Защита персональных данных курс лекций

Роскомнадзор (см. раздел «Регуляторы…), как и ранее, будет продолжать проверять операторов персональных данных. Установлен порядок организации и осуществления Роскомнадзором и его территориальными органами контроля и надзора за обработкой персональных данных соответствующими операторами.

Плановые проверки по общему правилу проводятся раз в 3 года. Исключение – сбор ПДн в государственных информационных системах, сбор биометрических и специальных категорий ПДн, трансграничная передача ПД на территорию государства, не обеспечивающего адекватную защиту прав субъектов ПДн, обработка ПДн по поручению иностранного субъекта, не зарегистрированного в России. Таких операторов проверяют в плановом порядке раз в 2 года.

Внеплановые проверки проводятся в случае неисполнения или частичного исполнения предписаний об устранении нарушений, по обращениям граждан, по поручению Президента или Правительства РФ, по требованию прокурора, по решению органа по контролю и надзору, если нарушения выявлены в ходе контроля без взаимодействия с оператором.

Проверке подлежат требования закона о ПДн, изложенные в статье 18.1, а именно – организационно-распорядительная документация.

1.2.7. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Базовая модель угроз утверждена 15 февраля 2008 г. заместителем директора ФСТЭК России. В этом документе систематизированы все известные на момент его выхода уязвимости информационных систем и соответствующие угрозы, связанные с перехватом персональных данных по техническим каналам, а также с нарушениями разграничения доступа. Используя эти знания (базовой модели) каждое предприятие может вычислить актуальные угрозы безопасности применительно к собственной информационной системе, получив свою, частную модель угроз безопасности. По сути, частная модель – это перечисление угроз с высоким риском для конкретной информационной системы, т.е. угроз с высокой вероятностью нанесения ощутимого ущерба физическому лицу.

1.2.8. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Методика определения актуальных угроз также разработана ФСТЭК и стала доступной для предприятий с 14 февраля 2008 г. Интересно отметить асинхронность нормотворчества в области защиты персональных данных. ФЗ № 152 вступил в силу с начала 2007 года, а выход методического обеспечения, без которого невозможно было выполнить его требования, задержался более чем на год.

ФСТЭК предложила методику определения актуальных угроз информационной системы в почти полном соответствии с духом определения рисков в общей теории информационной безопасности. В исходных данных методики находятся:

«уровень исходной защищенности» информационной системы (по определению абсолютно другое понятие, нежели «уровень защищенности» в Постановлении Правительства под номером 1119), зависящий от структуры информационной системы, наличия подключения к сетям общего пользования и других параметров.

вероятность реализации угрозы, определяемая экспертным путем.

опасность угрозы, определяемый экспертным путем ущерб физическому лицу в результате реализации угрозы.

В лекции № 5 «Разработка частной модели угроз безопасности» для информационной системы, рассмотренной в лекции № 1 «Основные понятия информационной безопасности», вычисляются актуальные угрозы и подробно обсуждаются достоинства и недостатки данной методики.

1.2.9. Приказ федеральной службы по техническому и экспортному контролю «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Федеральная служба по техническому и экспортному контролю, выпускает приказ от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и признает утратившим силу прежний свой приказ от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

В этом приказе еще более детализируются требования Федерального Закона № 152, Постановления Правительства № 1119, а также приводится рекомендованный набор мер по обеспечению безопасности для каждого из 4-х уровней защищенности информационных систем.

Надо признать, что требования ФСТЭК к составу обязательных к применению мер стали более либеральными, предприятие может при обосновании исключать отдельные меры и добавлять собственные.

Содержание технических мер изобилует специфическими терминами информационных технологий, поэтому этому приказу будет отведена отдельная лекция с подробными комментариями (Лекция № 4 «Анализ Приказа ФСТЭК…»).

1.2.10. Информационное сообщение от 15 июля 2013 г. № 240/22/2637 ФСТЭК

После выходов приказов № 21 и № 17 ФСТЭК выпустило данное информационное сообщение с целью разъяснения их неоднозначных положений, чтобы унифицировать правоприменительную практику данных приказов. В частности, было указано, что положения приказов не имеют обратной силы и нет необходимости заново проводить аттестацию аттестованных ранее ИСПДн в соответствии с действующими на тот момент требованиями. Кроме того, пояснены различные формы оценки эффективности мер и средств безопасности, применяемых в государственных, муниципальных информационных системах и системах, не принадлежащих к таковым.

1.2.11. Информационное сообщение от 24 марта 2017 г. № 240/24/1382 по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации

Приказом ФСТЭК России от 9 февраля 2016 г. № 9 установлено, что новые требования к межсетевым экранам применяются с 1 декабря 2016 г. В данном сообщение разъясняется возможность применения межсетевых экранов, сертифицированных ФСТЭК по старым требованиям. Кроме того, объяснено, какие нормативно-правовыми акты предусматривают необходимость применения межсетевых экранов в информационных системах различного назначения:

«Применение средств защиты информации, включая межсетевые экраны, в информационных (автоматизированных) системах регламентируется Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. № 31, а также Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21».

1.2.12.Государственный стандарт ГОСТ Р 51583 – 2014 «Порядок создания автоматизированных систем в защищенном исполнении»

Информационные системы по обработке персональных данных являются частным случаем информационных автоматизируемых систем (АС). Поэтому при разработке методов и средств защиты ИСПДн следует придерживаться ГОСТ Р 51583- 2014. Действие этого стандарта распространяется как на вновь создаваемые, так и на модернизированные АС, в отношении которых законодательством или заказчиком установлены требования по их защите. Стандарт устанавливает порядок выполнения работ на стадиях и этапах создания АС в защищенном исполнении, содержание и порядок выполнения работ по защите информации о создаваемой (модернизированной) АС в защищенном исполнении.

Стандарт определяет основные стадии работ при создании АС в защищенном исполнении:

1) Формирование требований к системе защиты информации АС;

2) Разработка (проектирование) системы защиты информации;

3) Внедрение системы защиты информации;

4) Аттестация АС на соответствие требованиям безопасности информации и ввод ее в действие;

5) Сопровождение системы защиты информации в ходе эксплуатации АС.

Следует заметить, что разработка документа «Частная модель актуальных угроз безопасности» ИСПДн проводится на этапе формирования требований к системе защиты.

1.2.13. Постановление правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнение обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными и правовыми актами, операторами, являющимися государственными или муниципальными органами»

В этом постановлении достаточно подробно излагаются меры организационного характера, которые должны применяться в информационных системах персональных данных государственных и муниципальных органов. К ним относятся требования по назначению ответственного за обработку персональных данных, разработке организационно-распорядительной документации и т.д.

1.2.14. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/5-144

Эти методические рекомендации были разработаны во исполнение Постановления Правительства от 17 ноября 2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Постановление Правительства № 781 было заменено другим под номером 1119, поэтому логично ожидать от ФСБ новых методических рекомендаций или подтверждения легитимности прежних.

Действительно, 21.06.2016 г. на сайте ФСБ появилось сообщение об утрате актуальности данного документа.

1.2.15. Приказ Федеральной службы безопасности РФ № 378 от 10 июля 2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Долгожданный приказ, выпущенный ФСБ в исполнении постановления Правительства за № 1119, в котором введены состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием средств криптографической защиты информации (СКЗИ). Однако им не отменены никакие предыдущие приказы этого же ведомства, связанные с обработкой ПДн с применением средств криптографической защиты. Возможно, это сделано намеренно для обеспечения одновременного сосуществования близких по цели нормативных актов.

В данном приказе ФСБ «уловила» связь между типами угроз и уровнями защищенности, введенных в Постановлении Правительства №1119, и классом криптосредства, призванного обеспечить по мнению ФСБ этот уровень защищенности. Особенно непросто придется Операторам – обладателям ИСПДн 1-го уровня защищенности, кроме закупки дорогих криптосредств им понадобится еще и установка решеток на окнах первого и последнего этажей.

1.2.16. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622

Эти требования также были разработаны во исполнение Постановления Правительства от 17 ноября 2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Постановление Правительства №781 было заменено другим под номером 1119, поэтому логично ожидать от ФСБ или указаний о продолжении их действий или новой редакции требований.

Действительно, 21.06.2016 г. на сайте ФСБ появилось сообщение об утрате актуальности и данного документа.

1.2.17. Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

Собственно, положение регламентирует деятельность лиц, которые разрабатывают, производят или торгуют СКЗИ. Даже раздел об эксплуатации мало информативен для Операторов ПДн. Исключением может быть указание, что «Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется:

обладателем, пользователем (потребителем) защищаемой информации, установившим режим защиты информации с применением СКЗИ;

собственником (владельцем) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ;»

1.2.18. «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152

В данной инструкции, во-первых, определено, что работы, связанные с обеспечением безопасности хранения и обработки с использованием средств криптографической защиты информации конфиденциальных данных должны иметь лицензию Федерального агентства правительственной связи и информации – ФАПСИ (после расформирования ФАПСИ – ФСБ) на деятельность по предоставлению услуг в области шифрования информации. Кроме этого, определены требования к помещениям, в которых располагаются СКЗИ, требования к пользователям (в частности, пользователи должны быть обучены безопасным методам работы) эксплуатирующим данные средства, требования по учету СКЗИ в специальных журналах (даны образцы журналов), процедуры по выведению из эксплуатации СКЗИ и многое другое.

