Сокращения, которые будут употребляться:
ПДн - персональные данные;
СЗПДн -системы защиты персональных данных;
ИСПДн -Информационная система по обработке персональных данных;
<"Информзащита"> - Ипользован материал учебного центра "Информзащита"
<"Ссылка на материал"> - Линк на развернутую версию отцитированого материала.
Прежде чем продолжить, я хочу поблагодарить Ершова Дмитрия Вячеславовича, заместителя директора учебного центра "Информзащита", за огромный труд, который они провели систематизируя и "раскладывая по полочкам" наше непростое законодательство. С его позволения, я могу поделиться этой работой с вами.
Документ впервые был опубикован в клубе Info.Security.
В основе ниже перечисленных шагов, лежит дополненная и расширенная мной последовательность действий, сформулированная коллективом учебного центра "Информзащита" и представленная Дмитрием Вячеславовичем на конференции Infosecurity 2009.
Еще раз огромное спасибо, за возможность оперировать материалом вашего учебного центра.
Основные этапы, полностью приведены так, как они сформулированы учебным центром.
Толкования и комментирование, результат моей проработки.
Оновные этапы построения ИСПДн можно представить следующим образом<"Информзащита">:
- Определение ответственных за обеспечение безопасности ПДн в ИСПДн.
- Подготовка (обучение) должностных лиц, ответственных за обеспечение безопасности ПДн в ИСПДн.
- Сбор и анализ исходных данных по информационной системе, формирование перечня персональных данных и выявление ИСПДн.
- Классификация ИСПДн
- Построение (формирование) частной модели угроз и модели нарушителей.
- Разработка (проектирование) системы защиты персональных данных (СЗПДн).
- Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн
- Развертывание, настройка и ввод в опытную эксплуатацию СЗПДн в ИСПДн
- Испытания СЗПДН в процессе опытной эксплуатации ИСПДн
- Получение лицензий
- Оценка соответствия (аттестация) ИСПДн по требованиям безопасности ПДн
- Уведомление уполномоченного органа по защите прав субъектов персональных данных
- Организация контроля за соблюдением условий использования средств защиты информации.
Теперь последовательно рассмотрим каждый из этапов.
Определение ответственных за обеспечение безопасности ПДн в ИСПДн.
Работу лучше начинать с определения списка лиц, отвественных за выполнение поставленной задачи.
Поэтому предлагается начать работу с выпуска документа в котором будет утвержден состав и список лиц, ответственных за обеспечение выполнения требований по обеспечению безопасности ПДн.
В качестве опорного пункта берется "Постановление Правительства Российской Федерации от 17.11.2007 г. № 781"
п. 13. Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн оператором или
уполномоченным им лицом может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности ПДн.
Виды обеспечения работ по защите ПДн:<"Информзащита">
- Финансовое - осуществляется по результатам проведенного обоснования необходимых затрат на организацию защиты в целях:
- финансирования и стимулирования работ сотрудников организации, привлекаемых к работам
- подготовки кадров (персонала
- привлечения сторонних организаций для проведения работ
- проведения закупок программных, аппаратных и иных материальных средств
- Кадровое – проводится в интересах:
- Повышения уровня знаний в области обеспечения безопасности информации
- Приобретения навыков работы с новым программными и аппаратными средствами
- Привлечения в организацию квалифицированных специалистов
- Программно-аппаратное – закупка и испытания средств защиты
- Информационное - направлено на информирование всех заинтересованных лиц, участвующих в организации и проведении мероприятий по защите ПДн, и касается:
- правовых аспектов организации защиты,
- подготовки и доведения до ответственных лиц требований организационных распорядительных и нормативных документов,
- обеспечения справочной и иной информацией оперативного характера, возникающей в ходе работ
- Материальное - связано с закупкой или изготовлением изделий, необходимых для организации и проведения мероприятий по защите ПДн, например, шкафов, кондиционеров, канцелярских принадлежностей и т.п.
Подготовка (обучение) должностных лиц, ответственных за обеспечение безопасности ПДн в ИСПДн.
