Содержание
Два года назад Федеральным законом от 25.07.2011 № 261-ФЗ были внесены существенные изменения в принципы организации защиты персональных данных (далее - ПДн). Однако во внесенных изменениях были заложены основные принципы, о которых было рассказано в статье «Защита персональных данных - изменения 2011» - см. /document.jsp?ID=1906. На конкретизацию требований и переработку подзаконных актов понадобилось длительное время.Определены новые требования к защите ПДн
В настоящее время основными подзаконными актами, определяющими требования к организации защиты ПДн, являются Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Постановление № 1119), пришедшее на смену Постановлению Правительства РФ от 17.11.2007 № 781, и приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по безопасности персональных данных при их обработке в информационных системах персональных данных» (далее - Приказ ФСТЭК России № 21). Приказ был зарегистрирован в Минюсте России 14.05.2013 (№ 28375) и пришел на смену приказу ФСТЭК России от 05.02.2010 № 58. Проанализируем внесенные изменения.
Типы угрозы
Основной целью при организации защиты персональных данных является нейтрализация актуальных угроз в информационной системе (далее - ИС), определенных в соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ).
Напомним, что актуальные угрозы определяются с учетом содержания персональных данных, характера и способов их обработки. В соответствии с пунктом 6 Постановления № 1119: «Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия».
В отношении безопасности персональных данных различают угрозы трех типов:
- «Угрозы 1 типа..., связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении...
- Угрозы 2 типа..., связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении...
- Угрозы 3 типа..., не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении...»
Справка
Недекларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки (РД «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999)). |
Определение типа угроз ПДн, актуальных для информационных систем персональных данных (далее - ИСПДн), производится оператором с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона № 152-ФЗ, соотношением указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн.
Кроме установленных Постановлением № 1119 типов угроз, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки (ч. 6 ст. 19 Закона № 152-ФЗ).
Уровни защищенности
Постановлением Правительства РФ № 1119 установлены 4 уровня защищенности ПДн, которые должны быть обеспечены в зависимости от типа угрозы, категории обрабатываемых данных и количества ПДн. Рассмотрим возможные варианты от первого уровня, предъявляющего наиболее серьезные требования к защите ПДн, к наиболее низкому, четвертому, где требования минимальны (см. таблицу 1).
Таблица 1. Уровни защищенности ПДн в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119
Уровень защищенности |
Тип угрозы |
Категория обрабатываемых ПДн |
Количество обрабатываемых данных |
Требования по защите (Постановление № 1119) |
1 |
1 типа
|
специальные категории |
не установлено |
подп. «а» п. 9 |
биометрические |
не установлено |
подп. «а» п. 9 | ||
иные категории ПДН |
не установлено |
подп. «а» п. 9 | ||
2 типа |
специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн |
более 100000 |
подп. «б» п. 9 | |
2 |
1 типа |
общедоступные |
не установлено |
подп. «а» п. 10 |
2 типа
|
специальные категории ПДн сотрудников организации |
не установлено |
подп. «б» п. 10 | |
специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн |
менее чем 100000 |
подп. «б» п. 10 | ||
биометрические |
не установлено |
подп. «в» п. 10 | ||
общедоступные ПДн, не являющихся сотрудниками оператора ПДн |
более 100000 |
подп. «г» п. 10 | ||
иные категории ПДн, не являющихся сотрудниками оператора ПДн |
более 100000 |
подп. «д» п. 10 | ||
3 типа |
специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн |
более 100000 |
подп. «е» п. 10 | |
3 |
2 типа
|
общедоступные ПДн сотрудников оператора |
не установлено |
подп. «а» п. 11 |
общедоступные ПДн, не являющихся сотрудниками оператора ПДн |
менее 100000 |
подп. «а» п. 11 | ||
иные категории ПДн сотрудников оператора |
не установлено |
подп. «б» п. 11 | ||
иные категории ПДн, не являющихся сотрудниками оператора ПДн |
