1119 приказ ФСТЭК

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Постановление Правительства № 1119 от 1 ноября 2012

Определение уровня защищенности персональных данных

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы…

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

В процессе разработки организационно-распорядительной документации для информационной системы персональных данных по новым требованиям я столкнулась с забавным моментом. Ни для кого не секрет, что Постановление Правительства РФ № 1119 и 21 приказ ФСТЭК не особо согласованы. Уже миллион раз на форумах специалисты по информационной безопасности обсудили, что в 21 приказе отсутствует пункт 5 (видно каждая комиссия из Роскомнадзора будет приходить на проверку в компании со своим 5 пунктом…), что из Постановления Правительства РФ № 1119 до сих пор так и не ясно, что такое «электронный журнал сообщений» и как он связан (а связан ли вообще?) с «электронным журналом безопасности»? Фантазировать можно долго и много…

Не знаю, обсуждалось ли это на просторах Интернета или нет, но у нас в блоге точно нет, поэтому поделюсь найденным мной разночтением в этих законодательных актах.

В Постановление Правительства РФ № 1119 прописано:

«13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных»

далее прописано, что все требования, которые предъявляются к 4 уровню защищенности, должны быть выполнены и для 1, 2 и 3 уровней.

В 21 приказе ФСТЭК есть группа мер по обеспечению безопасности персональных данных «IV. Защита машинных носителей персональных данных»:

IV. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.1 Учет машинных носителей персональных данных

+

+

ЗНИ.2 Управление доступом к машинным носителям персональных данных

+

+

ЗНИ.З Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны
ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием персональных данных,хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных
ЗНИ.6 Контроль ввода (вывода) информации на машинные носители персональных данных
ЗНИ.7 Контроль подключения машинных носителей персональных данных
ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

+

+

+

Как мы видим, меры по учёту и управлению машинными носителями ПДн предъявляются только для 1 и 2 уровня защищенности.

Логично, что «обеспечение сохранности носителей ПДн» невозможно без их учёта, а также разграничения доступа к ним. На лицо несоответствие требований, которые предъявляются к защите и сохранности носителей ПДн. Согласно Постановлению Правительства РФ № 1119 необходимо обеспечивать защиту и сохранность носителей ПДн (в том числе и машинных носителей) для ВСЕХ УРОВНЕЙ ЗАЩИЩЕННОСТИ, а в 21 приказе ФСТЭК прописаны аналогичные требования только для 1 и 2 уровня защищенности.

Думаю, что ни для кого не станет откровением, что при возникновении несоответствий в законодательных актах, необходимо руководствоваться высшим законодательным актом, в нашем случае это Постановление Правительства РФ № 1119. Соответственно учет и управление доступом к машинным носителям ПДн необходимо обеспечивать для всех уровней защищенности. Остается надеяться, что со временем таких ляпов в законодательстве станет меньше.

Possibly Related Posts:

  • Инновации по кибербезопасности на Международном военно-техническом форуме «АРМИЯ-2020»
  • ГК «Эшелон» снова в списке лидеров в области информационных и коммуникационных технологий!
  • Киберпатриот в армии
  • «КОМРАД 4.0»: кросс-платформенная отечественная SIEM-система с дружественным интерфейсом и высокой производительностью
  • Новое средство защиты информации от НПО «Эшелон»: генератор шума «Пульсар»

Эксперт сообщества Анастасия Ковязина

Выпускник МГТУ им. Н.Э.Баумана по специальности «Защита информации». Ведущий специалист группы аудита и консалтинга информационной безопасности.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *