Пономаренко С.А. Регуляторы в области защиты ПДн ФСТЭК России Правительство России ФСБ России МВД России Роскомнадзор России МЧС России Правительство России Постановление от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Постановление от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление от 4 марта 2010 г. N 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию» Постановление от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» Постановление от 18 сентября 2012 г. N 940 «Об утверждении правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Постановление от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» ФСТЭК России Приказ ФСТЭК России от 11 февраля 2013 г. N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год ФСБ России Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России, 21 февраля 2008 г. , № 149/6/6-622; Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21 февраля 2008 г, No 149/5-144 Роскомнадзор России Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008 г. N 154 "Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных" Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций от 17 июля 2008 г. № 08 “Об утверждении образца формы уведомления об обработке персональных данных” Приказ Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных" Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 20ХХ год Основные принципы построения систем обеспечения безопасности персональных данных Построение системы защиты персональных данных Построение системы защиты персональных данных оценку обстановки обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн разработку замысла обеспечения безопасности ПДн обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты и замыслом защиты решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты обеспечение реализации принятого замысла защиты планирование мероприятий по защите ПДн организацию и проведение работ по созданию системы защиты персональных данных (СЗПДн) разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн доработку СЗПДн по результатам опытной эксплуатации Оценка обстановки Анализ информационных ресурсов Определение состава, содержания и местонахождения ПДн Категорирование ПДн Оценка выполнения обязанностей по обеспечению безопасности ПДН Оценка возможности физического доступа к ИСПДн Анализ угроз безопасности ПДН Выявление каналов утечки информации Анализ НДВ системного программного обеспечения Анализ НДВ прикладного программного обеспечения Оценка ущерба от реализации угроз Оценка непосредственного ущерба от реализации угроз Оценка опосредованного ущерба от реализации угроз От физического доступа к ИСПДн Анализ имеющихся средств защиты ПДН От НСД ОТ НДВ системного программного обеспечения От НДВ прикладного программного обеспечения Определение состава и содержания ПДн Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты Трудовой кодекс РФ (ТК РФ) от 30.12.2001 N 197-ФЗ Статья 9. Согласие субъекта персональных данных на обработку его персональных данных Федеральный закон № 152-ФЗ «О персональных данных» «Об утверждении требований и методов по обезличиванию персональных данных» Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 Постановление правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных" Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, выше Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" № Наименование метода и его суть Свойства обезличенных Оценка основных свойств данного метода данных, которые обеспечивает данный метод 1 Метод введения - полнота;метод позволяет провести процедуру идентификаторов структурированность; деобезличивания;- метод позволяет перейти от реализуется путем замены - семантическая одной таблицы соответствия к другой без части персональных данных, целостность; проведения процедуры деобезличивания; позволяющих - применимость - метод не устойчив к атакам, подразумевающим идентифицировать субъекта, наличие у лица, осуществляющего их идентификаторами и несанкционированный доступ, частичного или созданием таблицы полного доступа к справочнику идентификаторов; соответствия метод не исключает возможность деобезличивания с использованием ПДн, имеющихся у других операторов 2 Метод изменения состава - структурированность;- - метод не позволяет провести процедуру или семантики реализуется релевантность; деобезличивания в полном объеме и применяется путем обобщения, - применимость; при статистической обработке персональных изменения или удаления - анонимность данных;- метод не позволяет изменять параметры части сведений, метода без проведения предварительного позволяющих деобезличивания; идентифицировать субъекта - метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания; - стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных; - метод исключает возможность деобезличивания