При отсутствии специализированного отдела, требуется произвести дополнитетельное обучение лиц вовлеченных в процесс построения и последующего обслуживания ИСПДн.
Подготовка (обучение) должностных лиц, ответственных за обеспечение безопасности ПДн в ИСПДн с целью:<"Информзащита">
- компетентного планирования, руководства и исполнения работ по защите ПДн;
- получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации;
- получения лицензии ФСБ России на деятельность по техническому обслуживанию криптосредств (при их использовании в ИСПДн).
Выходные документы: Свидетельства и удостоверения об обучении и повышении квалификации по направлению обеспечения безопасности ПДн
Сбор и анализ исходных данных по информационной системе, формирование перечня персональных данных и выявление ИСПДн.
Выделение ИСПДн, задача нетривиальная, по причине того, что все они примелькались или за таковые не считаются, что не является верным.
Поэтому, вкрадце перечислю основные ИС, которые могут содержать ПДн.
- CRM системы. В нее могут входить, как данные о клиентах (частных или представителях юридических лиц), партнерах, так и персональные данные ответственных менеджеров, а также самих операторов, в том числе их ПДн
- Системы биллинга (информация о клиентах)
- Базы данных. Это могут быть части автоматизированных систем обработки информации о клиентах, пациентах, сотрудниках, оцифрованные копии документов содержащих ПДн. Сюда входят бухгалтерские, кадровые, военно учетные (в ВУЗах) системы обработки ПДн.
- Системы каталога, такие как Active Directory, eDirectory, LDAP и DAP базы данных, содержащих ПДн.
- Почтовые системы. Данные о клиентах почтовых систем в рамках заполненных соотвестствующих полей в адресной книге.
- Системы бюро пропусков, а также учетные электронные книги на КПП охраняемых объектов.
Выходные документы:<"Информзащита">
- "Перечень персональных данных"
- "Описание технологического процесса (технологии) обработки информации в ИСПДн"
- "Списк лиц, допущенных к обработке персональных данных"
Классификация ИСПДн
Классификация осуществляется в соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных», а также регулируется постановлением Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», в частности пунктом 6 абзац 2, который гласит: "Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации."
Установлены следующие категории персональных данных (Xпд):
- Категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- Категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1;
- Категория 3 - Персональные данные, позволяющие идентифицировать субъекта ПД;
- Категория 4 - Обезличенные и (или) общедоступные персональные данные.
Также, учитывается объем обрабaтываемых данных Xнпд
- - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
- - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
- - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
Информационные системы персональных данных подразделяются на типовые и специальные. К типовым системам относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных. Все остальные системы относятся к специальным.
В зависимости от последствий нарушений заданной характеристики безопасности персональных данных типовой информационной системе присваивается один из классов:
- класс 1 (К1) — информационные системы, для которых нарушения могут привести к значительным негативным последствиям для субъектов персональных данных;
- класс 2 (К2) — информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;
- класс 3 (К3) — информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных;
- класс 4 (К4) — информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.
Класс типовой информационной системы определяется оператором в соответствии с таблицей, приведенной в Приказе ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 №55/86/20. (см. ниже.)
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных в соответствии с приведенными выше методическими документами ФСТЭК России.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам автоматически относятся:
- информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
- информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем. Вследствие этого интегрированные информационные системы, как правило, подпадают под классы К1 и К2 и требуют больших затрат на защиту персональных данных. Защита систем упрощается, если сложная система сегментирована на несколько отдельных, не связанных друг с другом систем, различных по целям и регламентам обработки персональных данных.
п 15. Класс типовой информационной системы определяется в соответствии с таблицей.
Xпд\Xнпд | 3 | 2 | 1 |
Категория 4 | К4 | К4 | К4 |
Категория 3 | К3 | К3 | К2 |
Категория 2 | К3 | К2 | К2 |
Категория 1 | К1 | К1 | К1 |
- К1 и К2: соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации);
- К3: соответствие требованиям безопасности подтверждается путем сертификации (аттестации) или (по выбору оператора) декларированием соответствия, проводимым оператором персональных данных;
- К4: оценка соответствия не регламентируется и осуществляется по решению оператора персональных данных.
