ИСПДн и защита персональных данных: ключевые моменты

В данной статье мы будем разбираться с основными нормативно-правовыми актами в сфере ИБ, которые регулируют обработку ПДН в ИС.

Для начала стоит четко понимать, что такое данные (информация), почему они персональные и как они обрабатываются

Информация – сведения (сообщения, данные) независимо от формы их представления;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Именно такое определение дается в 3 статье Федерального закона “О персональных данных” от 27.07.2006 N 152-ФЗ. Спорить с ним я, конечно же, не буду, но заострю внимание на нем, так как именно на него будут опираться все остальные документы. Также запомним, что в РФ есть три типа секретности сведений составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: “особой важности”, “совершенно секретно” и “секретно”. Это четко прописано в Законе РФ “О государственной тайне” от 21.07.1993 N 5485-1

Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

В наше время практически каждый онлайн-сервис требует предоставления персональных данных (далее ПДН), иногда эти данные могут быть максимально чувствительные, например вы наверняка не хотите, чтобы в электронной очереди к врачу отображалось ваше полное ФИО, фотография и проблема, с которой вы пришли. В связи с этим возникла потребность в регулировании обработки ПДН.

В России основными регуляторами считаются следующие органы:

1. Федеральная служба безопасности (ФСБ) – включается в регулирование вопросов, связанных с защитой персональных данных в контексте национальной безопасности, а также криптографии.
2. Федеральная служба по техническому и экспортному контролю (ФСТЭК) – отвечает за обеспечение технической защиты информации, включая персональные данные, которые могут быть классифицированы как государственная тайна.
3. Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) – разрабатывает, внедряет стандарты и нормативные акты, касающиеся защиты персональных данных в цифровой сфере.
4. Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – основной регулятор в области защиты персональных данных. Роскомнадзор контролирует соблюдение законодательства о персональных данных, рассматривает жалобы граждан и принимает меры по защите прав субъектов персональных данных.

Так как мы акцентируем внимание на вариант, в котором рассматривается обработка ПДН с помощью информационной системы (с оператором или без него), то в этом случае мы сразу должны обратиться к приказу N 21 от 18 февраля 2013 г. ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ. В данном достаточно объемном документе устанавливается состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн). Данный приказ затрагивает Оператора осуществляющего обработку персональных данных, а также лица, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации. Но если простыми словами, то в данном документе говорится о том, что данные, представляющие государственную тайну – не должны передаваться по открытой беспроводной сети в торговом центре, а должны быть защищены определенным образом.

ИСПДн?

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

На данном этапе мы понимаем, что есть какая-то система, которая обрабатывает ПДН, но безопасно ли доверять одной системе обрабатывать все возможные ПДН? Конечно же, нет. Для этого была придумана классификация, позволяющая определить класс защищенности ИСПДн.

Требованиями к защите ПДн при их обработке в информационных системах (Постановление Правительства РФ от 01.11.2012 N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”) установлены 4 уровня защищенности персональных данных

Категории обрабатываемых персональных данных (ПДн) подразделяются на 4 группы:

• 1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
• 2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;
• 3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
• 4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

Так же данные характеризуются по форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

• обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
• обработка персональных данных субъектов, не являющихся работниками вашей организации.

И в конце-концов по количеству субъектов ПДн, нормативным актом определены лишь 2 категории:

• менее 100 000 субъектов;
• более 100 000 субъектов;

Что, где защищать и как классифицировать мы поняли, но от чего защищать?
Существует всего три типа актуальных угроз:

• угрозы 1-го типа связаны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
• угрозы 2-го типа связаны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
• угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

И, наконец мы добрались до первой картинки в этой статье – таблице уровней защищенности ПДН

Одной из задач, которую предстоит выполнить, является установление категории ПДн , подразделяемые на группы:

1. Первая категория включает специальные ПДн. Сюда относятся, прежде всего, данные о состоянии здоровья, принадлежности к определенной расе или вероисповеданию, а также философские и политические взгляды.
2. Ко второй категории относятся биометрические персональные данные, позволяющие идентифицировать человека по особенностям его физиологии, например, отпечатку пальцев, рисунку сетчатки глаза, фотографии и т.д. Чтобы пользоваться такими ПДн легально, необходимо предварительно получить письменное согласие субъекта (кроме ситуаций, когда дело касается вопросов национальной безопасности, судебного производства или расследования преступлений).
3. Третья категория представлена общедоступной информацией о гражданине, которую он сам предоставляет для обработки. Речь идет о дате рождения, Ф.И.О., адресе, телефоне, образовании, профессии и других сведениях, опубликованных на страничках социальных сетей, в справочниках и т.д.
4. В четвертую категорию входят те личные сведения, которые нельзя включить ни в оду из других групп.

Определение типа ПДн осуществляется отдельно для каждой ИСПДн организации с учетом ее характеристик.