Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.
Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.
Постановление Правительства № 1119 от 1 ноября 2012
Определение уровня защищенности персональных данных
Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.
Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;
3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
- обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
- обработка персональных данных субъектов, не являющихся работниками вашей организации.
По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
- менее 100 000 субъектов;
- более 100 000 субъектов;
К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы…
И наконец, типы актуальных угроз:
- угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
- угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
- угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.
Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:
В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.
В процессе разработки организационно-распорядительной документации для информационной системы персональных данных по новым требованиям я столкнулась с забавным моментом. Ни для кого не секрет, что Постановление Правительства РФ № 1119 и 21 приказ ФСТЭК не особо согласованы. Уже миллион раз на форумах специалисты по информационной безопасности обсудили, что в 21 приказе отсутствует пункт 5 (видно каждая комиссия из Роскомнадзора будет приходить на проверку в компании со своим 5 пунктом…), что из Постановления Правительства РФ № 1119 до сих пор так и не ясно, что такое «электронный журнал сообщений» и как он связан (а связан ли вообще?) с «электронным журналом безопасности»? Фантазировать можно долго и много…
Не знаю, обсуждалось ли это на просторах Интернета или нет, но у нас в блоге точно нет, поэтому поделюсь найденным мной разночтением в этих законодательных актах.
В Постановление Правительства РФ № 1119 прописано:
«13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных»
далее прописано, что все требования, которые предъявляются к 4 уровню защищенности, должны быть выполнены и для 1, 2 и 3 уровней.
В 21 приказе ФСТЭК есть группа мер по обеспечению безопасности персональных данных «IV. Защита машинных носителей персональных данных»:
IV. Защита машинных носителей персональных данных (ЗНИ) |
|||||
ЗНИ.1 | Учет машинных носителей персональных данных |
+ |
+ |
||
ЗНИ.2 | Управление доступом к машинным носителям персональных данных |
+ |
+ |
||
ЗНИ.З | Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны | ||||
ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием персональных данных,хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах | ||||
ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных | ||||
ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители персональных данных | ||||
ЗНИ.7 | Контроль подключения машинных носителей персональных данных | ||||
ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания |
+ |
+ |
+ |
Как мы видим, меры по учёту и управлению машинными носителями ПДн предъявляются только для 1 и 2 уровня защищенности.
Логично, что «обеспечение сохранности носителей ПДн» невозможно без их учёта, а также разграничения доступа к ним. На лицо несоответствие требований, которые предъявляются к защите и сохранности носителей ПДн. Согласно Постановлению Правительства РФ № 1119 необходимо обеспечивать защиту и сохранность носителей ПДн (в том числе и машинных носителей) для ВСЕХ УРОВНЕЙ ЗАЩИЩЕННОСТИ, а в 21 приказе ФСТЭК прописаны аналогичные требования только для 1 и 2 уровня защищенности.
Думаю, что ни для кого не станет откровением, что при возникновении несоответствий в законодательных актах, необходимо руководствоваться высшим законодательным актом, в нашем случае это Постановление Правительства РФ № 1119. Соответственно учет и управление доступом к машинным носителям ПДн необходимо обеспечивать для всех уровней защищенности. Остается надеяться, что со временем таких ляпов в законодательстве станет меньше.
Possibly Related Posts:
- Инновации по кибербезопасности на Международном военно-техническом форуме «АРМИЯ-2020»
- ГК «Эшелон» снова в списке лидеров в области информационных и коммуникационных технологий!
- Киберпатриот в армии
- «КОМРАД 4.0»: кросс-платформенная отечественная SIEM-система с дружественным интерфейсом и высокой производительностью
- Новое средство защиты информации от НПО «Эшелон»: генератор шума «Пульсар»
Эксперт сообщества Анастасия Ковязина
Выпускник МГТУ им. Н.Э.Баумана по специальности «Защита информации». Ведущий специалист группы аудита и консалтинга информационной безопасности.