Сегодня мне вновь задали вопрос: Какие документы, регламентирующие обработку персональных данных, необходимы на предприятии и каким образом осуществляется непосредственно защита персональных данных. Давайте еще раз разберемся.
В первую очередь необходимо ознакомиться с законодательной базой в сфере защиты персональных данных. Для этого следует прочитать документы:
1) Федеральный закон № 152 "О персональных данных";
2) Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
3) "Положение. о методах и способах защиты информации в информационных системах персональных данных." утвежденное приказом ФСТЭК России N 58 от 5.02.2010;
3) Порядок проведения классификации информационных систем персональных данных;
4) "Базовая модель угроз безопасности персональным данным".
Цели обработки...
Для начала необходимо определиться с целью обработки персональных данных - казалось бы все просто, есть сотрудники, есть клиенты, деваться некуда - приходится обрабатывать.
Однако, если вы владелец малого бизнеса, вам следует знать что существует достаточно организаций, предоставляющих услуги аутсортинга кадровой сферы и делопроизводства а так же бухгалтерии. Обратившись к такой организации, вы можете "снять с плеч своих" ношу обработки и защиты персональных данных.
Но что если базы данных достаточно массивны и платить аутсортерам оказывается дорого? В таком случае прийдется защищать самим, либо обращаться в организацию, являющуюся лицензиатом ФСТЭК и ФСБ.
Второй вариант дорог в исполнении, но лицензиат несет прямую ответственность за свои действия, и если вдруг случается какая либо неприятность с системой защиты, либо проверяющие органы констатируют недостаточность принятых мер, "по голове" получает тот, кто систему защиты создавал, тоесть лицензиат. В таком случае имеется возможность заставить виновника переконструировать систему защиты, за счет собственных средств лицензиата.
Если же вы решились защищать персональные данные своими силами, приготовьтесь к длительной и трудоемкой работе.
Как я говорил выше - Для начала определимся с целью обработки ПДн. К примеру, обработка ПДн ведется:
1) В целях продвижения товаров и услуг;
2) В статистических и научных целях;
3) В целях разработки проекта;
4)В целях организации мероприятий.
И так далее...
Во вторых, необходимо выбрать метод обработки. Существует два метода обработки ПДн:
1) С использованием средств автоматизации;
2) Без использования средств автоматизации;
Далее переходим к разработке документации.
Приведу примерный перечень, по тому как "точного, регламентированного" списка необходимых документов, на данный момент не существует:
1. Приказ о порядке обработки, обеспечении безопасности и конфиденциальности персональных данных.
2. Приказ о назначении лиц, ответственных за организацию мер по защите персональных данных.
3. Положение об организации работы с персональными данными в организации (разрабатывается с учетом принципов, изложенных в Федеральном Законе РФ № 152-ФЗ «О персональных данных» (ФЗ 152).
4. План-график мероприятий, направленных на приведение информационных систем персональных данных в соответствие с требованиями законодательства в области защиты персональных данных.
5. Приказ о создании комиссии по классификации информационных систем персональных данных.
6. Акт классификации информационной системы персональных данных
7. Перечень ИСПДН (Сведения об информационных системах персональных данных, установленных в организации).
8. Форма Уведомления об обработке персональных данных (направляется при вводе в эксплуатацию новых ИСПДн, либо при внесении изменений в существующие, в случаях, установленных ФЗ 152).
9. Регламент о порядке действий организации при обращении либо при получении запроса субъекта.
10. Журнал учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
11. Регламент разбирательства инцидентов информационной безопасности в организации.
12. Положение о службе информационной безопасности организации.
13. Должностная инструкция администратора информационной безопасности (руководителя службы ИБ).
14. Регламент присвоения прав доступа к автоматизированной информационной системе.
15. Матрица доступа пользователей к защищаемым информационным ресурсам информационной системы персональных данных.
16. Заявка на предоставление пользователю прав доступа к ресурсу ИСПДн.
17. Приказ об утверждении мест хранения материальных носителей персональных данных.
18. Журнал учета материальных носителей персональных данных.
19. Положение о порядке уничтожения персональных данных, обрабатываемых в организации.
20. Акт уничтожения персональных данных субъекта(ов) персональных данных.
21. Журнал учета машинных носителей информации.
22. Положение об обеспечении пропускного режима и охране о здания.
23. Положение об архиве организации.
24. Типовой раздел по конфиденциальности ПДн в гражданско-правовом договоре.
25. Типовой раздел по конфиденциальности ПДн в трудовом договоре.
26. Форма согласия субъекта ПДн на обработку его ПДн.
27. Форма согласия субъекта ПДн при передаче его ПДн.
28. Форма согласия субъекта ПДн на включение его ПДн.
29. Форма уведомления субъекта ПДн о запросе его ПДн.
30. Форма уведомления субъекта ПДн об уничтожении его ПДн.
31. Форма уведомления субъекта ПДн о получении его ПДн.
32. Дополнения в должностные инструкции работников, имеющих отношение к обработке ПДн.
Документы на стадии внедрения СЗПДн 1. Инструкция по организации антивирусной защиты.
2. Инструкция по организации парольной защиты.
3. Технический паспорт на каждую ИСПДн. Включает в себя перечень основных и вспомогательных технических средств (ОТСС, ВТСС), структуру, топологию и размещение ОТСС, схему электропитания и заземления, перечень СЗИ, перечень программных средств, сведения об аттестации, результаты периодического контроля.
4. Частная модель угроз на каждую ИСПДн.