1.2.19. «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015)

Эти рекомендации нацелены на государственные и им подобные органы власти, разрабатывающие нормативные правовые акты, поэтому, по большей части, не актуальны для обычных операторов ПДн. И это, не взирая на преамбулу разработчиков данного документа: «Настоящими методическими рекомендациями целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных».

1.2.20. Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»

Указ, подписанный еще Президентом Б.Н Ельциным, в котором персональные данные отнесены к информации конфиденциального характера. Что такое «конфиденциальный характер»? Замечено, что Российские законы не отличаются строгостью формулировок, видимо, те, кто их готовит, не утруждают себя чтением Государственных стандартов.

Тем не менее, примем, что персональные данные – это конфиденциальная информация.

Очень полезно ознакомиться с полным перечнем сведений, для защиты которых требуется специальное разрешение государства в виде лицензии на техническую защиту конфиденциальной информации. Более подробные размышления на эту тему приведены в разделе «О лицензировании деятельности по технической защите конфиденциальной информации»

ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА

(в ред. Указа Президента РФ от 23.09.2005 N 1111)

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации.

(в ред. Указа Президента РФ от 23.09.2005 N 1111)

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

1.2.21. Постановление Правительства РФ от 3 февраля 2012 г. «О лицензировании деятельности по технической защите конфиденциальной информации»

В соответствии с Федеральным законом «О лицензирование отдельных видов деятельности» лицензированию подлежит деятельность по технической защите конфиденциальной информации (ТЗКИ).

Данное Постановление Правительства определяет, что «Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней».

В контексте защиты персональных данных представляет особый интерес следующая детализация работ и услуг Постановления «При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг: …

установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации)».

К программным средствам защиты информации относятся, в частности:

-Штатные средства разграничения доступа пользователей в операционных системах (подсистема управления доступом – идентификация, аутентификация, авторизация);

-Подсистемы антивирусной защиты;

-Подсистемы обнаружения и предотвращения вторжений (IDS/IPS);

-Подсистемы межсетевого экранирования (межсетевые экраны, персональные брандмауэры);

-Подсистемы архивирования и восстановления персональных данных;

К программным (программно-техническим) средствам контроля защищенности информации относятся сетевые сканеры.

Учитывая, что согласно Указу Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные отнесены к сведениям конфиденциального характера вырисовывается следующая логическая цепочка:

1) Если Персональные данные – конфиденциальная информация

2) И, если Антивирус (и другие программные средства, перечисленные выше) – программное средство защиты персональных данных, т.е. программное средство защиты конфиденциальной информации,

3) ТО для установки антивируса, программного средства защиты персональных данных требуется наличие лицензии по технической защите конфиденциальной информации.

Возникает парадоксальная ситуация, когда на сотнях тысяч предприятий Российской Федерации рутинные действия по установке операционной системы, антивирусного программного обеспечения, межсетевых экранов считаются незаконными при отсутствии лицензии на ТЗКИ, только потому, что они используются для защиты персональных данных.

Многочисленные запросы во ФСТЭК побудили ее опубликовать «информационное сообщение по вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации» от 30 мая 2012 г. № 240/2222. Из этого сообщения следует, что лицензия на ТЗКИ необходима в трех случаях:

-Предприятие извлекает прибыль из деятельности по ТЗКИ (т.е. предоставляет услуги другим предприятиям);

-Деятельность по ТЗКИ указана в уставных документах предприятия;

-Защита конфиденциальной информации в явной форме поручена ее обладателем предприятию (т.е. предприятию поручена не обработка информации, которая должна защищаться по действующему законодательству, а именно техническая защита конфиденциальной информации).

Таким образом, если предприятие самостоятельно для своих нужд проектирует, разрабатывает, внедряет, сопровождает технические средства защиты персональных данных, то лицензия на ТЗКИ не требуется. Остается только один вопрос, какую юридическую силу имеет информационное сообщение ФСТЭК, может ли оно изменить нормативную сущность Постановление Правительства?

Надо заметить, что такой деятельности как эксплуатация нет в перечне лицензируемой деятельности.

Для получения лицензии предприятию надо иметь в штате не менее двух дипломированных специалистов в области информационной безопасности, помещение, контрольно-измерительную аппаратуру, методики и стандарты, специальное программное обеспечение и т.д. Ориентировочная стоимость приобретения лицензии от 500000 руб.

1.2.22. Постановление Правительства РФ от 16 марта 2009 г. № 228 «О федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (

в ред. Постановлений Правительства РФ от 17.03.2010 г. № 160, от 15.06.2010 г. № 438)

В соответствии с этим постановлением Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. Именно к нему, уполномоченному федеральному органу, Роскомнадзору имеют отношения ссылки в статьях 22 и 23 ФЗ «О персональных данных».

1.2.23. Федеральный Закон 23.07.2013 г. № 205-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнениями полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных»