Под уровнем исходной защищенности информационной системы персональных данных (ИСПДн) понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, а именно:
- территориальное размещение;
- наличие соединению сетями общего пользования;
- встроенные (легальные) операции с записями баз персональных данных;
- разграничение доступа к персональным данным;
- наличие соединений с другими базами персональных данных иных ИСПДн;
- уровень обобщения (обезличивания) персональных данных;
- объем персональных данных, который предоставляется сторонним пользователям ИСПДн без предварительной обработки.
Определяется уровень исходной защищенности ИСПДн (Y₁) в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных ФСТЭК России в 2008 году. Уровень исходной защищенности ИСПДн (Y₁) применяется для оценки возможности реализации угроз безопасности персональных данных и .
ФСТЭК России выделило 3 (три) уровня исходной защищенности ИСПДн (Y₁):
Уровень исходной защищенности ИСПДн определяется по таблице 1
Таблица 1. Показатель исходного уровня защищенности ИСПДн
Уровень защищенности | |||
Высокий | Средний | Низкий | |
1. По территориальному размещению: | |||
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; | – | – | + |
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); | – | – | + |
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; | – | + | – |
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; | – | + | – |
+ | – | – | |
ИСПДн, имеющая многоточечный выход в сеть общего пользования; | – | – | + |
ИСПДн, имеющая одноточечный выход в сеть общего пользования; | – | + | – |
ИСПДн, физически отделенная от сети общего пользования | + | – | – |
чтение, поиск; | + | – | – |
запись, удаление, сортировка; | – | + | – |
модификация, передача | – | – | + |
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект персональных данных; | – | + | – |
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; | – | – | + |
ИСПДн с открытым доступом | – | – | + |
5. По наличию соединений с другими базами персональных данных иных ИСПДн: | |||
интегрированная ИСПДн (организация использует несколько баз персональных данных ИСПДн, при этом организация не является владельцем всех используемых баз персональных данных); | – | – | + |
ИСПДн, в которой используется одна база персональных данных, принадлежащая организации – владельцу данной ИСПДн | + | – | – |
6. По уровню обобщения (обезличивания) персональных данных: | |||
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); | + | – | – |
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; | – | + | – |
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта персональных данных) | – | – | + |
7. По объему персональных данных, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: | |||
ИСПДн, предоставляющая всю базу данных с персональными данными; | – | – | + |
ИСПДн, предоставляющая часть персональных данных; | – | + | – |
ИСПДн, не предоставляющая никакой информации. | + | – | – |
Содержание
- 0.1 Правила определения исходного уровня защищенности ИСПДн
- 0.2 Пример определения уровня исходной защищенности ИСПДн
- 1 Составление модели актуальных угроз ИСПДн юридической фирмы «Грантум». Классификация ИСПДн
- 2 Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?
- 2.1 Что из себя представляет документ в целом
- 2.2 Ложка дегтя
- 2.3 Вместо резюме
- 2.4 Защита типовой системы: скромно и со вкусом
- 2.5 ИС федерального масштаба: все, как у людей
- 2.6 Медицинские информационные системы: зона особого внимания
- 2.7 Прочие информационные системы в сфере здравоохранения
- 2.8 Классификация ИСПДн юридической фирмы «Грантум»
Правила определения исходного уровня защищенности ИСПДн
Исходная уровень защищенности ИСПДн определяется следующим образом.
1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).
Таблица 2. Условия определения высокого уровня исходной защищенности
Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | |
Высокий | Средний | Низкий |
∑ ≥ 70% | ∑ ≤ 30% | 0% |
2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.
Таблица 3. Условия определения среднего уровня исходной защищенности
Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | |
Высокий | Средний | Низкий |
∑ < 70% | ∑ ≥ 70% | ∑ ≤ 30% |
3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.
Таблица 4. Условия определения низкого уровня исходной защищенности
Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | |
Высокий | Средний | Низкий |
∑ < 70% | ∑ < 70% | ∑ > 0% |
При составлении перечня актуальных угроз безопасности персональных данных каждой степени исходного уровня защищенности ИСПДн ставится в соответствие числовой коэффициент Y₁, а именно:
- 0 – для высокой степени исходной защищенности;
- 5 – для средней степени исходной защищенности;
- 10 – для низкой степени исходной защищенности.
Пример определения уровня исходной защищенности ИСПДн
Требуется определить уровень исходной защищенности автоматизированного рабочего места пользователя управляющей компании, которая взаимодействует через сеть общего пользования “Интернет” с ГИС ЖКХ, с учетом правил определения исходного уровня защищенности ИСПДн (таблицы 2, 3, 4), результаты занесем в таблицу 5.
Таблица 5. Исходная степень защищенности автоматизированного рабочего места пользователя
Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | |
Высокий | Средний | Низкий |
1. По территориальному размещению: | + | |
локальная ИСПДн, развернутая в пределах одного здания | + | |
2. По наличию соединения с сетями общего пользования: | + | |
ИСПДн, имеющая одноточечный выход в сеть общего пользования | + | |
3. По встроенным (легальным) операциям с записями баз персональных данных: | + | |
модификация, передача | + | |
4. По разграничению доступа к персональным данным: | + | |
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект персональных данных | + | |
5. По наличию соединений с другими базами персональных данных иных ИСПДн | + | |
интегрированная ИСПДн (организация использует несколько баз персональных данных ИСПДн, при этом организация не является владельцем всех используемых баз персональных данных) | + | |
6. По уровню обобщения (обезличивания) ПДн: | + | |
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) | + | |
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: | + | |
ИСПДн, предоставляющая часть ПДн | + |
В данном посте хотелось бы осветить такой документ, как Акт определения уровня защищенности ПДн при их обработке в ИСПДн. Это, если можно так сказать, перерождение Акта классификации ИСПДн. Основной камень преткновения, который я встретил, это не совсем понятная картина в том, что является законодательным инструментом в написании данного акта.
Дело в том, что ранее этот акт классификации ИСПДн писался на основании приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», который и утверждает порядок классификации.
Но издан этот приказ в соответствии с пунктом 6 Постановления Правительства №781 от 17 ноября 2007 г., которое утратило силу в связи с выходом Постановления Правительства № 1119 от 1 ноября 2012. Таким образом, приказ действующий, а вышестоящий документ – нет.
В свою очередь в ПП 1119 нет привязки к категории ИСПДн, однако есть привязка к уровню защищенности персональных данных, который должен быть обеспечен при их обработке в ИСПДн.
Источник: https://www.adminpz.ru/agreement/opredelenie-neobhodimogo-urovnya-zashchishchennosti-personalnyh.html
Составление модели актуальных угроз ИСПДн юридической фирмы «Грантум». Классификация ИСПДн
< Предыдущая СОДЕРЖАНИЕ Следующая >
Перейти к загрузке файла |
|||||||||||||||||||||||||||||||||||||||||||||||||||||
В соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных разработанной ФСТЭК, определение уровня исходной защищённости производится на основании анализа технических и эксплуатационных характеристик ИСПДн, в таблице (5.1) представлены характеристики ИСПДн, определена степень исходной защищенности ИСПДн клиентов и сотрудников юридической фирмы «Грантум».Исходный уровень защищенности определяется следующим образом:1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициентY1, а именно:0 – для высокой степени исходной защищенности;5 – для средней степени исходной защищенности;10 – для низкой степени исходной защищенности.Таблица 5.1 – определение уровня исходной защищенности ИСПДн юридической фирмы «Грантум»
|
Определение вероятности реализации угроз безопасности в информационной системе персональных данных.
В соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, разработанной ФСТЭК, под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Вводятся четыре вербальных градации показателя «Вероятность реализации угрозы»:
– маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
– низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
– средняя вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
– высокая вероятность – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2, а именно:
0 – для маловероятной угрозы;
2 – для низкой вероятности угрозы;
5 – для средней вероятности угрозы;
10 – для высокой вероятности угрозы.
Определение коэффициента реализуемости угрозы.
С учетом изложенного, коэффициент реализуемости угрозы Y будет определяться соотношением (2.1)
, (2.1)
где:
.
По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:
– если , то возможность реализации угрозы признается низкой;
– если , то возможность реализации угрозы признается средней;
– если , то возможность реализации угрозы признается высокой;
– если , то возможность реализации угрозы признается очень высокой.
Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:
– низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
– средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
– высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 5.2.
Таблица 5.2 Правила отнесения угрозы безопасности ПДн к актуальной
Возможность реализации угрозы | Показатель опасности угрозы | ||
Низкая | Средняя | Высокая | |
Низкая | неактуальная | неактуальная | актуальная |
Средняя | неактуальная | актуальная | актуальная |
Высокая | актуальная | актуальная | актуальная |
Очень высокая | актуальная | актуальная | актуальная |
Источник: https://studbooks.net/2249797/informatika/sostavlenie_modeli_aktualnyh_ugroz_ispdn_yuridicheskoy_firmy_grantum_klassifikatsiya_ispdn
Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?
15 мая 2013 года Минюст наконец-то зарегистрировал приказ ФСТЭК № 21 от 18 февраля 2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Почему же «долгожданный»? Да потому, что с момента выхода постановления Правительства РФ № 1119 (1 ноября 2012 года) любые вопросы по технической защите персональных данных оказались в неопределенно-подвешенном состоянии.
Получилось так: новым постановлением отменены старые классы информационных систем персональных данных (ИСПДн) и введено понятие «Уровни защищенности ИСПДн», но как и чем защищаться в каждом конкретном случае как раз и должен был нам рассказать новый приказ ФСТЭК, который мы ждали «каких-то» полгода.
Сразу после опубликования нового приказа по Интернету прокатилась волна восторженных отзывов о новом документе. Мол, это огромный шаг вперед в сфере законодательства по защите персональных данных.
В какой-то мере это действительно так (учитывая то, что предыдущие документы выходили сразу морально устаревшими и не учитывали многих нюансов функционирования современных информационных систем — мобильные платформы, виртуализация и тд), но, лично у меня к новому документу есть масса претензий. В этой статье я постараюсь простым языком проанализировать новый документ ФСТЭК России, взвесить его плюсы и минусы, а также постараться ответить на вопрос «что же теперь делать операторам персональных данных?».
Что из себя представляет документ в целом
В целом, это действительно шаг вперед в плане законотворчества в сфере защиты персональных данных. Наконец-то в списке мер мы увидели упоминание мобильных устройств и средств виртуализации, чего раньше законодатели тщательно старались избегать.
Наконец-то нет обязаловки как в прошлом приказе: «Если у тебя ИСПДн 1 класса, тебе нужно потратить n денег на средства защиты информации, если 2 класса, то n-m денег, а если 3 класса, то n-m-k денег.».
Сейчас ситуация такая: у нас есть 15 групп различных технических и организационных мер, в каждой группе от 2 до 20 различных мер, напротив каждой меры отмечено, является ли эта мера базовой (я буду их называть далее условно обязательными) для определенного уровня защищенности (если стоит плюс, то мера базовая, если нет — компенсирующая).
Тут нужно заметить, что в перечне есть немало мер, которые могут быть только компенсирующими, то есть не отмечены плюсом ни для одного из четырех уровней защищенности.
Оператор персональных данных действует по следующему алгоритму: — определяет уровень защищенности своей ИСПДн согласно ПП 1119; — выбирает все меры, которые отмечены плюсом для выбранного уровня защищенности (базовые меры); — убирает из полученного списка меры, которые связаны с технологиями, не используемыми в ИСПДн (например, убираем меры для защиты виртуальной инфраструктуры, если средства виртуализации не используются); — смотрит на полученный список мер и сравнивает с актуальными угрозами в модели угроз, если выбранными мерами нейтрализуются не все актуальные угрозы, добавляет в список компенсирующие меры, необходимые для нейтрализации всех оставшихся угроз; — добавляет к полученному списку меры, определенные в других нормативных актах (например в ПП № 1119 есть небольшое количестве мер, а также есть общие требования в ФЗ-152), после чего получает итоговый список мер, которые нужно выполнить; — выполняет меры из окончательного списка… Вроде бы все просто: определяем уровень защищенности, рисуем модель угроз, выбираем и уточняем меры из нового приказа ФСТЭК, выполняем эти меры и у нас комар носа не подточит. Но…
Ложка дегтя
Собственно здесь начинается критика как нового документа, так и остального законодательства в целом.
Проблемы у 21 приказа ФСТЭК в целом такие же как и у многих других законодательных документов — использование размытых формулировок, возможность двоякого толкования текста, отсутствие пояснений там, где они жизненно необходимы.
Понять как тщательно готовился документ и сколько раз его перечитывали и редактировали за эти полгода можно уже по тому факту, что после четвертого пункта в приказе сразу идет шестой… Ну ладно, это придирки, а что есть по существу?
Непонятки начинаются с классики жанра, которая тянется с незапамятных времен. Пункт 2 документа гласит, что для выполнения работ по защите ПДн могут привлекаться организации, имеющие лицензию на техническую защиту конфиденциальной информации (ТЗКИ).
Эта фраза кочует из документа в документ ФСТЭК уже давно, но что значит «могут» однозначного ответа так и нет. Естественно, ушлые интеграторы будут трактовать это как «могут привлекать сторонние организации, если сами не имеют лицензию на ТЗКИ». Формально, они будут правы, потому что если копнуть другие нормативные акты, выясняется, что под ТЗКИ попадает даже банальная установка антивируса, а в положении о лицензировании касаемо ТЗКИ нет оговорки о том, что лицензия не нужна если работы проводятся для личных нужд. Но операторы не любят выкидывать деньги на ветер и, к несчастью ушлых интеграторов, включают здравый смысл и трактуют это предложение как «могут привлекать, а могут и сами сделать». Это первое место, где не помешало бы более конкретно описать условия привлечения сторонних организаций.
Едем дальше. Пункт 3 говорит нам о том, что меры по обеспечению безопасности ПДн должны быть направлены на нейтрализацию актуальных угроз безопасности. С другой стороны ФЗ-152 говорит нам о том, что организационные и технические меры применяются для выполнения требований по защите ПДн. Так все-таки, есть у нас свобода или очередная обязаловка? Опять необходимо разъяснение.
Далее. Шестой пункт гласит о том, что раз в 3 года оператор самостоятельно или с привлечением сторонних организаций должен проводить оценку эффективности реализованных мер защиты ПДн. Тут получилось как с оценкой вреда субъекту персональных данных в 152-ФЗ. Получается, что оценку провести нужно, а какой-либо методики проведения такой оценки нет. А может быть оценка эффективности является заменой аттестации информационной системы? Тогда почему оператор может проводить ее самостоятельно, не имея лицензии на ТЗКИ?
Десятый пункт документа на первый взгляд очень многообещающий, в нем сказано “При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных“.
Казалось бы, вот оно — ссылаемся на экономическую нецелесообразность и не покупаем никаких сертифицированных средств защиты. Ну тут же нас выводит из состояния эйфории следующий абзац: «В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных».
То есть вот как, просто сказать проверяющему «Мы тут с мужиками прикинули и решили, что внедрять сертифицированные СЗИ это слишком дорого и поставили бесплатный китайский антивирус» не получится. Нужно показывать какие-то бумажки, обосновывающие применение иных мер, а не базовых. Как обосновать? Мне пока на ум приходит только проведение процедуры анализа рисков по ISO 27001, что, в случае найма для этих целей сторонней организации, само по себе может влететь в копеечку. К тому же, еще не факт, что анализ рисков покажет, что внедрять сертифицированные СЗИ экономически нецелесообразно… Собственно тут мы и дошли до основной части документа — приложение с перечнем мер. Тут тоже не все так просто как хотелось бы. Вроде бы и меры разбиты на группы и удобно пронумерованы, вроде бы и удобные столбики с плюсиками показывают является ли в нашем случае та или иная мера условно обязательной или нет. Но, все равно, после изучения таблицы с мерами остается чувство неопределенности. Вот, например, пункт четвертый основного текста приказа уже не обязывает, вроде как, применять только сертифицированные СЗИ. Это хорошо. Но этот же пункт и не говорит прямым текстом, что можно применять несертифицированные СЗИ или не применять СЗИ вообще. Вот как он звучит дословно:
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
В то же время, первая же мера, условно обязательная для всех уровней защищенности, звучит так: «Идентификация и аутентификация пользователей, являющихся работниками оператора». Понятно, что эта мера может быть реализована и штатными средствами любой ОС.
И вроде как четвертый пункт не обязывает применять тот же Secret Net или Dallas Lock, но где гарантия, что не придет проверяющий и не скажет «Вы все не так поняли, тут должно стоять сертифицированное СЗИ, вот вам предписание»? Кто и как определяет — для нейтрализации конкретной угрозы необходимо ли сертифицированное СЗИ или можно обойтись без него? Почему нельзя написать прямым текстом, что применение сертифицированных СЗИ не обязательно, или обязательно в каких-то конкретных случаях?
Ну и формулировка самих мер иногда очень интересна. Вот например условно-обязательная мера защиты сред виртуализации для уровней защищенности от третьего и выше:
«Разбиение виртуальной инфраструктуры на сегменты для обработки персональных данных отдельным пользователем и/или группой пользователей».
По какому принципу сегментировать-то? И в чем такая необходимость? Конечно, мы можем при уточнении или адаптации набора мер выкинуть эту меру из списка, но опять же, а если проверяющий скажет «Вы все не так поняли…»? Я очень надеюсь, что когда-нибудь представители ФСТЭК все же дадут официальные разъяснения по поводу спорных вопросов.
Вместо резюме
В общем и целом заметны попытки ФСТЭК дать большую свободу действия операторам при выборе стратегии защиты персональных данных, но размытости и неопределенности в формулировках в сочетании с неясностью позиции самого регулятора в спорных моментах, заставляют насторожиться.
Что же делать операторам сейчас? Тем, кто уже защитил свои ИСПДн по «старому стилю», немного подредактировать свою документацию, приведя ее в соответствие действующему законодательству. В любом случае, скорее всего, ваша система защиты в техническом плане будет соответствовать и новому документу, так как раньше требования были жестче.
Остальным — классифицировать свои ИСПДн, построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.
Источник: https://habr.com/post/180623/
Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
На данный момент требования к защите персональных данных при их обработке в информационных системах установлены постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Постановление пришло на смену утратившему силу постановлению Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г.
N 55/86/20, который утверждал порядок классификации ИСПДн.
Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.
В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:
1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;
2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;
3) категория персональных данных, обрабатываемых в информационной системе:
- специальные,
- биометрические,
- общедоступные,
- иные;
4) тип актуальных угроз безопасности персональных данных:
- актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении;
- актуальны угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении;
- актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.
Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить.
Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных.
Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.
Защита типовой системы: скромно и со вкусом
Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.
Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений.
В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы.
В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.
ИС федерального масштаба: все, как у людей
Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.
Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.
Медицинские информационные системы: зона особого внимания
С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:
- ведут электронные амбулаторные карты, электронную регистратуру;
- обрабатывают данные медицинских исследований в цифровой форме;
- собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
- используют как средство общения между сотрудниками;
- анализируют финансовую и административную информацию.
При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:
- в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т. д.);
- субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.
В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.
Прочие информационные системы в сфере здравоохранения
В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.
Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.
В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора.
Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением.
Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам.
Специалисты «Контур-Безопасность»
- составят модель угроз
- классифицируют информационную систему
- помогут выбрать оптимальные средства защиты
- грамотно выстроят систему защиты
Узнать больше
Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»
Источник: https://kontur.ru/articles/1940
Исходя из составленной модели угроз, перечень актуальных угроз ИСПДн юридической фирмы «Грантум» имеет следующий вид: 1. Угрозы утечки информации по техническим каналам: – угрозы утечки видовой информации. 2. Угрозы преднамеренных действий внутренних нарушителей: – разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке; – применение отчуждаемых носителей вредоносных программ. 3. Угрозы НСД: – угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов; – угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.); – угрозы внедрения вредоносных программ. 4. Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия: – угрозы “Анализа сетевого трафика” с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации – угрозы сканирования, направленные на выявление типа операционной системы АРМ, открытых портов и служб, открытых соединений и др.; – угрозы выявления паролей; – угрозы внедрения по сети вредоносных программ. Классификация ИСПДн юридической фирмы «Грантум»Субъектами персональных данных являются как сотрудники фирмы, так и клиенты, общей численностью не более 100 тыс. субъектов. В соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, ИСПДн юридической фирмы «Грантум» является информационной системой, обрабатывающей категорию персональных данных «иные». Используя метод экспертных установим, что для ИСПДн юридической фирмы «Грантум» актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. Уровень защищённости ИСПДн определяется на основании количества субъектов персональных данных, категории ПДн, типа актуальных угроз, а также того, являются субъекты ПДн сотрудниками фирмы или нет. Из приведённых выше значений характеристик, используя таблицу (5.3), следует отнести ИСПДн юридической фирмы «Грантум» к четвёртому уровню защищённости. Таблица 5.3 – Критерии определения уровня защищённости ИСПДн
|