менее 100000 |
подп. «б» п. 11 | ||
3 типа
|
специальные категории ПДн сотрудников организации |
не установлено |
подп. «в» п. 11 | |
специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн |
менее чем 100000 |
подп. «в» п. 11 | ||
биометрические |
не установлено |
подп. «г» п. 11 | ||
иные категории ПДн, не являющихся сотрудниками оператора ПДн |
более 100000 |
подп. «д» п. 11 | ||
4 |
3 типа
|
общедоступные |
не установлено |
подп. «а» п. 12 |
иные категории персональных данных сотрудников оператора |
не установлено |
подп. «б» п. 12 | ||
иные категории ПДн, не являющихся сотрудниками оператора ПДн |
менее 100000 |
подп. «б» п. 12 |
Справка
Специальные категории персональных данных - данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн. Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн. Общедоступные персональные данные - данные, полученные из общедоступных источников ПДн (в том числе, справочников, адресных книг). В соответствии с пунктом 1 статьи 8 Закона № 152-ФЗ в общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. |
Проанализировав приведенную таблицу 1 можно предположить, что если оператором применяются программные средства (как системные, так и прикладные), прошедшие процедуру соответствия на отсутствие недекларированных возможностей, то тип угрозы будет 3, а, соответственно, необходимый уровень защищенности - 3-го или 4-го уровня, что будет зависеть от объема и категории обрабатываемой информации.
Как отмечалось выше, требования по защите ПДн зависят от уровня защищенности. Постановлением № 1119 установлены следующие требования (см. таблицу 2).
Таблица 2. Требования по защите ПДн в зависимости от уровня защищенности в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119
Требование по защите ПДн |
Уровни защищенности | |||
1 |
2 |
3 |
4 | |
Организация режима обеспечения безопасности помещений, в которых размещена ИС, препятствующая возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения |
+ |
+ |
+ |
+ |
Обеспечение сохранности носителей персональных данных |
+ |
+ |
+ |
+ |
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей |
+ |
+ |
+ |
+ |
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз |
+ |
+ |
+ |
+ |
Назначение должностного лица (работников), ответственного за обеспечение безопасности ПДн в ИС |
+ |
+ |
+ |
|
Ограничение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в данном журнале, необходимы для выполнения служебных (трудовых) обязанностей |
+ |
+ |
|
|
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника по доступа к ПДн, содержащимся в ИС |
+ |
|
|
|
Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИС, либо возложение на одно из структурных подразделений по обеспечению такой безопасности. |
+ |
|
|
|
Конкретные требования к выбору средств защиты информации для системы защиты ПДн должны осуществляться оператором в соответствии с Приказом ФСТЭК России № 21.
Состав и содержание мер по обеспечению безопасности ПДн
Перечень мер по обеспечению безопасности ПДн, реализуемых в рамках системы защиты ПДн с учетом актуальных угроз безопасности, поименован в пункте 8 Приказа ФСТЭК России № 21.
Отметим некоторые из них:
- идентификация и аутентификация субъектов доступа (пользователей) и объектов доступа (данные);
- управление доступом субъектов доступа к объектам доступа;
- регистрация событий безопасности;
- антивирусная защита;
- контроль (анализ) защищенности ПДн и т. п.
В приложении к Приказу ФСТЭК России № 21 приведен состав и содержание организационных и технических мер по обеспечению безопасности ПДн, необходимых для обеспечения каждого из уровней защищенности ПДн.
Соответственно, после установления уровня защищенности, необходимо определить базовый набор мер по обеспечению безопасности ПДн. Например, для минимального 4-го уровня такой набор состоит более чем из 30 мер.
Далее данный базовый набор мер подлежит адаптации с учетом структурно-функциональных характеристике ИС (в том числе, возможно исключение мер, непосредственно не связанных с информационными технологиями, не используемыми в ИС, или структурно-функциональными характеристиками, не свойственными ИС), утонению и дополнению мерами, обеспечивающими выполнение требований к защите персональных данных, установленных ими нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации.
