Что такое сервис обеспечения безопасности персональных данных

Обновлено: 28.06.2024

Защита информации довольно широкое понятие, однако все процедуры по обеспечению информационной безопасности регламентируются законодательством Российской Федерации. Опыт работы на рынке услуг по обеспечению информационной безопасности (ИБ) показывает, что большинство Заказчиков обрабатывает конфиденциальную информацию, относящуюся к коммерческой тайне и персональным данным физических лиц, сотрудников, клиентов, партнеров и т. д.

КТ и ПДн. Что можно, а что обязаны защищать.

Защита информации, относящейся к коммерческой тайне (КТ) реализуется на добровольной основе и по желанию владельца информационных ресурсов, которые включают в себя программно-технические средства обработки информации и саму информацию.

В соответствии со ст. 3 ФЗ-152 под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

На основании ст. 19 упомянутого выше Федерального Закона при обработке персональных данных (далее – ПДн) должна обеспечиваться их защита путем определения актуальных угроз безопасности и организационных и технических мер, направленных на предотвращение вероятности реализации выделенных угроз в информационной системе персональных данных (далее – ИСПДн).

В соответствии с п. 2 Требований к защите ПДн, утвержденными Постановлением правительства РФ № 1119, безопасность ПДн при их обработке в информационной системе обеспечивается с помощью системы защиты (далее – СЗ) ПДн, нейтрализующей актуальные угрозы безопасности.

В соответствии с п. 3 Приказа ФСТЭК № 21 реализация мер осуществляется в рамках формирования СЗПДн в соответствии с Требованиями к защите ПДн при их обработке в ИСПДн, утвержденными ПП РФ № 1119.

Строгих требований, обязывающих необходимость разработки проектной документации, в том числе технического проекта, нет. Однако имеется другое обстоятельство, которое немаловажно и позволяет однозначно обосновать необходимость тех или иных затрат.

При построении любой системы важно понимать цели создания и задачи, возлагаемые на нее. Немаловажным фактором, определяющим и обоснующим проведения тех или иных работ, направленных на повышение защищенности конфиденциальной информации, является модель управления информационной безопасностью.

4 подхода к обеспечению защиты информации

В области защиты информации принято выделять следующие модели развития направления по обеспечению защиты информации:

  • стихийная модель управления ИБ;
  • организационно-ориентированная модель управления ИБ;
  • инцидентно - ориентированная модель ИБ;
  • риск-ориентированная модель ИБ.
  • Отдельный бюджет на развитие ИБ отсутствует;
  • Централизованное управление ИБ отсутствует;
  • Отсутствует принятый порядок действий при реагировании на инциденты;
  • Управление ИБ отсутствует;
  • Регламенты и политики по обеспечению ИБ отсутствуют.
  • Бюджет на развитие ИБ выделяется после реализации инцидента нарушения ИБ;
  • Централизованное управление ИБ отсутствует;
  • Имеется принятый порядок действий при реагировании на инциденты;
  • Управление ИБ выполняется после реализации инцидента;
  • Имеющиеся в арсенале средства защиты нацелены на недопущение инцидентов, случившихся ранее.
  • Бюджет на развитие ИБ составляет определенную долю от общего дохода;
  • ИБ реализовано формально, разработаны регламенты, политики;
  • Имеется регламент реагирования на инциденты;
  • Имеется управление ИБ;
  • Угрозы и уязвимости не учитываются при подборе средств защиты информации;
  • Применяются базовые средства защиты.
  • Бюджет на развитие ИБ является обязательной статьей расходов фирмы;
  • Бюджет сбалансирован и учитывает риски;
  • Проводится периодическая оценка рисков от реализации инцидентов нарушения ИБ;
  • Система защиты информации формируется с целью уменьшения рисков;
  • Процессы управления ИБ выстроены в соответствии с НПА РФ и международными стандартами.