По неофициальным данным: Классификация К1-К4 присваивается как типовой так и специальной. Отличие состоит в том, что специальная ИСПДн классифицируется по частной модели угроз. В результате получаем те же классы.
Построение (формирование) частной модели угроз и модели нарушителей.
Мероприятия по построению модели угроз и модели нарушителей в ИСПДн:<"Информзащита">
- определение исходной защищённости ИСПДн
- анализ уязвимостей и возможных угроз безопасности ПДн
- определение модели нарушителя
- оценка ущерба от реализации угроз
- определение актуальности угроз
Построение модели угроз осуществляется на основании документа ФСТЭК "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года".
Всего, базовых моделей 6:Jet Info №5, 2009 г
- Типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
- Типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, имеющих подключение к сетям общего пользования и (или) сетям международного информационного обмена;
- Типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, не имеющих подключение к сетям общего пользования и (или) сетям международного информационного обмена;
- Типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, имеющих подключение к сетям общего пользования и (или) сетям международного информационного обмена;
- Типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, не имеющих подключение к сетям общего пользования и (или) сетям международного информационного обмена;
- Типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, имеющих подключение к сетям общего пользования и (или) сетям международного информационного обмена;
Далее на основании документа ФСТЭК "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года", производится разработка частных моделей угроз
Более детально с мероприятиями по защите информации в ИСПДн, рекомендую ознакомиться в информационном бюллетене №5 компании Jet Info, полностью посвященному защите персональных данных, страница 16 глава "Что подлежит защите в ИСПДн ?(Jetinfo.Ru: HTML версия Jetinfo.Ru: PDF версия)"
Разработка (проектирование) системы защиты персональных данных (СЗПДн).
Мероприятия по разработке (проектированию) СЗПДн освещены в постановлении правительства N 781 «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 17 ноября 2007 г.
п. 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с спользованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
Этапы при разработке (проектировании) СЗПДн:
- определение требований к СЗПДн исходя из класса ИСПДн и модели угроз;
- Конкретные требования по нейтрализации выявленных угроз безопасности и конкретные функциональные требования к защитным механизмам определяются после классификации системы и актуализации модели угроз на основании методических документов ФСТЭК и ФСБ.
- определение основных функций, структуры, состава СЗПДн и перечня предполагаемых к использованию сертифицированных средств защиты;
Сюда входят следующие вопросы:
- Выделение и формирование подразделений, которые будут заниматься разработкой и обслуживанием СЗПДн;
- Выделение направлений и категорий, по которым будет производится защита ПДн;
- Освещение вопросов управления защитой, в том числе организация сигнализации, протоколирования, взаимодействия, администрирования,
резервного копирования и резервирования по питанию.
- Формирование списка сертифицированного оборудования, плана и этапов внедрения СЗПДн
- Реализация направлений финансовой, технической, юридической и информационной поддержки кадров.
- планирование организационных мероприятий по защите ПДн в ИСПДн (по администрированию, по разрешительной системе и др.).
Сюда входят следующие вопросы:
- Определение функций управления доступом к данным и их обработкой, между всеми определенными ранее участниками(операторами и администраторам) ИСПДн;
- Определение порядка правил доступа к данным защищаемым ИСПДн;
- Определение порядка правил доступа к архивным данным ИСПДн;
- Определение порядков разборов инцидентов связанных с нарушениями при доступе к ИСПДн, а также порядка реагирования в случае нештатных ситуаций;
- Проведение проверочных мероприятий и действий по их результатам.
Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн
Перечень разрабатываемых документов:Reignvox.Ru: Комментарии экспертов: Документы, регламентирующие обработку персональных данных
Документы, регламентирующие обработку ПДн в ИСПДн компании (для каждой ИСПДн)
- Акт классификации информационной системы персональных данных (ИСПДн).
- Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).
- Определение границ контролируемой зоны ИСПДн.
- Технический паспорт ИСПДн.
- Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
- Регламент разграничения прав доступа.
