываться какие-то формы учета доступа к системе или ее компонентам, в которых будут отражаться персональные данные субъектов)
Если компанией принято решение использовать для защиты персональных данных средства криптографической защиты информации, то необходимо учитывать положения Инструкции 152. В данном документе устанавливается определённый набор документов, форм учета и процедуры, которые должны быть реализованы компанией
Определить лиц, участвующих в обработке персональных данных и ответственных за обеспечение системы защиты персональных данных:
- ответственного за обеспечение безопасности персональных данных
- администраторов
средств защиты персональных данных
- пользователей
криптосредств
- пользователей
системы
- лиц,
допущенных к электронному журналу сообщений и безопасности системы
- лиц,
допущенных в места размещения компонентов системы
- лиц,
допущенных к носителям персональных данных.
Дополнительным подспорьем в понимании, какие меры желательно регламентировать/описать, может стать все тот-же документ ФСТЭК России - Методический документ «Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014).
6) Внедрение системы защиты персональных данных.
На основании разработанной/спроектированной системы защиты производится закупка и установка средств защиты, нейтрализующих актуальные угрозы безопасности. Какие советы можно дать в рамках данного этапа:
Если компанией принято решение использовать для защиты персональных данных средства криптографической защиты информации, то необходимо учитывать положения Инструкции 152. В данном документе устанавливается определённый набор документов, форм учета и процедуры, которые должны быть реализованы компанией в том числе в ходе установки, перемещения и использования
Если компанией принято решение использовать сертифицированные средства защиты информации в системе сертификации ФСТЭК России, то ей необходимо учитывать ограничения по эксплуатации и использованию, которые указаны в эксплуатационной документации (формуляры, паспорта и т.д.) на средства защиты
Если компанией принято решение использовать сертифицированные ФСБ России средства криптографической защиты информации, то ей необходимо учитывать ограничения по эксплуатации и использованию, которые указаны в правилах использования и эксплуатационной документации (формуляры, паспорта и т.д.) на средства защиты
Если компанией принято решение использовать арендуемые у другой компании средства защиты или услуги по защите информации, то соответствующие положения в части оценки угроз, нарушителей и описание данных условий и механизмов должны найти отражение в разрабатываемых документах на систему защиты персональных данных, а компания, оказывающая услуги по защите информации, должна иметь лицензию ФСТЭК России на техническую защиту конфиденциальной информации (с соответствующим разрешенным видом деятельности), а для средств криптографической информации соответствующую лицензию ФСБ России.
7) Оценка эффективности.
Установленной формы оценки эффективности созданной/реализованной системы защиты информации не существует. Форму оценки компания выбирает сама: она может провести ее в рамках приемочных испытаний, в рамках каких-то комплексных испытаний, совмещенных с приемкой системы в эксплуатацию, в рамках аттестационных испытаний по требованиям безопасности информации. Главное, чтобы в ходе проверки были оценены полнота и достаточность реализованных мер защиты, необходимых для нейтрализации актуальных угроз безопасности, а также обязательных требований нормативно-правовых актов и эксплуатационной документации на применяемые средства защиты.
В рамках данного этапа можно посоветовать рассматривать аттестациютолько как один из самых крайних способов. Аттестация больше направлена на фиксацию/статичность объекта защиты и его системы защиты. Эта форма оценки плохо увязывается с классической жизнью информационной системы коммерческой компании, где система постоянно находится в процессе изменения, модернизации, развития.
8) Вывод системы из эксплуатации.
В ходе вывода системы из эксплуатации должно быть обеспечено удаление персональных данных с носителей, подключенных к системе. Удаление должно сопровождаться актом комиссии и соответствующей отметкой в журнале учета.
Дополнительно также необходимо обратить внимание на условия вывода из эксплуатации, указанные в документации на примененные в системе средства криптографической защиты информации и положения Инструкции 152.
Как мы видим, требования по защите персональных данных не стоят на месте и постоянно изменяются. Так, в 2021 году произошли следующие основные изменения:
1) Отменены требования в приказе 21 по обязательной сертификации средств защиты, если для системы были определены актуальными 1 или 2 тип актуальных угроз (п. 6 ПП 1119). Указанные изменения вступили в силу 01.01.2021 в соответствии с приказом ФСТЭК России от 14.05.2020 № 68 «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21»
2) ФСТЭК России:
Отменил Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России, 2008) (Информационное сообщение ФСТЭК России от 15.02.2021 № 240/22/690)
Провел этап общественного обсуждения проекта приказа ФСТЭК России «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну»
Проводит общественные обсуждения проект приказа о внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России от 3.04.2018 № 55.
Таким образом, выполнив работы по защите персональных данных компании, необходимо постоянно отслеживать изменения/уточнения в данном вопросе и своевременно вносить изменения/корректировки в созданную систему защиты.