Стихийная модель

С точки зрения затрат, самой затратной и наименее эффективной системой управления информационной безопасностью является стихийная модель. Управление ИБ начинается только после получения предписания от контролирующих органов или после наступления серьезного ИБ-инцидента. При этом, как правило, Заказчик убежден в том, что информационная безопасность и процессы, связанные с ней – пустая трата времени и денег. Если и устанавливаются средства защиты на рабочие места пользователей, то это происходит стихийно без точного понимания применяемых мер защиты.

Организационно-ориентированная модель

Организационно-ориентированная модель, в отличие от стихийной модели, имеет в основе инициативу руководства и персонала в управлении процессами защиты информации, однако, в силу разных обстоятельств, вся защита заканчивается на выпуске и соблюдении установленных в регламентах и политиках правилах. Но практика показывает, как бы строго не соблюдались правила обработки конфиденциальной информации, человеческие ошибки, невнимательность и неосведомленность пользователей увеличивают вероятность нарушения защищённости информационных активов.

Данная модель позволяет минимизировать злоумышленное воздействие со стороны внутренних нарушителей (персонала), но такого рода модель не позволяет обеспечить требуемый уровень защищенности от угроз со стороны внешних злоумышленников. При этом контроль за персоналом реализуется не в автоматизированном режиме, а следовательно, не в полном объеме, особенно в компаниях с большим штатом сотрудников.

Инцидент-ориентированная модель

При таком подходе часто пытаются сделать все собственными силами, не прибегая к помощи специалистов, что еще больше усугубляет положение дел в Компании. Ухудшение происходит в тот момент, когда снова происходит инцидент и становится понятно, что средство защиты выбрано неправильно, настроено некорректно и его управлением никто не занимается. Документирование проводимых манипуляций со средствами защиты и информационной инфраструктурой, как правило, в такой модели никто не проводит.

При смене штата ответственных сотрудников клубок проблем в области ИБ еще больше запутывается. У новых сотрудников отсутствует понимание текущего состояния ИБ в организации, для чего были предприняты те или иные шаги существующей системы.

Риск-ориентированная модель

1. Инвентаризация информационных ресурсов Компании.

2. Определение ценности ресурса и размера ущерба при его полной или частичной утрате.

3. Определение актуальных угроз информационной безопасности информационного ресурса и вероятности их реализации. На данном этапе дополнительно (для более точного расчета) могут быт определены актуальные уязвимости информационных системах.

4. Расчет величины риска от нарушения информационной безопасности информационного ресурса.

5. Подготовка пакета документов, фиксирующем результаты работ п.1 - 3.

    • отчет об обследовании объекта защиты – в данном документе фиксируются результаты инвентаризации информационных ресурсов, требующих обеспечения ИБ;
    • модель угроз нарушения информационной безопасности - в данном документе проводится анализ угроз и уязвимостей, формируется модель нарушителя, определяются актуальные угрозы и вероятность их реализации;
    • техническое задание на создание системы защиты информации - в данном документе определяются с учетом специфики объекта защиты и актуальных угроз нарушения информационной безопасности основные требования к функционированию системы защиты информации;
    • пакет организационно-распорядительных документов по обеспечению информационной безопасности в Компании.

    6. Принятие рисков и начало работ по снижению величины выявленных рисков. Для снижения величины рисков как правило применяют две методики:

    • снижение размера ущерба и принятие того обстоятельства, что информационный ресурс может быть утрачен, а Компания понесет затраты. В этом случае затраты должны быть определены в денежном эквиваленте;
    • снижение вероятности реализации актуальных угроз согласно п.7 – 10 и, как следствие, величины риска.

    8. Установка и настройка средств защиты информации.

    9. Ввод в действие организационно-распорядительных документов по защите информации.

    10. Эксплуатация защищенной информационной системы, поддержание эффективной работы системы защиты информации.

    11. Периодическая оценка эффективности применяемых мер по снижению риска. Выполняется посредством мониторинга и анализ системы управления ИБ в целом.

    12. Улучшение качества работы системы защиты информации, пересмотр результатов оценки рисков. Как правило, на данном этапе принимается решение о модернизации системы защиты информации и возвращаются к п.5. Рекомендуемая периодичность – 1 раз в 3 года, согласно требованиям НПА РФ.