5. Сертификаты на используемые технические и программные средства защиты.
6. Техническое задание на внедрение СЗ ИСПДн.
7. Акт приемки-сдачи системы защиты (СЗ) ИСПДн. Подписывается лицензиатом ФСТЭК (организацией, осуществлявшей работы по внедрению СЗ ИСПДн) и оператором.
8. Заключение о готовности СЗИ к эксплуатации, акт ввода в эксплуатацию СЗ ИСПДн.
9. Документ, подтверждающий проведение в установленном порядке процедуры оценки соответствия средств защиты ИСПДн (аттестация, декларирование, сертификация).
10. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
11. Журнал учета носителей информации. Типовая форма.
Что касается классификации распределенных ИСПДн имеющих соединение с сетями международного информационного обмена (Интернет), то я вижу несколько, вариантов "избежания проблем" связанных с определением класса системы. Рассмотрим два, часто встречющихся варианта ИСПДн.
Первый: Информация, обрабатываемая в ИСПДн разной категории, и сервера баз данных находятся в разных, территориально удаленных друг от друга офисах предприятия.
В этом случае следует разделять ИСПДн по классам информации.
Технически это организуется с помощью установки на выходе в информационную сеть (интернет) межсетевых экранов, для К1 не ниже 3-го класса по РД МЭ и не ниже 4-го класса по контролю отсутствия НДВ (недекларируемых возможностей), для К2 и К3 не ниже 4-го класса по РД МЭ и не ниже 4го класса по контролю отсутствия НДВ.
Второй: Информация, обрабатываемая в ИСПДн одного класса, и сервера расположены в одном помещении (корпусе предприятия), внутри контролируемой зоны, либо в одном здании но в разных контролируемых зонах.
.
По моему мнению, подобный вариант не предполагает разделения ИСПДн. В итоге, при обращении к лицензиату для проведения процедуры подтверждения соответствия, а это чаще всего аттестация - аттестовывать прийдется несколько ИСПДн, что соответственно дороже. Чтобы не тратиться на аттестацию, можно заключить с лицензиатом договор аудита, согласно которому сотрудники организации лицензиата досканально изучат вашу ИСПДн и СЗПДн, а так же лицензиат предоставит заключение о "достаточности/не достаточности" мер защиты ПДн и составит рекомендации по модернизации СЗПДн.
Ранее я уже писал, что аттестация не является обязательной мерой,
достаточно заключения собственной ответственной комиссии по защите персональных данных.
Но, в таком случае
возникает вопрос -
достаточны ли знания и навыки сотрудников вашей организации
для создания качественной системы защиты и что скажут регуляторы, у которых может быть свое собственное мнение в вопросе о соответствии СЗПДн требованиям по безопасности?
Следующим этапом необходимо определиться, какие технические средства защиты информации необходимо применять. В этом нам поможет Частная модель угроз безопасности персональным данным в которой должны быть подробно описаны угрозы и возможные каналы утечки информации, а так же интернет. О разработке модели угроз, мы поговорим подробнее в отдельной статье.
На сегодняшний день в России существует достаточное количество организаций производителей СЗИ и еще больше поставщиков. Но в процессе организации защиты ПДн желательно использовать только сертифицированные средства защиты информации, особенно если дело касается категории К1.
Заключительным этапом можно считать установку и настройку СЗИ с последующими испытаниями системы защиты и разработкой заключения (получением аттестата соответствия).
Установить и настроить СЗИ вы можете как собственными силами, так и с помощью организации лицензиата.
На этом этапе мне обычно задают вопрос : А не нужна ли нам лицензия на ТЗКИ, содействие в получении которой "ненавязчиво предлагают" многие интеграторы (лицензиаты).
Отвечаю еще раз: Нет, господа операторы, лицензия на ТЗКИ, для защиты собственных ИСПДн предприятия - Не нужна.
Лицензию необходимо получать лишшь в том случае, если вы предоставляете услуги по технической защите информации другим юридическим/физическим лицам, с соответственным получением дохода от деятельности по ТЗКИ.
К тому же, согласно законодательству термин "конфиденциальная информация" к "Персональным данным" не относится. Защита "конфиденциальной информации" - лицензируемый вид деятельности, а защита "Персональных данных" - обязанность оператора.
Про ПЭМИН - А шапка то не велика?Часто задают вопрос - "А нужно ли указывать в модели угроз, угрозы, реализуемые по техническим каналам утечки речевой информации: ПЭМИН и Акустическому" ?
Отвечаю: Согласно
"Базовой модели угроз безопасности персональным данным" разрабтанной ФСТЭК
- включать угрозы связанные с ТКУИ ПЭМИН и Акустическим ТКУИ, в частную модель угроз, нужно,
но: вероятность возникновения угрозы рассчитывается и оценивается исходя из реальной обстановки, сязанной с угрозой. Эту фразу, касательно именно ТКУИ ПЭМИН, можно понимать следующим образом: "В ИСПДн вашей организации действительно обрабатывается информация, ради получения которой, предполагаемый нарушитель, потратит огромные средства?" Не приводя в пример цифры, упомяну, что оборудование для съема информации по Аккустическому ТКУИ и ТКУИ ПЭМИН может стоить от нескольких десятков тысяч долларов, и обычно используеся развед-службами государств. А специалисты в области промышленной разведки "попросят гонорар" за свои рискованные услуги, скорее всего, не многим меньший стоимости оборудования.
В связи с этим, включая угрозы связанные с Акустическим ТКУИ и ПЭМИН в модель угроз, обычно они признаются не актуальными.