Обработка и защита персональных данных, или Как угодить регуляторам. Часть 2

 ЮРИЙ КНЯЗЕВ, ООО «Агентство Р.О.С.долгЪ», начальник отдела информационной безопасности, kyi-13@ya.ru

Обработка и защита персональных данных,
или Как угодить регуляторам. Часть 2

Продолжим разбираться с вопросом о персональных данных [1]. Что такое модель угроз безопасности персональных данных? Для чего она нужна и как ее разработать?

Основные мероприятия по защите документов, содержащих персональные данные

Документы (как в бумажном, так и в электронном виде), содержащие персональные данные, должны храниться отдельно от остальных документов в сейфе или в закрываемом на ключ металлическом шкафу (ящике). Кроме того, нельзя хранить в одном месте персональные данные, цели обработки которых различны. Например, в банке нельзя хранить в одном сейфе или в одной информационной системе личные дела сотрудников и клиентов.

Доступ в места хранения и обработки документов, содержащих персональные данные, должен быть ограничен (помещение должно запираться на ключ, быть оснащено техническими средствами охраны) и регламентирован. Для этого создается документ «Перечень помещений, предназначенных для обработки ПДн». В перечне указываются сами помещения, какие ПДн там обрабатываются или название ИСПДн, ФИО и должность ответственного за помещение, ФИО работников, имеющих доступ в помещение.

Сотрудники, обрабатывающие персональные данные, должны быть ознакомлены с порядком физической защиты носителей ПДн (документов). Для этого разрабатывается «Инструкция о порядке физической охраны помещений, содержащих носители персональных данных». В инструкции указываются порядок доступа в помещение в начале рабочего дня, порядок закрытия помещения при окончании рабочего дня, какие действия необходимо предпринять принештатных ситуациях.

Должен быть разработан и утвержден руководителем организации перечень лиц, имеющих доступ к документам, содержащим персональные данные. Он может быть определен в «Положении о разграничении прав доступа к персональным данным». В положении надо обязательно указать список лиц, допущенных к автоматизированной или неавтоматизированной обработке ПДн, а также их уровень прав доступа к ПДн, разрешенные действия (сбор, хранение, обновление, изменение, уничтожение, распространение и т.д.).

Сотрудники, работающие с документами, содержащими персональные данные, должны быть ознакомлены с порядком обработки ПДн. Для этого разрабатывается «Инструкция по обработке персональных данных» как с использованием средств автоматизации, так и без них. Ознакомить работников с инструкцией необходимо под роспись. В инструкции прописываются порядок предоставления доступа к обрабатываемым ПДн, предоставление информации по обращению субъекта ПДн, обязанности работника, допущенного к обработке ПДн, и т.д.

Документы, содержащие ПДн, просто так выкинуть в мусорную корзину нельзя, для этого необходимо разработать «Инструкцию по уничтожению носителей, содержащих персональные данные». Прежде чем утилизировать документы, ворганизации приказом создается комиссия по уничтожению. Уничтожение носителей производится комиссионно. По результатам оформляется «Акт об уничтожении носителей, содержащих персональные данные».

Если при проходе на территорию организации посетители регистрируются в журнале (в журнал записываются их персональные данные), также необходимо выполнить ряд требований.

Порядок пропуска на территорию организации и регистрации в журнале должен быть закреплен приказом руководителя организации («Приказ о пропуске на территорию организации»). В этом приказе должны быть указаны цель ведения журнала, состав персональных данных, запрашиваемых у посетителя, способ ведения журнала (бумажный или в электронном виде), перечень лиц (поименно или по должностям), имеющих доступ к журналу и ответственных за егозаполнение и хранение, сроки хранения журнала, порядок пропуска на территорию организации.

Определение уровня защищенности ИСПДн

Чтобы определить требуемые меры по защите персональных данных, в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 [2] необходимо определить уровень защищенности ИСПДн.

Уровень защищенности персональных данных – это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности ИСПДн.

Для определения уровня защищенности приказом по организации создается комиссия, которой необходимо установить категории обрабатываемых ПДн субъектов (физических лиц), вид обработки по форме отношений между субъектами иорганизацией, количество субъектов, а также тип угроз, актуальных для информационной системы.

Все ИСПДн по категориям обрабатываемых данных делятся на четыре группы:

• Специальные категории ПДн – данные, к которым относится информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информация о здоровье и интимной жизни субъекта.
• Биометрические ПДн – данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев.
• Общедоступные ПДн – сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом.
• Иные категории ПДн – данные, не представленные в трех предыдущих группах.

По форме отношений между организацией и субъектами обработка ПДн подразделяется на два вида:

• Обработка персональных данных работников (субъектов, с которыми организация связана трудовыми отношениями).
• Обработка персональных данных субъектов, не являющихся работниками организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены всего две категории:

• Менее 100 000 субъектов.
• Более 100 000 субъектов.

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как говорят наши законотворцы.

По типам актуальных угроз подразделяют три типа угроз:

• Угрозы первого типа связаны с наличием недекларированных (недокументированных) возможностей в системном программном обеспечении, используемом в ИСПДн.
• Угрозы второго типа связаны с наличием недекларированных возможностей в прикладном программном обеспечении, используемом в ИСПДн.
• Угрозы третьего типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

При этом в постановлении не дается указаний на способы выявления недекларированных возможностей программного обеспечения. Это привело к наличию различных точек зрения по данному вопросу, однако есть простая рекомендация: если программное обеспечение лицензионное, выпущено серийно и имеет широкое распространение, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае естьвысокая вероятность наличия недокументированных функций, способных нанести вред.

После установки исходных данных для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии с таблицей (см. рис. 1).

Рисунок 1. Таблица определения уровня защищенности персональных данных

По результатам определения уровня защищенности комиссией должен быть оформлен «Акт определения уровня защищенности ИСПДн».

Для персональных данных, обрабатываемых в информационных системах персональных данных и обрабатываемых без использования средств автоматизации, выдвигаются различные требования по защите [3].

Модель угроз

В соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21.02.2008 № 149/54-144) [4] модель угроз – это перечень возможных угроз.

Однако в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» (утв. Приказом Ростехрегулирования от 27.12.2006 № 373-ст) [5] дано более емкое определение:

«Модель угроз (безопасности информации) – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации».

Другими словами, модель угроз – это документ, тем или иным способом описывающий возможные угрозы безопасности персональных данных.

Что такое угроза безопасности информации (персональных данных)

В документе «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15.02.2008 г. [6] дано следующее определение:

«Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных».

Проще говоря, угроза – это «брешь» в системе защиты. Угроза может привести к утечке (уничтожению, модификации), а может, и нет. Наличие угрозы свидетельствует лишь о наличии возможности несанкционированного доступа кданным.

Для чего нужна модель угроз

В соответствии с пунктом 2 статьи 19 ФЗ-152 «О персональных данных» обеспечение безопасности персональных данных достигается, в частности, определением угроз безопасности персональных данных при их обработке винформационных системах персональных данных, т.е. разработкой модели угроз.

Персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Угрозы безопасности ПДн при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями работников ИСПДн, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.

Угрозы безопасности ПДн могут быть реализованы за счет утечки ПДн по техническим каналам:

• Технические каналы утечки информации, обрабатываемой в технических средствах ИСПДн.
• Технические каналы перехвата информации при ее передаче по каналам связи.
• Технические каналы утечки акустической (речевой) информации.

либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения.

Модель угроз персональных данных позволяет оператору определить уровень защищенности ИСПДн, также она необходима для определения требований к системе защиты. Без модели угроз невозможно построить адекватную (с точки зрения денежных затрат) систему защиты информации, обеспечивающую безопасность персональных данных. В систему защиты включаются только те средства защиты информации, которые нейтрализуют актуальные угрозы.

Разработка модели угроз безопасности персональных данных

Модель угроз, или как ее еще называют «Частная модель угроз», может разрабатываться ответственными за защиту персональных данных в организации. Также могут привлекаться сторонние эксперты. Разработчики модели угроз прежде всего должны провести аудит информационных систем. Только владея полной информацией об ИСПДн, можно разработать адекватную модель угроз. Также разработчики должны знать нормативную базу по защите информации. Приотсутствии экспертов разработку модели угроз лучше доверить сторонней организации.

Если в организации несколько информационных систем, например ИСПДн «Работники» и ИСПДн «Пациенты», для каждой ИСПДн необходимо разработать свою модель угроз.

Порядок разработки модели угроз определен в документах ФСТЭК:

• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [6].
• «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14.02.2008 г. [7].

Документ «Базовая модель» содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Многие эксперты по защите информации весьма скептически относятся к этому документу. Угрозы, приведенные в базовой модели, морально устарели и далеко не всеобъемлющи. Однако за неимением лучшего приходится довольствоваться текущей редакцией документа.

Документ «Методика определения актуальных угроз» содержит алгоритм оценки угрозы. Путем несложных математических расчетов определяется статус каждой вероятной угрозы.

В модели угроз необходимо отобразить:

• Назначение и основные параметры ИСПДн (цель использования, структура информационной системы, имеется ли подключение к сети Интернет, местонахождение технических средств информационной системы и д.р.).
• Состав персональных данных (ФИО, паспортные данные, СНИЛС и д.р.).
• Конфигурация ИСПДн (территориальное расположение, схема работы в локальной сети, матрица доступа).
• Модель вероятного нарушителя (внутренний нарушитель, внешний нарушитель).
• Описание объектов и целей реализации угроз информационной безопасности.
• Описание каналов реализации угроз информационной безопасности.
• Рассчитать уровень исходной защищенности ИСПДн и частоту (вероятность) реализации рассматриваемых угроз.

Чем руководствоваться

Не многие специалисты информационной безопасности знают, что защита ПДн не ограничивается двумя-тремя федеральными законами и постановлениями, ниже представлен перечень документов для руководства при организации защиты ПДн:

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена ФСТЭК России 14.02.2008 г.).
• Приказ от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена ФСТЭК России 15.02.2008 г.).
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
• Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
• Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
• Постановление Правительства РФ от 01.11.2012 № 1119«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
• Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».
• «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утв. решением Гостехкомиссии России от 30.03.1992).
• Информационное сообщение ФСТЭК России от 28.04.2016 г.№ 240/24/1986 «Об утверждении требований к межсетевым экранам».
• Информационное письмо ФСТЭК России «Об утверждении требований к системам обнаружения вторжений».
• Информационное сообщение ФСТЭК России от 30.07.2012 г. № 240/24/3095 «Об утверждении требований к средствам антивирусной защиты».
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
• Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ – глава 14 «Защита персональных данных работника».
• Постановление Правительства РФ от 21.03.2012 № 211«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми всоответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
• Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
• Приказ Роскомнадзора от 22.07.2015 № 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».

Примерный перечень необходимых внутренних документов

В данном разделе указан примерный перечень документов, необходимых для разработки:

• Приказ о назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах.
• Приказ о назначении администратора безопасности информационных систем персональных данных.
• ПЛАН мероприятий по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных.
• Приказ о начале проведения работ по защите персональных данных.
• Политика информационной безопасности.
• ПОЛОЖЕНИЕ по защите персональных данных.
• ПРАВИЛА обработки персональных данных.
• Приказ о создании комиссии по определению уровня защищенности информационных систем персональных данных.
• Перечень персональных данных.
• Перечень информационных систем персональных данных.
• Модель угроз и вероятного нарушителя информационной системы персональных данных (для каждой ИСПДНн должна быть своя модель угроз).
• Акт определения уровня защищенности ИСПДн.
• Описание технологического процесса обработки персональных данных в ИСПДн.
• Положение о разграничении прав доступа к персональным данным.
• Перечень помещений, предназначенных для обработки и хранения персональных данных.
• Приказ об определении перечня помещений для обработки персональных данных и работников, назначенных ответственными за эти помещения.
• Приказ о контролируемой зоне.
• Приказ об утверждении перечня работников, допущенных к обработке персональных данных.
• Согласие физического лица (субъекта персональных данных) на обработку персональных данных.
• Инструкция по обработке персональных данных без использования средств автоматизации.
• Инструкция администратора безопасности информационной системы персональных данных.
• Инструкция по работе с обращениями субъектов персональных данных.
• Инструкция пользователя информационной системы персональных данных.
• Инструкция по обеспечению безопасности рабочих мест обработки персональных данных.
• Инструкция по резервированию и восстановлению работоспособности технических средств и ПО информационной системы персональных данных.
• Инструкция по работе со съемными носителями, содержащими персональные данные.
• Инструкция о порядке физической охраны помещений, содержащих носители персональных данных.
• Инструкция о порядке проведения разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
• Инструкция по уничтожению носителей персональных данных.
• Приказ о введении режима обработки персональных данных.

Помимо этого совсем не лишним будет разработать общие документы для всех работников, а не только тех, которые обрабатывают персональные данные. Это такие документы, как:

• Положение по организации антивирусной защиты.
• Приказ о назначении администратора средств антивирусной защиты.
• Положение по организации парольной защиты.
• Положение по организации работы с аппаратными средствами и программным обеспечением.
• Положение об использовании сети Интернет, электронной почты, средств мгновенного обмена сообщениями и локальной вычислительной сети.
• Журнал учета средств защиты информации.
• Положение о резервном копировании, хранении и восстановлении информации.

Рассматривая вопрос обработки и защиты персональных данных, помните одну старинную поговорку: «Закон – что дышло: куда повернешь – туда и вышло».

1. Князев Ю. Обработка и защита персональных данных, или Как угодить регуляторам. // «Системный администратор», №10, 2017 г. – С. 14-17. URL: http://samag.ru/archive/article/3514.
2. Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» – http://www.consultant.ru/document/cons_doc_LAW_137356/8c86cf6357879e861790a8a7ca8bea4227d56c72/#dst100017.
3. Приказ ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» – http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691.
4. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации №149/54-144 – http://www.consultant.ru/document/cons_doc_LAW_126992.
5. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения – http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=EXP&n=418509#0.
6. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных – http://fstec.ru/component/attachments/download/289.
7. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных – http://fstec.ru/component/attachments/download/290.

Комментарии могут оставлять только зарегистрированные пользователи