- Приказ о назначении администратора безопасности ИСПДн.
- Руководство администратора ИСПДн.
- Руководство пользователя ИСПДн.
- Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.
- Перечень применяемых средств защиты информации (СЗИ) (правовое обоснование см. в п.11)
- Перечень эксплуатационной и технической документации применяемых СЗИ (правовое обоснование см. в п.11)
- Перечень носителей ПДн(правовое обоснование см. в п.11)
- Заключение о готовности СЗИ к эксплуатации (правовое обоснование см. в п.11)
Документы, регламентирующие обработку ПДн в компании
- Положение о защите персональных данных в компании.
- Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
- Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн (правовое обоснование см. в п.2.)
- Рекомендации по использованию программных и аппаратных средств защиты (правовое обоснование см. в п.2.)
- Положение по организации контроля эффективности защиты информации в компании
- Положение об организации режима безопасности помещений, где осуществляется работа с ПДн
- Положение о порядке хранения и уничтожения носителей ПДн
- Формы учета для организации обработки ПДн (шаблоны, бланки)
- Отчет об обследования информационных систем компании
- Перечень сведений конфиденциального характера
- Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.
- Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн
Развертывание, настройка и ввод в опытную эксплуатацию СЗПДн в ИСПДн
Соответсвующие мероприятия сформулированы в п. 12 постановления правительства N 781 «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 17 ноября 2007 г.
п.12 Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
Испытания СЗПДН в процессе опытной эксплуатации ИСПДн
На данном этапе выполняются:<"Информзащита">
- приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации
- анализ защищенности системного и прикладного программного обеспечения
- доработка СЗПДн и дополнительная настройка СЗИ по результатам опытной эксплуатации
- сертификация программного обеспечения ИСПДн на отсутствие недекларированных возможностей
Получение лицензий<"Информзащита">
Основные определения находятся в документе ФСТЕК "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года
3.14. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
- Лицензии ФСТЭК России – на деятельность по технической защите конфиденциальной информации
- Лицензии ФСБ России – на деятельность по техническому обслуживанию криптографических (шифровальных) средств
- Лицензии ФСБ России – на деятельность по распространению криптографических (шифровальных) средств (для холдингов и групп компаний)
- Лицензии ФСБ России – на деятельность по предоставлению услуг в области шифрования информации (для холдингов и групп компаний)
Оценка соответствия (аттестация) ИСПДн по требованиям безопасности ПДн
Как было упомянуто ранее для ИСПДн:
- - К1 и К2: соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации);
- - К3: соответствие требованиям безопасности подтверждается путем сертификации (аттестации) или (по выбору оператора) декларированием соответствия, проводимым оператором персональных данных;
- - К4: оценка соответствия не регламентируется и осуществляется по решению оператора персональных данных.
Следует заметить, что обоснование применения криптографических средств, нигде жестко не регламентируется и для начала их применения, требуется сформулировать модель угроз в которой их применение будет обоснованным.
В частности, к системам в которых обосновано применение СКЗИ можно отнести следующие системы (краткий, примерный список):
- Территориально распределенные системы, которые в качестве транспорта для передачи ПД применяется сети общего доступа, в том числе интернет;
- Системы в которых предполагается вынос средств обработки или хранения ПДн, за пределы контролируемой зоны, в том числе ноутбуки, кпк, смартфоны, и прочие системы обработки и хранения ПДн.
- Многопользовательские системы ПДн, первого класса с разграничением доступа по криптографическим ключам.
Уведомление уполномоченного органа по защите прав субъектов персональных данных
Данная часть мероприятий регулируется Федеральным законом Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных»
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Статья 25. Заключительные положения
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных
данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Организация контроля за соблюдением условий использования средств защиты информации.
Регулируется постановлением Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
Законодательная база:
(c) 2009 Учебный центр "Информзащита".
Перепечатка или цитирование возможна только при
наличии официального разрешения правообладателя.
(c) 2006-2012
by Foto-Workshop.
Перепечатка или цитирование свободно при
условии, указания ссылки на данный источник,
но только в случае, если не оговорены дополнительные условия.