Законодательные основы защиты ПДн. Информационное поле ПФР

Основополагающими документами в данной области являются:
Федеральный закон «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 19.12.2015 №160-ФЗ
Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ
ФЗ №152 вменяет в обязанность каждому Оператору при обработке ПДн принимать необходимые меры (правовые, организационные и технические) или обеспечивать их принятие для защиты ПДн от несанкционированного, случайного доступа к данным, копирования, изменения, блокирования, уничтожения, а также распространения, предоставления и иных действий в отношении ПДн, нарушающих соответствующее законодательство
Федеральными службами, ответственными за соблюдение законодательства в области защиты ПДн являются – ФСБ России, ФСТЭК России, Роскомнадзор, Минкомсвязь. Каждый из регуляторов выполняет свои функции в области обеспечения безопасности персональных данных. К примеру, Роскомнадзор не занимается технической защитой информационных систем персональных данных (далее – ИСПДн). Регулирование по техническим мерам защиты осуществляют ФСТЭК России и ФСБ России, причем полномочия ФСБ – только в части использования криптографических средств защиты информации. Основной функционал Роскомнадзора в этой области – проверка фактических оснований обработки ПДн с правовой точки зрения. Кроме проверки внутренних документов организации, регулятор проверяет сами ПДн на предмет соответствия состава и объема данных целям обработки. Минкомсвязь отвечает за биометрические ПДн граждан Российской Федерации.

-965200-59436000
Рисунок 2 –Законодательство Российской Федерации в области защиты ПДн. В данной главе я попытаюсь раскрыть значение каждого документа.
Одним из основных документов для операторов, которые осуществляют смешанную или автоматизированную обработку ПДн, является Постановление Правительства РФ от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Согласно части 3 статьи 19 152-ФЗ Правительство РФ устанавливает так называемые уровни защищенности ПДн при их обработке в ИСПДн, а также регламентирует требования к защите ПДн в ИСПДн. Постановление №1119 отменило Постановление Правительства №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», соответственно, все документы, которые были разработаны с целью исполнения постановления №781 потеряли юридическую силу:
Приказ ФСБ России №86, ФСТЭК России №55, Мининформсвязи Российской Федерации №20 от 13.02.2008 «Об утверждении Порядка классификации информационных систем персональных данных».
Приказ ФСТЭК России №58 от 05.02.2010 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
С целью исполнения Постановления Правительства №1119 ФСТЭК России разработало и утвердило необходимые документы, а именно:
Приказ №21 от 18.02.2013г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Приказ №17 от 11.02.2013г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Вышеуказанные документы определяют состав и содержание технических и организационных мер, направленных на обеспечение безопасности ПДн при их обработке в ИСПДн. Приказ №17 разработан для государственных и муниципальных органов, а Приказ №21 для частных юридических лиц

.
В свою очередь, содержание технических, а также организационных мер с целью обеспечения защищенности ПДн при их обработке в ИСПДн, с использованием средств криптографической защиты информации (далее – СКЗИ), необходимых для каждого из уровней защищенности, определяется в Приказе ФСБ России №378 от 10.07.2014г. Исходя из рекомендаций ФСБ России, использовать СКЗИ с целью защиты ПДн необходимо в следующих случаях:
Криптозащита необходима соответствии с законодательством Российской Федерации
Для информационной системы существуют угрозы, нейтрализация которых возможна только с использованием СКЗИ, конкретно:
Персональные данные передаются по незащищенным каналам связи, то есть нарушитель может иметь возможность нарушить конфиденциальность или целостность передаваемой информации
Персональные данные хранятся на носителях информации, несанкционированный доступ нарушителя к которым нарушителя может быть исключен только с помощью криптографических методов защиты информации.
В общей ситуации, согласно требованиям регуляторов, обеспечение безопасности ПДн достигается последовательность следующих действий:
Определение типа всех ИСПДн в соответствии с Постановлением Правительства №1119
Выявление угроз безопасности ПДн при их обработке в ИСПДн
Применение технических и организационных мер, которые необходимы для исполнения требований Постановления Правительства №1119
Проведение оценки эффективности принятых мер по обеспечению защиты ПДн до ввода ИСПДн в эксплуатацию
Учет машинных носителей ПДн
Оператор обязан создать систему обеспечения защиты ПДн, которая соответствовала бы следующим требованиям:
Актуальные угрозы нейтрализуются с использованием технических и организационных мер
Оператор самостоятельно выбирает и применяет средства защиты информации в соответствии с требованиями регуляторов.
Также организация обязана провести оценку ущерба, который может быть нанесен субъектам ПДн в случае нарушения 152-ФЗ, а также соотнести степень вероятного вреда и принимаемые ей меры, направленные на обеспечение выполнения требований регуляторов. Ущерб должен оцениваться исходя из всех негативных последствий, которые может повлечь несоблюдение требования Закона: начиная от размера штрафов до рисков, связанных с деловой репутацией, а также судебных издержек.
Согласно ПП-1119 выделяется три типа угроз:
Угрозы 1-го типа связаны с наличием недокументированных возможностей в системном программном обеспечении, используемом в ИСПДн
Угрозы 2-го типа связаны с наличием недокументированных возможностей в прикладном программном обеспечении, используемом в ИСПДн
Угрозы 3-го типа не связаны с наличием недокументированных возможностей в системном и прикладом программном обеспечении, используемом в ИСПДн
-4953072961500Исходя из требований регуляторов, Оператор должен определить уровень защищенности ПДн, при их обработке в ИСПДн, в соответствии со следующей таблицей в графическом виде:
Рисунок 3 – Таблица определения требуемого уровня защищенности.
Для всех уровней защищенности ПДн при их обработке в ИСПДн необходимо выполнение ряда требований. Также прошу учесть что, помимо выполнения требований нижестоящего УЗ, для каждого следующего появляются новые требования:
УЗ-4:
Организован режим обеспечения безопасности помещений, где обрабатываются ПДн
Обеспечение сохранности носителей ПДн
Утверждение документа, определяющего перечень лиц, допущенных к ПДн
Использование СЗИ, прошедших процедуру оценки соответствия
УЗ-3:
Назначение должностного лица, ответственного за обеспечение безопасности ПДн при их обработке в ИСПДн
УЗ-2:
Ограничение доступа к содержанию электронного журнала сообщений
УЗ-1:
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн в ИСПДн
Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн.
В соответствии с Приказом ФСТЭК №21 от 18.02.2013г «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» подборка способов защиты ПДн включает в себя:
Определение базового набора мер
Адаптация базового набора мер
Уточнение адаптированного базового набора мер
Дополнение уточненного адаптивного базового набора мер
Разработка компенсирующих мер
.
-75565-84582000
Рисунок 4 – Порядок действий по выбору действий по защите информации для их выполнения в ИСПДн.
Состав и содержание необходимых мер для вышеуказанных УЗ приведены в Приложении к данному Приказу