Нормативно правовая база по защите персональных данных.
В целях понимания ситуации вокруг защиты персональных данных, сложившейся в современной законодательной практике в Российской Федерации, перед началом работ необходимо изучить основные нормативно-правовые документы, регламентирующие защиту персональных данных. С утверждением постановления от 01.11.12 №1119 утратило силу постановление №781, на основе которого по приказу ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 и по частной модели угроз определялся класс ИСПДн. По приказу правительства №1119 вместо класса ИСПДн определяется уровень защищенности ПД при их обработке в ИСПДн. Приказ ФСТЭК России от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» № 58 утратил силу, на его место был утвержден приказ ФСТЭК России 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности данных при их обработке в информационных системах персональных данных» № 21.
Федеральный закон от 27.07.2006 «О персональных данных» №152-ФЗ.
27 июля 2006 года указом президента Российской Федерации был введен в действие Федеральный Закон «О персональных данных» №152-ФЗ.
Данный закон регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами).
Согласно данному закону к персональным данным относится любая информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Обработкой персональных данных признаются действия с ними, а именно, систематизация, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование и уничтожение данных.
Постановление Правительства № 687
15 сентября 2008 года, было подписано постановление «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Согласно этому документу, обработка ПДн, содержащихся в ЗС либо извлеченных из такой системы, считается неавтоматизированной, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.
Но, вместе с тем, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
В самом положении определяются правила и требования к обработке персональных данных, осуществляемой без использования средств автоматизации.
Постановление Правительства № 1119
Постановление Правительства Российской Федерации от 1 ноября 2012г. “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” №1119 устанавливает требования к обеспечению безопасности, необходимые для обработки персональных данных с использованием средств автоматизации.
Постановлением устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.
Постановлением также устанавливается требование использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Приказ ФСТЭК №21
ФСТЭК России 18 февраля 2013 г. Был издан приказ «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности данных при их обработке в информационных системах персональных данных» № 21.
В тексте Приказа определяются требования к защите информации, обрабатывающейся в ИСПДн. Все требования в Приказе разделены в соответствии с уровнями защищенности персональных и разделены на различные целостные подсистемы единой системы защиты информации в защищаемых сетях.
Приказ ФСТЭК №17
ФСТЭК России 11 февраля 2013 г. Был издан приказ «Об утверждении требований о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах» № 17.
В тексте Приказа определяются требования к защите информации, обрабатывающейся в государственных информационных системах. Все требования в Приказе разделены в соответствии с классами защищенности информационных систем и разделены на различные целостные подсистемы единой системы защиты информации в защищаемых сетях.
Базовая модель угроз безопасности персональных данных и Методика определения актуальных угроз
Для определения перечня актуальных угроз, способных нанести ущерб безопасности персональных данных, при их обработке в информационных системах персональных данных, служат два документа - Базовая модель угроз безопасности ПДн при их обработке в ИСПДн и Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн. Оба методических документа разработаны и утверждены ФСТЭК России и являются базовыми документами для составления Частной модели угроз безопасности ПДн при их обработке в ИСПДн, отнесенных к классу специальных.
распределение ответственности за выполнение мероприятий по защите информации между должностными лицами, организующими и реализующими технические мероприятия;
назначение администраторов защиты (безопасности) информации.
Указанные мероприятия должны проводиться по мере необходимости, но не реже одного раза в год. Порядок организации и выполнения мероприятий обеспечения авторизации пользователей в отделении ПФР определяется «Инструкцией по авторизации пользователей регионального сегмента АИС ПФР в Отделении по …», разрабатываемого в каждом отделении ПФР. Инструкция подписывается руководителями подразделений информационных технологий и по защите информации, утверждается управляющим отделением.
Пользователям предоставляются минимально необходимые для выполнения производственных задач права доступа к информации. Ответственность за обоснованность предоставляемых пользователям прав возлагается на руководителей структурных подразделений.
Заявки на предоставление пользователям доступа к защищенным информационным ресурсам ПФР (с указанием разрешенных режимов работы и уровней доступа к защищаемым ресурсам) формируются подразделениями, осуществляющими использование ресурсов, согласовываются с владельцами ресурсов и предоставляются в подразделение по защите информации за подписью руководителя структурного подразделения.
Подразделением по защите информации на основании заявок, представленных руководителями структурных подразделений, формируется «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4).
В Исполнительной дирекции ПФР «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4) утверждается заместителем Председателя Правления ПФР, в отделении ПФР – его управляющим, в ИЦПУ – директором.
В соответствии с «Таблицей допуска пользователей к защищаемым ресурсам» (приложение 3) для каждого защищаемого ресурса подразделением по защите информации формируется «Таблица доступа пользователей к информационному ресурсу» (приложение 4) с указанием идентификаторов и аутентификаторов (паролей) пользователей.
Выработка паролей и оформление парольной документации производится в отделении ПФР и осуществляется подразделением по защите информации с использованием вычислительной техники и специального программного обеспечения.
Доведение паролей, предназначенных к введению с клавиатуры, до пользователей осуществляется посредством выдачи им карточек паролей (приложение 5) под роспись в «Журнале выдачи парольной документации» (приложение 6) или с использованием соответствующих технических средств.
Подразделением по защите информации для отделения ПФР и каждого подведомственного ему территориального органа ПФР на основании утвержденной «Таблицы допуска пользователей к защищаемым ресурсам» (приложение 3) формируется пакет парольной документации с пометкой «для служебного пользования» (ДСП), в который входят следующие документы:
комплект «Таблиц доступа пользователей к информационному ресурсу» (приложение 4) с указанием срока их действия;
соответствующий комплекту «Таблиц …» комплект карточек паролей (приложение 5);
«Таблица доступа пользователей к информационному ресурсу» (приложение 4) формируется отдельно для каждого ресурса. Допускается сведение таблиц доступа к нескольким ресурсам в одну при условии установки указанных в них паролей одним лицом (администратором защиты информации).
Таблицы доступа нумеруются с использованием кода отделения ПФР, кода подведомственного органа ПФР (через косую черту), для которого она предназначены и порядкового номера таблицы в комплекте (через дефис). Например, «Таблица доступа пользователей к информационному ресурсу № 070/012 01».
В «Таблице доступа к информационному ресурсу» (приложение 4) указываются только пароли, предназначенные для замены паролей с истекающим сроком действия. В строке пользователя, применяющего для доступа к соответствующему ресурсу электронный аутентификатор, в графах 6 и 7 при отсутствии необходимости изменения пароля делается пометка о его использовании, а при необходимости замены – Имя_Пользователя и пароль.
На основании «Таблицы доступа к информационному ресурсу» (приложение 4) в соответствии с предоставленными полномочиями администратор защиты информации – с использованием специализированных или встроенных средств защиты, системный администратор или администратор приложения – с использованием встроенных средств защиты – осуществляет настройку соответствующей системы разграничения доступа (аутентификации пользователей) путем установки паролей или выработки (при необходимости) сертификатов.
Для обеспечения возможности оперативной смены пароля при его компрометации, а также в случае кадровых перестановок пользователей, в таблице паролей для каждого из защищаемых ресурсов указывается несколько резервных паролей без привязки их к конкретному пользователю. Количество резервных паролей определяется, исходя из реальных потребностей.
На случай компрометации всей парольной документации или части ее,
сообщить о факте компрометации в подразделение по защите информации и руководителю структурного подразделения;
распределение ответственности за выполнение мероприятий по защите информации между должностными лицами, организующими и реализующими технические мероприятия;
назначение администраторов защиты (безопасности) информации.
Указанные мероприятия должны проводиться по мере необходимости, но не реже одного раза в год. Порядок организации и выполнения мероприятий обеспечения авторизации пользователей в отделении ПФР определяется «Инструкцией по авторизации пользователей регионального сегмента АИС ПФР в Отделении по …», разрабатываемого в каждом отделении ПФР. Инструкция подписывается руководителями подразделений информационных технологий и по защите информации, утверждается управляющим отделением.
Пользователям предоставляются минимально необходимые для выполнения производственных задач права доступа к информации. Ответственность за обоснованность предоставляемых пользователям прав возлагается на руководителей структурных подразделений.
Заявки на предоставление пользователям доступа к защищенным информационным ресурсам ПФР (с указанием разрешенных режимов работы и уровней доступа к защищаемым ресурсам) формируются подразделениями, осуществляющими использование ресурсов, согласовываются с владельцами ресурсов и предоставляются в подразделение по защите информации за подписью руководителя структурного подразделения.
Подразделением по защите информации на основании заявок, представленных руководителями структурных подразделений, формируется «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4).
В Исполнительной дирекции ПФР «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4) утверждается заместителем Председателя Правления ПФР, в отделении ПФР – его управляющим, в ИЦПУ – директором.
В соответствии с «Таблицей допуска пользователей к защищаемым ресурсам» (приложение 3) для каждого защищаемого ресурса подразделением по защите информации формируется «Таблица доступа пользователей к информационному ресурсу» (приложение 4) с указанием идентификаторов и аутентификаторов (паролей) пользователей.
Выработка паролей и оформление парольной документации производится в отделении ПФР и осуществляется подразделением по защите информации с использованием вычислительной техники и специального программного обеспечения.
Доведение паролей, предназначенных к введению с клавиатуры, до пользователей осуществляется посредством выдачи им карточек паролей (приложение 5) под роспись в «Журнале выдачи парольной документации» (приложение 6) или с использованием соответствующих технических средств.
Подразделением по защите информации для отделения ПФР и каждого подведомственного ему территориального органа ПФР на основании утвержденной «Таблицы допуска пользователей к защищаемым ресурсам» (приложение 3) формируется пакет парольной документации с пометкой «для служебного пользования» (ДСП), в который входят следующие документы:
комплект «Таблиц доступа пользователей к информационному ресурсу» (приложение 4) с указанием срока их действия;
соответствующий комплекту «Таблиц …» комплект карточек паролей (приложение 5);
«Таблица доступа пользователей к информационному ресурсу» (приложение 4) формируется отдельно для каждого ресурса. Допускается сведение таблиц доступа к нескольким ресурсам в одну при условии установки указанных в них паролей одним лицом (администратором защиты информации).
Таблицы доступа нумеруются с использованием кода отделения ПФР, кода подведомственного органа ПФР (через косую черту), для которого она предназначены и порядкового номера таблицы в комплекте (через дефис). Например, «Таблица доступа пользователей к информационному ресурсу № 070/012 01».
В «Таблице доступа к информационному ресурсу» (приложение 4) указываются только пароли, предназначенные для замены паролей с истекающим сроком действия. В строке пользователя, применяющего для доступа к соответствующему ресурсу электронный аутентификатор, в графах 6 и 7 при отсутствии необходимости изменения пароля делается пометка о его использовании, а при необходимости замены – Имя_Пользователя и пароль.
распределение ответственности за выполнение мероприятий по защите информации между должностными лицами, организующими и реализующими технические мероприятия;
назначение администраторов защиты (безопасности) информации.
Указанные мероприятия должны проводиться по мере необходимости, но не реже одного раза в год. Порядок организации и выполнения мероприятий обеспечения авторизации пользователей в отделении ПФР определяется «Инструкцией по авторизации пользователей регионального сегмента АИС ПФР в Отделении по …», разрабатываемого в каждом отделении ПФР. Инструкция подписывается руководителями подразделений информационных технологий и по защите информации, утверждается управляющим отделением.
Пользователям предоставляются минимально необходимые для выполнения производственных задач права доступа к информации. Ответственность за обоснованность предоставляемых пользователям прав возлагается на руководителей структурных подразделений.
Заявки на предоставление пользователям доступа к защищенным информационным ресурсам ПФР (с указанием разрешенных режимов работы и уровней доступа к защищаемым ресурсам) формируются подразделениями, осуществляющими использование ресурсов, согласовываются с владельцами ресурсов и предоставляются в подразделение по защите информации за подписью руководителя структурного подразделения.
Подразделением по защите информации на основании заявок, представленных руководителями структурных подразделений, формируется «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4).
В Исполнительной дирекции ПФР «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4) утверждается заместителем Председателя Правления ПФР, в отделении ПФР – его управляющим, в ИЦПУ – директором.
В соответствии с «Таблицей допуска пользователей к защищаемым ресурсам» (приложение 3) для каждого защищаемого ресурса подразделением по защите информации формируется «Таблица доступа пользователей к информационному ресурсу» (приложение 4) с указанием идентификаторов и аутентификаторов (паролей) пользователей.
Выработка паролей и оформление парольной документации производится в отделении ПФР и осуществляется подразделением по защите информации с использованием вычислительной техники и специального программного обеспечения.
Доведение паролей, предназначенных к введению с клавиатуры, до пользователей осуществляется посредством выдачи им карточек паролей (приложение 5) под роспись в «Журнале выдачи парольной документации» (приложение 6) или с использованием соответствующих технических средств.
Подразделением по защите информации для отделения ПФР и каждого подведомственного ему территориального органа ПФР на основании утвержденной «Таблицы допуска пользователей к защищаемым ресурсам» (приложение 3) формируется пакет парольной документации с пометкой «для служебного пользования» (ДСП), в который входят следующие документы:
комплект «Таблиц доступа пользователей к информационному ресурсу» (приложение 4) с указанием срока их действия;
соответствующий комплекту «Таблиц …» комплект карточек паролей (приложение 5);
«Таблица доступа пользователей к информационному ресурсу» (приложение 4) формируется отдельно для каждого ресурса. Допускается сведение таблиц доступа к нескольким ресурсам в одну при условии установки указанных в них паролей одним лицом (администратором защиты информации).
Таблицы доступа нумеруются с использованием кода отделения ПФР, кода подведомственного органа ПФР (через косую черту), для которого она предназначены и порядкового номера таблицы в комплекте (через дефис). Например, «Таблица доступа пользователей к информационному ресурсу № 070/012 01».
В «Таблице доступа к информационному ресурсу» (приложение 4) указываются только пароли, предназначенные для замены паролей с истекающим сроком действия. В строке пользователя, применяющего для доступа к соответствующему ресурсу электронный аутентификатор, в графах 6 и 7 при отсутствии необходимости изменения пароля делается пометка о его использовании, а при необходимости замены – Имя_Пользователя и пароль.
|
