Методические рекомендаци ИспДн. Методические рекомендации ИСПДн (1). Методические рекомендации по определению состава и содержания технических и организационных мер по защите персональных данных при их обработке в информационной системе персональных данных Содержание
 Скачать 105.05 Kb.
|
|
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по определению состава и содержания технических и организационных мер по защите персональных данных при их обработке в информационной системе персональных данных Содержание 1. Общие положения……………………………………………………………………… 1.1. Введение………………………………………………………………………… 1.2. Назначение методических рекомендаций…………………………………… 1.3. Область действия методических рекомендаций …………………………… 2. Порядок действий по определению уровня защищённости ПДн, обрабатываемых в ИСПДн ОИВ и ОМСУ КО…………………………………………………………… 2.1. Порядок действий по определению типа актуальных угроз………………… 2.2. Порядок действий по определению вида ИСПДн…………………………… 3. Порядок определения состава и содержания технических и организационных мер по защите ПДн при их обработке в ИСПДн…………………………………………… 3.1. Порядок определения состава и содержания технических и организационных мер по защите ПДн при их обработке в ИСПДн согласно приказу ФСТЭК № 21……......................................................................................... 3.1.1. Базовый набор мер по обеспечению безопасности ПДн при их обработке в ИСПДн для каждого уровня защищённости ПДн………………………………………………………………………… 3.1.2. Адаптация базового набора мер…………………………………… 3.1.3. Уточнение адаптированного базового набора мер………………... 3.1.4. Дополнение уточненного адаптированного базового набора мер.. 3.2. Порядок определения состава и содержания технических и организационных мер по защите ПДн при их обработке в ИСПДн согласно ПП № 1119 и приказу ФСБ № 378………………………………………………… 1. Общие положения 1.1. Введение Согласно статье 19 Федерального закона от 27.07.2006 № 152 «О персональных данных» (далее – ФЗ № 152) оператор информационной системы персональных данных (далее – ИСПДн) обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных (далее – ПДн) при их обработке в ИСПДн от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн. Оператор ИСПДн – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн (ст. 3 ФЗ № 152). Таким образом, органы исполнительной власти (далее – ОИВ) и органы местного самоуправления (далее – ОМСУ) Кировской области (далее – КО) должны обеспечивать безопасность ПДн при их обработке в ИСПДн. Для выполнения работ по обеспечению безопасности ПДн при их обработке в ИСПДн в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации. В соответствии с ч. 1 ст. 22 ФЗ № 152 оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор по Кировской области) о своём намерении осуществлять обработку ПДн. Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке ПДн: 1) обрабатываемых в соответствии с трудовым законодательством; 2) полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПДн не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов ПДн; 4) сделанных субъектом ПДн общедоступными; 5) включающих в себя только фамилии, имена и отчества субъектов ПДн; 6) необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в ИСПДн, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности ПДн при их обработке и к соблюдению прав субъектов ПДн; 9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Образец формы уведомления об обработке ПДн и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора (www.rsoc.ru). Кроме того, на портале Персональные данные (http://pd.rkn.gov.ru/) реализована функция по заполнению уведомлений об обработке ПДн в электронной форме. Рекомендуется иметь копию направленного в Роскомнадзор уведомления. 1.2. Назначение методических рекомендаций Методические рекомендации разработаны министерством информационных технологий и связи Кировской области с целью упрощения процесса работы ОИВ и ОМСУ КО по обеспечению безопасности ПДн при их обработке в ИСПДн, операторами которых они являются, на основе законодательства Российской Федерации в области защиты ПДн: - Федерального закона от 27.07.2006 № 152 «О персональных данных»; - Постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; - приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – приказ ФСТЭК № 21), - Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП № 1119), - приказа ФСБ РФ от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» (далее – приказ ФСБ № 378). Настоящий документ определяет порядок выбора ОИВ и ОМСУ КО состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и требованиями к защите ПДн при их обработке в ИСПДн, утверждённых ПП № 1119. 1.3. Область действия методических рекомендаций Настоящий документ рекомендуется использовать ОИВ и ОМСУ КО при определении требований по защите ПДн при их обработке в ИСПДн, операторами которых они являются. ИСПДн – это совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств. ПДн – это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн), в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Таким образом, информационная система персонального кадрового учёта (например, 1С: Кадровый резерв), предназначенная для персонального кадрового учёта, управления кадровым резервом, проведения аттестации, повышения квалификации и решения других вопросов, связанных с управлением персоналом, является ИСПДн, так как содержит фамилию, имя, отчество и другую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу. Также к ИСПДн относится, например, информационная система 1С: Зарплата и кадры и другие. 