    Схематично данную последовательность действий можно представить в следующем виде:

    Этапы принятия решение о модернизации системы защиты информации

    Все вышеперечисленные этапы должны быть задокументированы и с установленной периодичностью обновляться.

    Именно такой подход позволит управлять всем без резких перекосов и ненужных вложений, не паниковать, а действовать уверенно и согласно установленному плану. Такой подход позволит любой процесс, даже самый сложно формализуемый, сделать легко управляемым.

    В связи с вышесказанным проектные решения являются не вынужденной тратой, позволяющей на определенной срок забыть о проблемах защиты информации, а способом упорядочивания всех процессов Компании.

    Приведенные модели управления ИБ определяют зрелость компании, в том числе и в процессах управления бизнеса. С экономической точки зрения, распределение данных моделей и расходов на обеспечение информационной безопасности выглядит следующим образом:

    Распределение моделей ИБ и расходов на обеспечение ИБ

    Защита ПДн в ГИС

    При обработке ПДн в ИСПДн, принадлежащей или находящейся в эксплуатации государственного органа, является государственной информационной системой (далее – ГИС). В соответствии с п. 13 Приказа ФСТЭК 17 для обеспечения защиты информации, содержащейся в ГИС, проводится разработка и внедрение системы защиты информации информационной системы.

    Таким образом, для обеспечения безопасности ПДн при их обработке в ИСПДн необходимо создание системы защиты информации.

    Создание системы защиты информации (далее – СЗИ) автоматизированной системы осуществляется согласно СТР-К ("Специальные требования и рекомендации по технической защите конфиденциальной информации"). В соответствии с п. 3.7 в разработку СЗИ автоматизированной системы входят следующие стадии создания:

    • предпроектная стадия, включающая предпроектное обследование объекта, аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
    • стадия проектирования (разработки проектов), включающая разработку СЗИ в составе объекта;
    • стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации.

    СЗИ для ГИС разрабатывается на основании технического задания на создание информационной системы (далее – ИС) и (или) технического задания (частного технического задания) на создание СЗИ ИС в соответствии с п. 15 Приказа ФСТЭК 17. Разработка СЗИ включает в себя:

    • проектирование СЗИ ИС;
    • разработку эксплуатационной документации на СЗИ ИС;
    • макетирование и тестирование СЗИ ИС (при необходимости).

    Таким образом, для обеспечения безопасности ПДн при их обработке в ГИС необходима разработка проектной и рабочей документации СЗИ.

    Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (Закон о ПДн) защищает личную информацию от неправомерного разглашения.

    Персональные данные — любая информация, которая позволяет опознать конкретную личность: данные паспорта, имя, номер телефона, результат измерения температуры тепловизором, фотография и даже свидетельство о смерти.

    Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.

    Обеспечить неприкосновенность персональных данных должен каждый оператор: госструктуры, организации всех форм собственности и физлица (статья 19 Федерального закона о персональных данных N 152-ФЗ).

    Операторы — государственные и муниципальные органы, любые компании, физические лица, которые собирают личную информацию и осуществляют иные операции по их обработке.

    На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.

    За работой операторов надзирает несколько ведомств:

    1. Роскомнадзор.
    2. Федеральная служба по техническому и экспортному контролю (ФСТЭК).
    3. ФСБ России.
    4. Прокуратура Российской Федерации.

    Категории персональных данных

    Персональные данные делятся на категории:

    • общая;
    • специальная;
    • биометрические данные;
    • обезличенные.

    Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.

    Этот перечень открытый.

    Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.

    Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.

    Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:

    • отпечатки пальцев;
    • ДНК;
    • сканирование сетчатки;
    • распознавание радужки.

    Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).

    Обезличенные. Информация обезличивается при обработке, в результате которой становится невозможно соотнести данные с определённым человеком.

    Как обрабатывать ПДн

    Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

    Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

    Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

    1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
      • сотрудников фирмы;
      • при заключении договоров;
      • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
    2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
    3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
    4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
    5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

    Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

    • регламент обработки данных;
    • правила компании по подбору персонала;
    • введение пропускного режима;
    • перечень мест хранения данных;
    • регламент уточнения, уничтожения ПДн.

    Организация защиты персональных данных

    Для защиты персональных данных применяют различные возможности:

      Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

    Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

    Чем грозит невыполнение требований по обработке персональных данных

    За нарушение законодательства предусмотрен полный спектр юридической ответственности:

    • дисциплинарная — за неправомерную обработку данных работником компании;
    • гражданско-правовая — в виде возмещения убытков, компенсации морального вреда;
    • административная — когда это предусмотрено Кодексом об административных правонарушениях;
    • уголовная — за причинение вреда наиболее охраняемым общественным интересам.

    Наиболее частое наказание — назначение административного штрафа.

    Статья 13.11 КоАП РФ устанавливает девять составов правонарушений, в числе которых ответственность за обработку данных, когда это не предусмотрено законом; с отступлением от заявленных компанией целей и другие неправомерные действия.

    За виновные действия предусмотрено наказание, минимальный и максимальный размер которого приведён в таблице.

    Размер штрафа Граждане Должностные лица Юрлица и индивидуальные предприниматели
    Минимальный Предупреждение или Штраф 1 – 3 тыс. р. Штраф 5 – 10 тыс. р. Штраф 30 – 50 тыс. р.
    Максимальный Штраф 30 – 50 тыс.р. Штраф 100 – 200 тыс. р. Штраф 1 – 6 млн р.
    За повторное нарушение Штраф 50 – 100 тыс. р. Штраф 500 – 800 тыс. р. Штраф 6 – 18 млн р.

    Основные нормативные документы, касающиеся обработки персональных данных

    Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.

    Принципы защиты персональной информации, требования к операторам и правила обработки установлены в:

      от 28 января 1981 г., ETS № 108.

    Конвенция устанавливает основные принципы и обязанности каждого государства – участника Конвенции, обеспечить соблюдение основных прав и свобод человека и неприкосновенность частной жизни.

    от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC.

    Больше известен как GDPR – General Data Protection Regulation. Актуален для компаний, которые ведут деятельность с участием европейских партнёров.

    ФЗ даёт определение понятий, устанавливает принципы и условия обработки ПДн, права субъектов, личные данные которых обрабатываются, обязанности операторов, определяет уполномоченный орган и устанавливает ответственность за нарушения.

    Указ перечисляет общие критерии, по которым информацию можно отнести к персональным данным.

    Постановление определяет уровни защищённости информации и раскрывает содержание мер, которые обеспечивают безопасную обработку конфиденциальных данных.

    Приказ устанавливает правила обезличивания информации.

    Приказом утверждён перечень организационных и технических мер по обеспечению безопасности ПДн.

    Кроме того, положения о защите конфиденциальной информации установлены в других федеральных законах; регламентах, приказах, инструкциях министерств и ведомств.

    Назначение ответственных за организацию защиты данных

    Оператор должен назначить ответственного за операции с конфиденциальными данными.

    Ответственное лицо обязано:

    • контролировать соблюдение законодательства в сфере защиты ПДн оператором и работниками;
    • информировать работников о правилах обработки конфиденциальных данных;
    • вести приём и обработку обращений субъектов ПДн.

    В российских организациях, которые ведут деятельность в странах ЕС, должен быть назначен ответственный по защите данных — DPO.

    Ответственным лицом может быть назначен сотрудник — руководитель компании, юротдела, других подразделений, либо стороннее лицо — независимый эксперт или фирма.

    Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

    Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

    Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

    1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
    2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
    3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
    4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
    5. Со всеми приказами работники должны быть ознакомлены под подпись.

    Вывод

    С каждым годом контроль по стороны Роскомнадзора становится всё жёстче, а ответственность операторов — выше:

    Период Выписано протоколов Сумма штрафов
    2018 г. 156 437 тыс. рублей.
    2019 г. 215 1 млн 99 тыс. рублей

    Из таблицы видно, что в 2019 году привлечение к административной ответственности выросло на 22 % по сравнению с предыдущим годом.

    В 2020 году ситуация обострилась: ответственность за некорректную обработку персональных данных ужесточилась. Более того, индивидуальных предпринимателей по объёму ответственности приравняли к юридическим лицам.

    Только строгое следование требованиям закона при обработке конфиденциальной информации позволит избежать нарушений и привлечения к ответственности.

    ГОСТ Р 59407-2021

    НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

    МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

    Базовая архитектура защиты персональных данных

    Information technology. Security techniques. Personal data protection architecture framework

    Дата введения 2021-11-30

    Предисловие

    1 РАЗРАБОТАН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.")

    2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

    4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 29101:2018* "Информационные технологии. Методы и средства обеспечения безопасности. Архитектура обеспечения приватности" (ISO/IEC 29101:2018 "Information technology - Security techniques - Privacy architecture framework", NEQ).

    * Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

    ИСО/МЭК 29101 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК)

    5 ВВЕДЕН ВПЕРВЫЕ

    Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

    Введение

    Настоящий стандарт предоставляет описания высокоуровневой базовой архитектуры и соответствующих мер защиты персональных данных в информационных системах персональных данных.

    Описанная в настоящем стандарте архитектура защиты персональных данных:

    - предоставляет последовательный высокоуровневый подход к реализации мер защиты при обработке персональных данных с использованием средств автоматизации;

    - предоставляет руководство по планированию, проектированию и построению архитектур информационных систем персональных данных, которые обеспечивают защиту персональных данных путем контроля за их обработкой, доступом и передачей;

    - показывает, как технологии, обеспечивающие конфиденциальность персональных данных действующих субъектов персональных данных, могут использоваться в качестве мер защиты.

    Настоящий стандарт учитывает основные положения нормативных правовых актов Российской Федерации.

    Положения настоящего стандарта не исключают применение криптографических методов (алгоритмов) при обеспечении безопасности персональных данных, в частности их шифрование, но не устанавливают требования по их реализации.

    1 Область применения

    Настоящий стандарт содержит описание базовой архитектуры защиты персональных данных, которая:

    - определяет значимые вопросы, касающиеся информационных систем персональных данных;

    - предоставляет перечень компонентов при реализации таких систем;

    - предоставляет базовые архитектурные решения, рассматриваемые в контексте данных компонентов.

    Настоящий стандарт применим для организаций, участвующих в определении, приобретении, разработке архитектуры, проектировании, тестировании, поддержке, администрировании и эксплуатации информационных систем персональных данных.

    Основное внимание в настоящем стандарте уделено информационным системам персональных данных, предназначенным для взаимодействия с субъектами персональных данных.

    2 Нормативные ссылки

    В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

    ГОСТ Р 50922 Защита информации. Основные термины и определения

    ГОСТ Р 57100-2016/ISO/IEC/IEEE 42010:2011 Системная и программная инженерия. Описание архитектуры

    ГОСТ Р 58833 Защита информации. Идентификация и аутентификация. Основные положения

    ГОСТ Р 59382 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы

    Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

    3 Термины, определения и сокращения

    3.1 Термины и определения

    В настоящем стандарте применены термины по ГОСТ Р 50922 и ГОСТ 58833*, а также следующие термины с соответствующими определениями:

    * Вероятно, ошибка оригинала. Следует читать: ГОСТ Р 58833. - Примечание изготовителя базы данных.

    3.1.1 безопасность персональных данных: Состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

    информационная система персональных данных: Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    3.1.3 конфиденциальность персональных данных: Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

    3.1.4 нарушитель безопасности персональных данных: Физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

    обезличивание персональных данных: Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

    обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    оператор: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    3.1.8 персональные данные: Любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

    1 Адаптировано из [1], статья 3.

    2 Персональными данными являются, например, фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация физического лица.

    предоставление персональных данных: Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

    3.1.10 распространение персональных данных: Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

    3.1.11 угрозы безопасности персональных данных: Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

    3.1.12 уничтожение персональных данных: Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

    3.2 Сокращения

    В настоящем стандарте применены следующие сокращения:

    ИСПДн - информационная система персональных данных;

    ПДн - персональные данные.

    4 Общий обзор базовой архитектуры защиты персональных данных

    4.1 Элементы архитектуры

    Представленная в настоящем стандарте базовая архитектура защиты ПДн предназначена для использования в качестве технического руководства для разработчиков ИСПДн. Настоящий стандарт не устанавливает требования для политик защиты ПДн; предполагается, что политики приняты и что в рамках ИСПДн определены требования защиты ПДн, а также реализованы соответствующие меры защиты ПДн.

    Данная базовая архитектура направлена на защиту ПДн. Поскольку защита ПДн является целью обеспечения безопасности информации, то ИСПДн, обрабатывающие ПДн, должны следовать принципам проектирования систем безопасности информации. В данной базовой архитектуре определены некоторые компоненты обеспечения безопасности информации, которые имеют решающее значение для защиты ПДн. Представленная базовая архитектура основана на модели, приведенной в ГОСТ Р 57100.

    Значимые вопросы, касающиеся базовой архитектуры защиты ПДн, приведены в разделе 6 и включают в себя принципы обеспечения безопасности ПДн, характерные для ИСПДн.

    Базовая архитектура может быть представлена следующим образом:

    - уровни технической базовой архитектуры, приведенные в 7.2, определяют ее с точки зрения компонентов. В каждом уровне сгруппированы компоненты, имеющие общую цель или сходную функцию;

    - модель реализации, приведенная в 7.3, определяет базовую архитектуру с точки зрения автономной ИСПДн. Каждое представление показывает группировку компонентов в зависимости от их реализации в ИСПДн;

    - представления, приведенные в 7.4, определяют базовую архитектуру с точки зрения взаимодействия. Эти представления демонстрируют взаимодействие компонентов между системами сторон, участвующих в обмене информацией.

    Базовая архитектура предоставляет правила соответствия между значимыми вопросами и точками зрения посредством использования таблиц соответствия.

    Более того, если в процессе обработки участвовали информационные системы, то к таким операторам предъявляются ряд дополнительных требований.

    Таким операторам необходимо необходимо определить уровень защищенности информационных систем персональных данных согласно Постановлению Правительства № 1119. Потребуется обеспечить их защиту согласно этой классификации и оценить впоследствии, насколько эта защита оказалась эффективной.

    Многие компании для этих целей обращаются к аутсорсинговым сервисам, которые имеют специальные лицензии, разрешающие им заниматься технической защитой конфиденциальной информации.

    Персональные данные по категориям


    Информация, которую несут в себе персональные данные прямо влияет на требования к их обработке. На данный момент, среди персональных данных в законодательстве фиксируется 4 категории, к которым относят различные варианты биометрических, общедоступных, иных и специальных данных.

    Даже самые ценные данные для субъекта — специальные ПД, можно обрабатывать на абсолютно законных основаниях, имея на то согласие в письменном виде или его электронном аналоге с цифровой подписью. К специальным данным следует отнести персональные данные, которые могут сообщать о философских и религиозных убеждениях, состоянии здоровья, интимной жизни, политических взглядах, принадлежности к определенной расе или национальности, а также судимости субъекта.

    Только профильные учреждения в медицине, органах власти могут обрабатывать эту информацию без согласия субъекта по причине наделенности специальными полномочиями.

    Весь перечень биологических и физиологических характеристик , на основании которых можно провести определение личности субъекта — считается биометрическими персональными данными. Письменное согласие субъекта дает право операторам обрабатывать такую информацию, исключая те ситуации, когда существует оперативная необходимость по обеспечению безопасности, определенная законом.

