Полная версия
Защита персональных данных курс лекций
вероятность реализации угрозы, определяемая экспертным путем.
опасность угрозы, определяемый экспертным путем ущерб физическому лицу в результате реализации угрозы.
В лекции № 5 «Разработка частной модели угроз безопасности» для информационной системы, рассмотренной в лекции № 1 «Основные понятия информационной безопасности», вычисляются актуальные угрозы и подробно обсуждаются достоинства и недостатки данной методики.
1.2.9. Приказ федеральной службы по техническому и экспортному контролю «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Федеральная служба по техническому и экспортному контролю, выпускает приказ от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и признает утратившим силу прежний свой приказ от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
В этом приказе еще более детализируются требования Федерального Закона № 152, Постановления Правительства № 1119, а также приводится рекомендованный набор мер по обеспечению безопасности для каждого из 4-х уровней защищенности информационных систем.
Надо признать, что требования ФСТЭК к составу обязательных к применению мер стали более либеральными, предприятие может при обосновании исключать отдельные меры и добавлять собственные.
Содержание технических мер изобилует специфическими терминами информационных технологий, поэтому этому приказу будет отведена отдельная лекция с подробными комментариями (Лекция № 4 «Анализ Приказа ФСТЭК…»).
1.2.10. Информационное сообщение от 15 июля 2013 г. № 240/22/2637 ФСТЭК
После выходов приказов № 21 и № 17 ФСТЭК выпустило данное информационное сообщение с целью разъяснения их неоднозначных положений, чтобы унифицировать правоприменительную практику данных приказов. В частности, было указано, что положения приказов не имеют обратной силы и нет необходимости заново проводить аттестацию аттестованных ранее ИСПДн в соответствии с действующими на тот момент требованиями. Кроме того, пояснены различные формы оценки эффективности мер и средств безопасности, применяемых в государственных, муниципальных информационных системах и системах, не принадлежащих к таковым.
1.2.11. Информационное сообщение от 24 марта 2017 г. № 240/24/1382 по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации
Приказом ФСТЭК России от 9 февраля 2016 г. № 9 установлено, что новые требования к межсетевым экранам применяются с 1 декабря 2016 г. В данном сообщение разъясняется возможность применения межсетевых экранов, сертифицированных ФСТЭК по старым требованиям. Кроме того, объяснено, какие нормативно-правовыми акты предусматривают необходимость применения межсетевых экранов в информационных системах различного назначения:
«Применение средств защиты информации, включая межсетевые экраны, в информационных (автоматизированных) системах регламентируется Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. № 31, а также Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21».
1.2.12.Государственный стандарт ГОСТ Р 51583 – 2014 «Порядок создания автоматизированных систем в защищенном исполнении»
Информационные системы по обработке персональных данных являются частным случаем информационных автоматизируемых систем (АС). Поэтому при разработке методов и средств защиты ИСПДн следует придерживаться ГОСТ Р 51583- 2014. Действие этого стандарта распространяется как на вновь создаваемые, так и на модернизированные АС, в отношении которых законодательством или заказчиком установлены требования по их защите. Стандарт устанавливает порядок выполнения работ на стадиях и этапах создания АС в защищенном исполнении, содержание и порядок выполнения работ по защите информации о создаваемой (модернизированной) АС в защищенном исполнении.
Стандарт определяет основные стадии работ при создании АС в защищенном исполнении:
1) Формирование требований к системе защиты информации АС;
2) Разработка (проектирование) системы защиты информации;
3) Внедрение системы защиты информации;
4) Аттестация АС на соответствие требованиям безопасности информации и ввод ее в действие;
5) Сопровождение системы защиты информации в ходе эксплуатации АС.
Следует заметить, что разработка документа «Частная модель актуальных угроз безопасности» ИСПДн проводится на этапе формирования требований к системе защиты.
1.2.13. Постановление правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнение обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными и правовыми актами, операторами, являющимися государственными или муниципальными органами»
В этом постановлении достаточно подробно излагаются меры организационного характера, которые должны применяться в информационных системах персональных данных государственных и муниципальных органов. К ним относятся требования по назначению ответственного за обработку персональных данных, разработке организационно-распорядительной документации и т.д.
1.2.14. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/5-144
Эти методические рекомендации были разработаны во исполнение Постановления Правительства от 17 ноября 2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Постановление Правительства № 781 было заменено другим под номером 1119, поэтому логично ожидать от ФСБ новых методических рекомендаций или подтверждения легитимности прежних.
Действительно, 21.06.2016 г. на сайте ФСБ появилось сообщение об утрате актуальности данного документа.
1.2.15. Приказ Федеральной службы безопасности РФ № 378 от 10 июля 2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Долгожданный приказ, выпущенный ФСБ в исполнении постановления Правительства за № 1119, в котором введены состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием средств криптографической защиты информации (СКЗИ). Однако им не отменены никакие предыдущие приказы этого же ведомства, связанные с обработкой ПДн с применением средств криптографической защиты. Возможно, это сделано намеренно для обеспечения одновременного сосуществования близких по цели нормативных актов.
В данном приказе ФСБ «уловила» связь между типами угроз и уровнями защищенности, введенных в Постановлении Правительства №1119, и классом криптосредства, призванного обеспечить по мнению ФСБ этот уровень защищенности. Особенно непросто придется Операторам – обладателям ИСПДн 1-го уровня защищенности, кроме закупки дорогих криптосредств им понадобится еще и установка решеток на окнах первого и последнего этажей.
1.2.16. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622
Эти требования также были разработаны во исполнение Постановления Правительства от 17 ноября 2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Постановление Правительства №781 было заменено другим под номером 1119, поэтому логично ожидать от ФСБ или указаний о продолжении их действий или новой редакции требований.
Действительно, 21.06.2016 г. на сайте ФСБ появилось сообщение об утрате актуальности и данного документа.
1.2.17. Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»
Собственно, положение регламентирует деятельность лиц, которые разрабатывают, производят или торгуют СКЗИ. Даже раздел об эксплуатации мало информативен для Операторов ПДн. Исключением может быть указание, что «Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется:
обладателем, пользователем (потребителем) защищаемой информации, установившим режим защиты информации с применением СКЗИ;
собственником (владельцем) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ;»
1.2.18. «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152
В данной инструкции, во-первых, определено, что работы, связанные с обеспечением безопасности хранения и обработки с использованием средств криптографической защиты информации конфиденциальных данных должны иметь лицензию Федерального агентства правительственной связи и информации – ФАПСИ (после расформирования ФАПСИ – ФСБ) на деятельность по предоставлению услуг в области шифрования информации. Кроме этого, определены требования к помещениям, в которых располагаются СКЗИ, требования к пользователям (в частности, пользователи должны быть обучены безопасным методам работы) эксплуатирующим данные средства, требования по учету СКЗИ в специальных журналах (даны образцы журналов), процедуры по выведению из эксплуатации СКЗИ и многое другое.
1.2.19. «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015)
Эти рекомендации нацелены на государственные и им подобные органы власти, разрабатывающие нормативные правовые акты, поэтому, по большей части, не актуальны для обычных операторов ПДн. И это, не взирая на преамбулу разработчиков данного документа: «Настоящими методическими рекомендациями целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных».
1.2.20. Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»
Указ, подписанный еще Президентом Б.Н Ельциным, в котором персональные данные отнесены к информации конфиденциального характера. Что такое «конфиденциальный характер»? Замечено, что Российские законы не отличаются строгостью формулировок, видимо, те, кто их готовит, не утруждают себя чтением Государственных стандартов.
Тем не менее, примем, что персональные данные – это конфиденциальная информация.
Очень полезно ознакомиться с полным перечнем сведений, для защиты которых требуется специальное разрешение государства в виде лицензии на техническую защиту конфиденциальной информации. Более подробные размышления на эту тему приведены в разделе «О лицензировании деятельности по технической защите конфиденциальной информации»
ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА
(в ред. Указа Президента РФ от 23.09.2005 N 1111)
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации.
(в ред. Указа Президента РФ от 23.09.2005 N 1111)
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
1.2.21. Постановление Правительства РФ от 3 февраля 2012 г. «О лицензировании деятельности по технической защите конфиденциальной информации»
В соответствии с Федеральным законом «О лицензирование отдельных видов деятельности» лицензированию подлежит деятельность по технической защите конфиденциальной информации (ТЗКИ).
Данное Постановление Правительства определяет, что «Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней».
В контексте защиты персональных данных представляет особый интерес следующая детализация работ и услуг Постановления «При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг: …
установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации)».
К программным средствам защиты информации относятся, в частности:
-Штатные средства разграничения доступа пользователей в операционных системах (подсистема управления доступом – идентификация, аутентификация, авторизация);
-Подсистемы антивирусной защиты;
-Подсистемы обнаружения и предотвращения вторжений (IDS/IPS);
-Подсистемы межсетевого экранирования (межсетевые экраны, персональные брандмауэры);
-Подсистемы архивирования и восстановления персональных данных;
К программным (программно-техническим) средствам контроля защищенности информации относятся сетевые сканеры.
Учитывая, что согласно Указу Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные отнесены к сведениям конфиденциального характера вырисовывается следующая логическая цепочка:
1) Если Персональные данные – конфиденциальная информация
2) И, если Антивирус (и другие программные средства, перечисленные выше) – программное средство защиты персональных данных, т.е. программное средство защиты конфиденциальной информации,
3) ТО для установки антивируса, программного средства защиты персональных данных требуется наличие лицензии по технической защите конфиденциальной информации.
Возникает парадоксальная ситуация, когда на сотнях тысяч предприятий Российской Федерации рутинные действия по установке операционной системы, антивирусного программного обеспечения, межсетевых экранов считаются незаконными при отсутствии лицензии на ТЗКИ, только потому, что они используются для защиты персональных данных.
Многочисленные запросы во ФСТЭК побудили ее опубликовать «информационное сообщение по вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации» от 30 мая 2012 г. № 240/2222. Из этого сообщения следует, что лицензия на ТЗКИ необходима в трех случаях:
-Предприятие извлекает прибыль из деятельности по ТЗКИ (т.е. предоставляет услуги другим предприятиям);
-Деятельность по ТЗКИ указана в уставных документах предприятия;
-Защита конфиденциальной информации в явной форме поручена ее обладателем предприятию (т.е. предприятию поручена не обработка информации, которая должна защищаться по действующему законодательству, а именно техническая защита конфиденциальной информации).
Таким образом, если предприятие самостоятельно для своих нужд проектирует, разрабатывает, внедряет, сопровождает технические средства защиты персональных данных, то лицензия на ТЗКИ не требуется. Остается только один вопрос, какую юридическую силу имеет информационное сообщение ФСТЭК, может ли оно изменить нормативную сущность Постановление Правительства?
Надо заметить, что такой деятельности как эксплуатация нет в перечне лицензируемой деятельности.
Для получения лицензии предприятию надо иметь в штате не менее двух дипломированных специалистов в области информационной безопасности, помещение, контрольно-измерительную аппаратуру, методики и стандарты, специальное программное обеспечение и т.д. Ориентировочная стоимость приобретения лицензии от 500000 руб.
1.2.22. Постановление Правительства РФ от 16 марта 2009 г. № 228 «О федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (
в ред. Постановлений Правительства РФ от 17.03.2010 г. № 160, от 15.06.2010 г. № 438)
В соответствии с этим постановлением Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. Именно к нему, уполномоченному федеральному органу, Роскомнадзору имеют отношения ссылки в статьях 22 и 23 ФЗ «О персональных данных».
1.2.23. Федеральный Закон 23.07.2013 г. № 205-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнениями полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных»
В этом законе органам прокуратуры разрешено иметь доступ к персональным данным, например, направлять обоснованные запросы к предприятию на получение данных о конкретных физических лицах: «Органы прокуратуры в связи с осуществлением ими в соответствии с настоящим Федеральным законом прокурорского надзора вправе получать в установленных законодательством Российской Федерации случаях доступ к необходимой им для осуществления прокурорского надзора информации, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных».
Этот Закон следует учитывать в организационно-распорядительных документах предприятия, в положении об обработке персональных данных.
1.2.24. Федеральный Закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
Современная тенденция в области информационных технологий направлена на перенос процесса обработки информации в так называемые «облака». При этом, к примеру, оператор персональных данных может арендовать вычислительную инфраструктуру (компьютерные сети, серверы, приложения, системы управления базами данных) у центров обработки данных (ЦОД) через Интернет. Данный ФЗ запретил первоначальный сбор персональных данных осуществлять в базы данных ЦОД, расположенных за пределами РФ: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации…». Первоначальный сбор данных в базы ЦОД, расположенных за пределами РФ разрешен только в строго оговоренных 4-х случаях.
1.2.25. Федеральный Закон от 7 февраля 2017 г. № 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
Согласно изменениям, теперь за обработку персональных данных в случаях, не предусмотренных российским законодательством, либо обработку персональных данных, несовместимую с целями их сбора:
– гражданам, грозит предупреждение или штраф 15—30 тыс. рублей (30—50 тыс. рублей повторно).
– для должностных лиц сумма составит 100—200 тыс. рублей (200—500 тыс. рублей повторно),
– для юридических и ИП— от 300 до 500 тыс. (500—700 тыс. рублей повторно).
(данные на 20.06.2025).
За обработку персональных данных без письменного согласия субъекта штраф для граждан может составить 10—15 тыс. рублей, для должностных лиц – от 50 до 100 тыс. рублей, для юридических лиц – от 150 до 300 тыс. рублей. (данные на 20.06.2025).
1.2.26. Федеральный Закон от 30 декабря 2020 г.№ 519 -ФЗ «О внесение изменений в Федеральный закон «О персональных данных»