2. Порядок действий по определению уровня защищённости ПДн, обрабатываемых в ИСПДн ОИВ и ОМСУ КО В зависимости от требуемого уровня защищённости (или защиты) ПДн предъявляются разные требования по обеспечению их безопасности: чем выше требуемый уровень защищённости ПДн, тем шире перечень необходимых мер. Поэтому прежде чем определить состав и содержание технических и организационных мер по защите ПДн, необходимо определить уровень защищённости ПДн. Требуемый уровень защищённости ПДн при их обработке в ИСПДн зависит от: 1) типа угроз, актуальных для ИСПДн, и 2) категории обрабатываемых ПДн. Таким образом, сначала необходимо определить тип актуальных угроз и категорию обрабатываемых ПДн. Порядок действий по определению типа актуальных угроз перечислен в пункте 2.1 настоящего документа, а порядок действий по определению вида ИСПДн перечислен в пункте 2.2 настоящего документа. 2.1. Порядок действий по определению типа актуальных угроз Тип актуальных угроз определяется следующим образом (п. 6 ПП № 1119): Для ИСПДн актуальны угрозы 1-го типа, если для неё в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в ИСПДн (т. е. если работа с ИСПДн осуществляется на персональном компьютере с операционной системой (например, Windows), имеющей функциональные возможности, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и (или) целостности обрабатываемой информации). Для ИСПДн актуальны угрозы 2-го типа, если для неё в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в ИСПДн. Для ИСПДн актуальны угрозы 3-го типа, если для неё актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн. 2.2. Порядок действий по определению вида ИСПДн После определения типа актуальных угроз определяется вид ИСПДн. В зависимости от категории обрабатываемых ПДн выделяют следующие виды ИСПДн (п. 5 ПП № 1119): а) Информационная система является информационной системой, обрабатывающей специальные категории ПДн, если в ней обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн. б) Информационная система является информационной системой, обрабатывающей биометрические ПДн, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн, и не обрабатываются сведения, относящиеся к специальным категориям ПДн. в) Информационная система является информационной системой, обрабатывающей общедоступные ПДн, если в ней обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 ФЗ № 152. г) Информационная система является информационной системой, обрабатывающей иные категории ПДн, если в ней не обрабатываются ПДн, указанные в абзацах втором - четвёртом настоящего пункта. При этом каждая из четырех перечисленных систем может обрабатывать ПДн сотрудников оператора или ПДн субъектов ПДн, не являющихся сотрудниками оператора. Информационная система является информационной системой, обрабатывающей ПДн сотрудников оператора, если в ней обрабатываются ПДн только указанных сотрудников. В остальных случаях ИСПДн является информационной системой, обрабатывающей ПДн субъектов ПДн, не являющихся сотрудниками оператора. После определения типа актуальных угроз и вида ИСПДн определяется требуемый уровень защищённости ПДн при их обработке в ИСПДн. Согласно ПП № 1119 при обработке ПДн в ИСПДн устанавливаются 4 уровня защищённости ПДн. Самый низкий – четвертый, самый высокий – первый. Порядок определения уровня защищённости ПДн описан далее. Необходимость обеспечения 1-го уровня защищённости ПДн при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий: а) для ИСПДн актуальны угрозы 1-го типа и ИСПДн обрабатывает либо специальные категории ПДн, либо биометрические ПДн, либо иные категории ПДн; б) для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора. Необходимость обеспечения 2-го уровня защищённости ПДн при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий: а) для ИСПДн актуальны угрозы 1-го типа и ИСПДн обрабатывает общедоступные ПДн; б) для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора; в) для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает биометрические ПДн; г) для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает общедоступные ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора; д) для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора; е) для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора. Необходимость обеспечения 3-го уровня защищённости ПДн при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий: а) для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора; б) для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора; в) для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора; г) для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает биометрические ПДн; д) для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора. Необходимость обеспечения 4-го уровня защищённости ПДн при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий: а) для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает общедоступные ПДн; б) для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора. Уровень защищённости ПДн определяется комиссией по информационной безопасности. Результаты определения уровня защищённости ПДн оформляются актом классификации (см. шаблоны «Акт определения уровня защищенности информационной системы персональных данных «СЭД «ДЕЛО-АКО» министерства информационных технологий и связи Кировской области по требованиям защиты информации», приказ о создании комиссии по информационной безопасности). После определения уровня защищённости ПДн, выбирается состав технических и организационных мер по защите ПДн при их обработке в ИСПДн. В зависимости от требуемого уровня защищённости ПДн к ИСПДН предъявляются разные требования по защите информации. Порядок определения состава и содержания технических и организационных мер по защите ПДн описан в пункте 3 настоящего документа. Таблица – Определение уровня защищённости ПДн
УЗ – уровень защищённости. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||