Таким образом, в результате, основываясь на требованиях, предусмотренных в Приказе ФСТЭК России № 21, должен быть получен комплекс мер, необходимый и достаточный для защиты ПДн конкретного оператора в соответствии с требованиями действующего законодательства.
Следует отметить, что в случае изменения категории обрабатываемых данных, структурно-функциональных характеристик ИС разработанный комплекс мер подлежит пересмотру.
Также не следует забывать об оценке эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн, которая может проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Такая оценка должна проводиться не реже одного раза в три года.
О сертификации ЗПК «1С:Предприятие, версия 8.2z»
Требование о необходимости применения средств защиты информации, прошедших процедуру соответствия, предусмотрено подпунктом 3 пункта 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ, подпунктом «г» пункта 13 Постановления Правительства РФ от 01.11.2012 № 1119 и пунктом 3 приказа ФСТЭК России № 21.
В целях соответствия требованиям законодательства РФ о защите персональных данных фирмой «1С» в 2010 году была проведена сертификация Защищенного программного комплекса (далее - ЗПК) «1С:Предприятие, версия 8.2z». Сертификатом соответствия № 2137 подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» является программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну. Первоначальный срок действия сертификата установлен с 20.07.2010 по 20.07.2013.
В мае-июле 2013 года были проведены мероприятия по продлению действия ранее полученного сертификата соответствия. Действие сертификата № 2137 продлено до 20 июля 2016 года.
Полученным сертификатом № 2137 подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» соответствует требованиям руководящих документов:
- «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 5 классу защищенности;
- «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 4 уровню контроля.
Ознакомиться с сертификатом можно здесь>>.
Обращаем внимание пользователей ЗПК «1С:Предприятие, версия 8.2z», что в новом сертификате исключена имевшая место ранее фраза: «а также для защиты информации в информационных системах персональных данных до 1 класса включительно». Данное исключение связано с отсутствием в настоящее время в действующем законодательстве по защите персональных данных понятия «класс информационной системы персональных данных».
Пунктом 12 Приказа ФСТЭК России № 21 предусмотрено требование об использовании в информационных системах персональных данных сертифицированных по требованиям безопасности средств защиты информации средств вычислительной техники не ниже 5 класса защищенности (для обеспечения 1-3 уровня защищенности) и не ниже 6 класса защищенности (для обеспечения 4 уровня защищенности). Таким образом, в сертификате подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» может использоваться при построении ИСПДн для любого уровня защищенности.
Дополнительно считаем необходимым отметить следующее:
- ЗПК «1С:Предприятие, версия 8.2z» является сертифицированной версией технологической платформы 1С:Предприятие 8.2;
- последним сертифицированным релизом является релиз 8.2.18.102;
- сертификат ФСТЭК России от 20.07.2010 № 2137 был продлен с сохранением ранее выделенных знаков соответствия с № Г 420000 по № Г 429999;
- контрольные суммы дистрибутивного комплекта ЗПК «1С:Предприятие, версия 8.2z», указанные в формуляре, получены как с использованием программы фиксации и контроля исходного состояния программного комплекса (ФИКС) по алгоритму «Уровень - 2», так и программы расчета и сравнения контрольных сумм, поиска различий в текстовых файлах и бинарных модулях форматов PE, ELF «РСП-Контроль» по алгоритму ГОСТ 34.11;
- подробный порядок приобретения ЗПК «1С:Предприятие, версия 8.2z» изложен в информационном письме фирмы «1С» от 29.12.2010 № 12891 (см. http://1c.ru/news/info.jsp?id=12891);
- возможность получения регулярных обновлений реализована на сайте http://www.online.1c.ru.
В мае 2016 года выпущен ЗПК «1С:Предприятие, версия 8.3z», ознакомиться с сертификатом можно по