с использованием ПДн, имеющихся у других операторов № Наименование метода и его суть 3 Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам 4 Метод перемешивания реализуется путем перемешивания отдельных записей, а так же групп записей между собой Свойства обезличенных данных, которые обеспечивает данный метод - полнота;структурированность; - релевантность; - семантическая целостность; - применимость - полнота;структурированность; - релевантность; - семантическая целостность; - применимость; - анонимность Оценка основных свойств данного метода метод позволяет провести процедуру деобезличивания;- метод позволяет изменить параметры декомпозиции без предварительного деобезличивания; - метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания; - метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений; - метод не исключает возможность деобезличивания с использованием ПДн, имеющихся у других операторов метод позволяет провести процедуру деобезличивания;- метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания; - метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания; - длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию; - метод исключает возможность проведения деобезличивания с использованием ПДн, имеющихся у других операторов Общая блок-схема построения ЧМУ Формируем список возможных УБПДн, которые могут быть нейтрализованы требованиями из Приказа ФСТЭК №21, а также добавляем в перечень угрозы, связанные с использованием в ИС «новых информационных технологий» и для которых не определены меры обеспечения их безопасности К сформированному перечню возможных УБПДн применяем «Методику определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» ФСТЭК Определение уровня защищенности ИСПДн Тип ИСПДн ИСПДн-С (специальные) Сотрудники оператора Количество субъектов Нет > 100 000 Нет Да < 100 000 ИСПДн-Б (биометрические) ИСПДн-И (иные) ИСПДн-О (общедоступные) Нет > 100 000 Нет Да < 100 000 Нет > 100 000 Нет Да < 100 000 Тип актуальных угроз 1 (НДВ ОС) 2 (НДВ ПО) 3 (Без НДВ) УЗ-1 УЗ-1 УЗ-2 УЗ-1 УЗ-2 УЗ-3 УЗ-1 УЗ-2 УЗ-3 УЗ-1 УЗ-2 УЗ-3 УЗ-2 УЗ-3 УЗ-4 УЗ-2 УЗ-2 УЗ-4 УЗ-2 УЗ-3 УЗ-4 По итогам определения перечня актуальных угроз сформируется перечень тех требований, которые нам необходимо выполнить, а также составить перечень контрмер (как организационного, так и технического характера), которые необходимо применить для нейтрализации актуальных угроз и выполнения «актуальных» требований Угрозы безопасности ПДн Подмена доступа субъекта Подмена доступа объекта Утрата компрометация идентификатора или Утрата компрометация средств аутентификации или … Условное обозначение Контрмеры Организационные Технические Регламентация доступа к ИСПДн Сертифицированные СЗ от НСД ИАФ.3 Регламентация порядка обращения с идентификатором Применение средств управления идентификаторами … … … ИАФ.1, ИАФ.6 ИАФ.2 Обоснование требований Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, проводится в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти, обязательными к применению стандартами и на основании утвержденного ФСТЭК России документа «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Приказ ФСТЭК России от 18 февраля 2013 г. N 21 ). Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком). Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом : • ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» • ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» • ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» • ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» • ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» • ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» Требования к системе защиты персональных данных включаются в техническое задание на создание информационной системы персональных данных и (или) техническое задание (частное техническое задание) на создание системы защиты информационной системы персональных данных. Содержание ТЗ должно включать: • цель и задачи обеспечения защиты ПДН в информационной системе; • уровень защищенности ИСПДн; • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать СЗ ИСПДн; • перечень (схема) объектов защиты информационной системы; • требования к мерам и средствам защиты ПДН, применяемым в ИСПДн; • требования к защите ПДН при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации; • требования к обеспечивающим подсистемам , условиям функционирования ИСПДн и нормам безопасности. Решение вопросов управления Важным аспектом поддержания требуемого уровня безопасности ПДн является решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты. К вопросам управления относятся: • распределение функций управления доступом к данным и их обработки между должностными лицами; • определение порядка изменения правил доступа к защищаемой информации; • определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам; • определение порядка действий должностных лиц в случае возникновения нештатных ситуаций; • определение порядка проведения контрольных мероприятий и действий по их результатам. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться оператором или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации. Решение организационных вопросов Решение организационных вопросов обеспечения защиты ПДн должно предусматривать подготовку документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн, подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения. Организационно-распорядительные и эксплуатационные документы : • Акты, • Приказы, • Положения, • Перечни, • Инструкции, • Уведомления, • Соглашения, • Книги и журналы учета Акт Приказ Положение • • • • • Информационного обследования Определения уровня защищенности ИСПДн Ввода в эксплуатацию СЗИ Ввода в эксплуатацию СКЗИ Акт выполненных работ • О назначении комиссии по информационному обследованию и определению уровня защищенности ИСПДн • О назначении ответственного за организацию обработки персональных данных • Об организации работ по защите ПДн • О назначении контролируемой зоны ИСПДн • О назначении администратора информационной безопасности • О введении режима обработки и защиты ПДн • О назначении ответственных за обработку ПДн • О назначении ответственных лиц по работе с шифровальными (криптографическими) средствами • О вводе в эксплуатацию ИСПДн • О порядке организации и проведения работ по защите ПДн в ИСПДн • О порядке обработки ПДн без использования средств автоматизации Перечень • Информационных систем персональных данных • Персональных данных • Должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных • Должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным Инструкция • Рассмотрения запросов субъектов ПДн или их представителей • Осуществления внутреннего контроля соответствия обработки ПДн требованиям к их защите • Работы с обезличенными данными • Ответственного за организацию обработки ПДн • Пользователя ИСПДн • По организации антивирусной защиты • По организации парольной защиты • По разграничению доступа пользователя к средствам защиты и информационным ресурсам • По физической охране ИСПДн, контролю доступа к ее компонентам • По учету носителей, регистрации их выдачи • Резервного копирования данных Соглашения, обязательства, уведомления • типовое обязательство сотрудника о неразглашении конфиденциальной информации (приложение к трудовому договору) • типовое обязательство сотрудника, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним трудового договора, прекратить обработку ПДн, ставших известными ему в связи с исполнением должностных обязанностей; • типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн • типовая форма согласия на обработку ПДн субъектов ПДн • типовая форма уведомления работника о получении его персональных данных от третьих лиц • типовая форма согласия работника на получение работодателем персональных данных от третьих лиц • типовая форма отзыва работником согласия на обработку персональных данных • уведомление уполномоченному органу по защите прав субъектов ПДн об обработке (намерении осуществлять обработку) ПДн Журналы • Журнал учета обращений субъектов ПДн о выполнении их законных прав • Журнал ознакомления работников с требованиями действующих нормативно-правовых и руководящих документов • Журнал учета средств защиты информации • Журнал учета паролей пользователя ИС ПДн • Журнал учета персональных идентификаторов • Журнал учета резервирования и восстановления ПДн • Журнал учета выдачи материальных носителей ПДн • Журнал учета уничтожения материальных носителей ПДн • Журнал учета ключей от помещений • Журнал учета ключей от сейфов • Аппаратный журнал учета эксплуатации криптосредств • Журнал учета пользователей криптосредств • Журнал поэкземплярного учета криптосредств • Журнал учета проверок • Журнал по учету мероприятий по контролю Прочие документы • План мероприятий по обеспечению защиты ПДн • Частная модель угроз безопасности ПДн • Аналитическое обоснование создания (модернизации) системы защиты ИСПДн • Техническое задание на создание (модернизацию) системы защиты ИСПДн • Технический проект создания (модернизации) системы защиты ИСПДн • Заключение об эффективности принятых мер • Технический паспорт ИСПДН • Лицензии и сертификаты на СКЗИ и СЗИ • Разрешительная система доступа к ПДн • Описание технологического процесса обработки информации • План внутренних проверок Для функционирующих ИСПДн доработка (модернизация) СЗПДн должна проводиться в том случае, если: • изменился состав или структура самой ИСПДн или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ИСПДн); • изменился состав угроз безопасности ПДн в ИСПДн; • изменился уровень защищенности ИСПДн.