    Например, фотография или скан относится к биометрическим персональным данным и требует письменного согласия на обработку, если используются для установления личности. В то же время, согласно разъяснений РКН, сканирование паспорта оператором для подтверждения определенных действий конкретным лицом (например, заключение договора) без проведения процедур установления личности не считается обработкой биометрических персональных данных.

    К иным персональным данным относят ту информацию, которая не входит в остальные три категории и может предоставляться оператору ПД клиентом или сотрудником. Таким образом, данные паспорта, финансовые данные и др., относятся к иным.

    Субъект персональных данных может дать согласие на их обработку в любой форме, которая позволит удостоверить факт данного действия. Исключение составляют ситуации, когда необходимо получить согласие в письменном виде или его аналоге в данном случае — электронном документе с цифровой подписью.Оператор обязан предоставить доказательства того, что согласие субъекта персональных данных на их обработку было получено или имеются иные законные основания действий с ПДн.

    Согласие на обработку персональных данных может быть дано субъектом или его представителем в любой, позволяющей подтвердить факт его получения согласия, форме, за исключением случаев, когда требуется письменное согласие. Электронный документ, подписанный ЭП, является равнозначным письменному согласию, которое должно включать в себя следующие пункты:

    • ФИО, адрес, серия, номер паспорта (или другого основного документа) субъекта или законного представителя (для него понадобятся реквизиты доверенности) и дата его выдачи с указанием органа, который это сделал;
    • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
    • цель обработки персональных данных;
    • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
    • перечень действий с персональными данными, на совершение которых дается согласие;
    • способы обработки персональных данных;
    • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
    • подпись субъекта персональных данных.

    Защита информационных систем персональных данных


    Под информационной системой персональных данных можно рассматривать совокупность самих данных и тех технических средств, и технологий, которыми они обрабатываются.

    Закон считает, что данные, вкупе с технологиями и техническими инструментами, которыми они обрабатываются — составляют информационную систему персональных данных.

    Любое оборудование, которое применяется во время процесса обработки персональных данных, также автоматически причисляется к информационным системам. Наличие или отсутствие автоматизации при этом не влияет на отношение способа обработки данных к информационными системам ПД (ИСПД).

    Существует четыре уровня защищенности информационных систем персональных данных, где прописаны индивидуальные требования по организационному и техническому обеспечению безопасности данных. Детальнее эти требования описывают соответствующие нормативные документы. Например, в приказе ФСТЭК №21 таблица о содержании мер по обеспечению безопасности персональных данных состоит из множества строк с описанием конкретных действий, начиная от антивирусной защиты до управления конфигурацией информационной системы.


    Каким должен быть оператор персональных данных согласно требованиям Закона?

    От оператора требуется приказом руководителя назначить того, кто будет отвечать за обработку персональной информации. Кроме того, необходимо позаботиться об издании Политики по обработке ПД и её публикации на ресурсах компании. Также оператор обязан производить оценку негативных последствий, которые могут наступить для субъектов персональных данных, если законодательство о ПД будет нарушено.

    Дополнительно оператор ПД обязан контролировать внутренние процессы, где присутствует обработка персональных данных, должны быть составлены локальные правовые акты, а персонал обучен правильной работе с персональными данными.

    Что будет с оператором, если он нарушает требования законодательства в области обработки персональных данных

    За нарушение законодательства о ПД установлена строгая ответственность, как административная, так и уголовная. Если организация нарушит законодательство, то её может ожидать штраф до трехсот тысяч рублей, блокировка сайта и приостановление работы сроком до трех месяцев. Существует также гражданско-правовая ответственность за причинение гражданину морального вреда (нравственных страданий) из-за нарушения правил обработки персональных данных (согласно статьи 24 ФЗ 152). Руководитель может также пострадать, вплоть до лишения свободы.

    Таким образом, несвоевременное или неполноценное решение в области защиты персональных данных может сильно повлиять на бизнес компании и судьбу руководителя. Чаще всего, заказ услуги обработки персональных данных у лицензированного поставщика гораздо выгоднее самостоятельной обработки и полной ответственности.

    Читайте также: