Rezoluția Federației Ruse 1119. Cu privire la aprobarea reglementărilor privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal. Reglementări privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale

Mâinile care au ajuns de mult la tastatură în legătură cu noua capodopera a reglementării reglementărilor au fost deja bătute până în oase. Nu mai pot să mă abțin și să-l suport. Va trebui să scriu. De asemenea, astăzi intră în vigoare Rezoluția nr. 1119 din 1 noiembrie 2012 „Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal”, care abrogă Hotărârea nr. 781 din 17 noiembrie 2007. Șapte zile expiră de la data publicării.

Sincer să fiu, reacția colegilor din comunitatea profesională la noua rezoluție, care definește de fapt sistemul de construire a securității tehnice pentru prelucrarea datelor cu caracter personal în sistemele informaționale, nu doar m-a surprins, ci mai degrabă m-a nedumerit. Unii, și nu puțini, le-a plăcut pentru că, în opinia lor, nu conține nimic fundamental nou și nu mai strânge piulițele, iar numărul de cerințe în comparație cu PP-781 este chiar redus. Alți colegi critică documentul, dar foarte general, mai ales pentru lipsa de specific.

Aveam o părere puțin diferită despre cerințe; am exprimat-o pe scurt la webinarul de astăzi, ținut împreună cu compania Security Code, iar numărul de întrebări primite pe această temă m-a împins în cele din urmă să scriu această postare.

Pentru a-mi sistematiza viziunea, am venit cu mai multe rafturi de-a lungul carora imi voi organiza evaluarea documentului. Ne pare rău, vor fi multe scrisori. Foarte. Am selectat cu grijă cuvintele, astfel încât categoria de lectură ar putea fi 0+.

Raft unu. Respectarea legii. Eliberarea PP-1119 este o cerință directă a paragrafelor 1 și 2 din partea 3 a articolului 19 din noua ediție a 152-FZ „Cu privire la datele personale”. Acesta este ceea ce îmi permite să evaluez foarte clar starea de lucruri pe acest raft. Hotărârea Guvernului nu este conformă cu legea. Legea prevedea că nivelurile de securitate și cerințele pentru acestea ar trebui determinate în funcție de cinci factori:

· posibilă vătămare a subiectului datelor cu caracter personal,

· volumul datelor cu caracter personal prelucrate,

· conținutul datelor cu caracter personal care sunt prelucrate,

· tipul de activitate în timpul căreia sunt prelucrate datele cu caracter personal,

· relevanța amenințărilor la adresa securității datelor cu caracter personal.

Tipurile de activități și, cel mai important, vătămarea subiectului, sunt în general absente ca caracteristici de calificare în documentul adoptat. La paragraful 7 al Cerintelor, operatorul „nu este deloc uman”, nu pot spune altfel, se propune determinarea independenta a tipului de amenintari la adresa securitatii datelor personale relevante pentru sistemul informatic, tinand cont de evaluarea posibilelor daune, ghidată de documentele inexistente ale FSB și FSTEC. Acestea. șeful unei grădinițe sau șeful departamentului de automatizare a unei fabrici de laminare a țevilor (din moment ce pur și simplu nu există nimeni altcineva care să se ocupe de astfel de probleme în astfel de organizații) va evalua prejudiciul de la divulgarea datelor personalului, elevilor, vizitatorilor și rudele lor. În absenţa completă a dezvoltărilor metodologice pe această problemă în ţară. Oricine are măcar o mică întâlnire cu astfel de probleme știe că problema determinării cuantumului prejudiciului în caz de încălcare a drepturilor civile este una dintre cele mai dificile din jurisprudență și procedurile judiciare. Dar, aparent, amintindu-și postulatul clasic despre capacitățile fiecărui bucătar, autorii au decis că problema poate fi rezolvată prin crowdsourcing. Operatorii, conform lui Roskomnadzor, sunt aproximativ șapte milioane. Uite ce inventează. Un exemplu clasic de schimbare a unei probleme de la un cap la altul, știi care dintre ele.

Tipurile de activități sunt, de asemenea, complicate. Ținând cont de faptul că noua versiune a legii nu lasă loc standardelor din industrie pentru lucrul cu datele personale, aceleași tipuri vor trebui luate în considerare doar într-un singur mod - inventând pentru ei amenințări suplimentare de securitate la cele inventate de FSB și FSTEC, care, de fapt, este precizat în părțile 5 și 6 din același articol 19 din lege. Punct. Doar să identifice noi amenințări și să nu prevadă relaxări similare cu cele pe care Ministerul Sănătății le-a convenit odată cu FSTEC în documentele sale metodologice.

Al doilea raft. Metodologie. Raftul este... prost atârnat. Pentru că metodologia conține cele mai importante, probleme cheie ale documentului. Declarând că principalele amenințări care conduc în mod inevitabil la stabilirea unor niveluri superioare de securitate (vezi Tabelul 1) sunt capabilități nedeclarate (nedocumentate) în software-ul de sistem și aplicație, Cerințele nu oferă deloc metode sau metode de neutralizare a acestora. Pentru astfel de metode poate fi doar să verificați acest software pentru absența marcajelor și a altor obiceiuri proaste. Și nimeni nu cere asta de la operatori, cel puțin în PP-1119.

tabelul 1

tip ISPDn	Angajații operatorului	Numărul de subiecte	Tipul de amenințări curente
			1	2	3
ISPDn-S	Nu	> 100 000	UZ-1	UZ-1	UZ-2
	Nu	< 100 000	UZ-1	UZ-2	UZ-3
	da
ISPDn-B			UZ-1	UZ-2	UZ-3
ISPDn-I	Nu	> 100 000	UZ-1	UZ-2	UZ-3
	Nu	< 100 000	UZ-1	UZ-3	UZ-4
	da
ISPDn-O	Nu	> 100 000	UZ-2	UZ-2	UZ-4
	Nu	< 100 000	UZ-2	UZ-3	UZ-4
	da

Ele oferă tratament pentru bombele logice, ușile din spate și alte spirite malefice folosind metode vechi dovedite - o clisma cu ace de gramofon și turnarea în gips a membrelor neîntrerupte. Vezi tabelul 2.

masa 2

Cerințe	Niveluri Securitate
Cerințe	1	2	3	4
Regimul de securitate pentru spațiile în care sunt prelucrate datele cu caracter personal
Securitatea purtătorilor de date cu caracter personal
Lista persoanelor autorizate să acceseze datele personale
Echipament de protecție a informațiilor care a trecut procedura de evaluare a conformității			+
Înregistrarea automată în jurnalul electronic de securitate a modificărilor în autoritatea angajatului operatorului de a accesa datele personale				- -

Aparent, doar autorii știu cum utilizarea firewall-urilor certificate și numirea unui departament responsabil (sau a unei persoane responsabile) poate ajuta la prevenirea impactului sistemului de operare asupra datelor prelucrate.

Al treilea raft. Terminologie. Și aceasta este partea cea mai misterioasă a documentului. De unde provin „angajații operatorului” și de ce nu sunt angajați, al căror statut juridic este descris clar de Codul Muncii – întrebarea este simplă și evidentă. Dar ce este un „jurnal de mesaje electronice” (clauza 15) și cum diferă de „jurnalul de securitate electronică” (clauza 16), dacă diferă deloc – este un mare mister. Presupun că vorbim de bușteni. Jurnalele de ce? OS? DB? fundul? SZI? Toate împreună sau ceva separat? Întrebări fără răspuns.

Decretul introduce conceptul de sistem informatic care prelucrează date cu caracter personal disponibile publicului, care este absent în lege, și consideră că acestea sunt obținute numai din surse de date cu caracter personal accesibile publicului create în conformitate cu articolul 8 din 152-FZ.

Și dacă sunt primite diferit, de exemplu, dacă este vorba de informații care fac obiectul publicării și dezvăluirii obligatorii, cum ar fi informațiile din Registrul unificat de stat al persoanelor juridice și din Registrul unificat de stat al antreprenorilor individuali, care sunt disponibile publicului în conformitate cu Legea federală privind înregistrarea de stat a persoanelor juridice și a antreprenorilor individuali. Sau informații despre afiliații emitentului de valori mobiliare. Sau datele personale ale candidaților la deputați supuși publicării. Ce să faci cu ei? Din nou o întrebare care nu are răspuns.

În sfârșit, evaluarea conformității. Termenul, care nu are nicio explicație în legătură cu securitatea informațiilor în niciun act altul decât Rezoluția închisă nr. 330, continuă să rătăcească prin cadrul de reglementare. Dar chiar dacă operatorul a văzut această rezoluție, el nu este capabil să înțeleagă cum este evaluată conformitatea în timpul controlului și supravegherii de stat. Și evaluează consecințele așteptării venirii inspectorului și comportamentul lui atunci când vede fonduri necertificate. Ei bine, să nu uităm că, în noua versiune a legii, reglementările referitoare la prelucrarea datelor cu caracter personal sunt supuse publicării oficiale.

Raft patru. Aplicabilitate. Rezoluția poate intra în vigoare în întregime numai după adoptarea actelor relevante ale FSB și FSTEC, prevăzute în partea 4 a articolului 19 din 152-FZ, precum și de către autoritățile executive federale care exercită funcțiile de stat în curs de dezvoltare. politică și reglementare legală în domeniul stabilit de activitate, organe autorități de stat ale entităților constitutive ale Federației Ruse, Banca Rusiei, organe ale fondurilor extrabugetare de stat, alte organisme guvernamentale în ceea ce privește identificarea amenințărilor actuale la adresa securității personale. date (partea 5 a articolului 19 152-FZ, clauza 2 din Cerințe), care lipsesc și nu se știe când vor fi adoptate. În aceste condiții, este aproape imposibil ca operatorul să îndeplinească cerințele stabilite. Revin la șeful grădiniței și șeful secției de automatizări a instalației de laminare a țevilor. Cine va fi primul care va explica ce sunt „capacitățile nedeclarate ale software-ului de sistem” și după ce criterii va evalua relevanța acestei amenințări? Ce îl poate forța pe acesta din urmă să recunoască aceste amenințări ca fiind relevante pentru fabrica sa și să-și asume probleme suplimentare? Cum vor evalua prejudiciul despre care s-a scris atunci când au demontat primul raft? Sa asteptam actele de la FSB si FSTEC. Ceva îmi spune că nu va fi posibil să refuz pur și simplu neutralizarea capacităților nedeclarate. Băncile și telecomunicațiile își vor da seama în cele din urmă. Ce ar trebui să facem noi ceilalți care nu avem specialiști specializați și licențe FSB/FSTEK - școli și universități, spitale și clinici, oficii de evidență și centre de angajare etc., etc.? Un astfel de document nu le poate cauza decât confuzie.

Nu voi scrie un CV. Și astfel totul este clar.

Decretul Guvernului Federației Ruse nr. 1119 din 1 noiembrie 2012 a îngropat clase de sisteme de informații cu date personale care deveniseră deja familiare tuturor.

În locul claselor, conform noii rezoluții, se stabilesc patru niveluri de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale și cerințe pentru fiecare dintre acestea. Atribuirea sistemelor informaționale la un anumit nivel de securitate se face în funcție de tipul de date cu caracter personal pe care sistemul informațional le prelucrează, de tipul de amenințări curente, de numărul persoanelor vizate de date cu caracter personal prelucrate de sistemul informațional și de ale căror date personale contingent este procesat.

Sistemele de informare cu date cu caracter personal (PDIS), conform paragrafului 5 din Rezoluția nr. 1119, sunt împărțite în 4 grupe:

ISPD special
dacă ISPD prelucrează date cu caracter personal referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a subiecților datelor cu caracter personal;
ISPD biometric
dacă ISPD prelucrează informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora se poate stabili identitatea acesteia și care este utilizată de operator pentru stabilirea identității subiectului datelor cu caracter personal, precum și informații referitoare la categorii speciale a datelor cu caracter personal nu este prelucrată;
ISPD public
dacă ISPD prelucrează date cu caracter personal ale subiecților datelor cu caracter personal obținute numai din surse publice de date cu caracter personal create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”;
Alte ISPDn
dacă ISPD prelucrează date cu caracter personal ale persoanelor vizate care nu sunt reprezentate în cele trei grupuri anterioare.

Pe baza formei relației dintre organizația dumneavoastră și subiecți, procesarea este împărțită în 2 tipuri:

prelucrarea datelor cu caracter personal ale angajaților (entități cu care organizația dumneavoastră are relații de muncă);
prelucrarea datelor cu caracter personal ale subiecților care nu sunt angajați ai organizației dumneavoastră.

Pe baza numărului de subiecți ale căror date cu caracter personal sunt prelucrate, Rezoluția nr. 1119 definește doar 2 categorii:

mai puțin de 100.000 de subiecți;
peste 100.000 de subiecți;

Și, în sfârșit, tipuri de amenințări curente:

Amenințările de tip 1 sunt asociate cu prezența capacităților nedeclarate (nedocumentate) în software-ul de sistem utilizat în ISPD;
Amenințările de tip 2 sunt asociate cu prezența capacităților nedeclarate în aplicația software utilizată în ISPD;
Amenințările de tip 3 nu sunt asociate cu prezența capacităților nedeclarate în software-ul utilizat în ISPD.

Nu există o reglementare privind modul de determinare a tipului de amenințări curente. Cerințele PP-1119 nu oferă nicio metodă sau metodă pentru neutralizarea lor. Dacă anterior operatorul putea alege să clasifice un ISPD standard pe baza unui tabel sau să clasifice un ISPD special pe baza rezultatelor unui model de amenințare, acum nu mai are de ales. Nivelul de securitate este întotdeauna determinat în funcție de relevanța amenințărilor. Este puțin probabil ca operatorul să le poată determina singur - va trebui să contacteze o organizație superioară sau un consultant. Cea mai ușoară cale este să urmezi calea celei mai puține rezistențe, adică. determinați tipul de amenințare curentă de tip 3 și uitați de capabilitățile nedeclarate (nedocumentate) în software-ul de sistem și aplicație, dar acest lucru va trebui justificat. Întrebarea este cum?, revenind la începutul paragrafului.
Tema relevanței amenințărilor la adresa sistemelor de informații cu date personale este foarte importantă, deoarece amenințările descrise corect determină cât de bine va fi protejat sistemul, precum și cât de mult va costa protecția pentru operatorul de date cu caracter personal.

Dacă v-ați decis asupra datelor inițiale pentru un anumit ISPD, inclusiv tipul de amenințări curente, atunci puteți determina nivelul de securitate al acestuia. Pentru a determina în mod convenabil nivelul de securitate, utilizați următorul tabel, care se bazează pe PP-1119:

tip ISPDn	Angajații operatorului	Numărul de subiecte	Tipul de amenințări curente
			1 (NDV OS)	2 (NDV PO)	3 (Fără NDV)
ISPDn-S (special)	Nu	> 100 000	UZ-1	UZ-1	UZ-2
	Nu	< 100 000	UZ-1	UZ-2	UZ-3
	da
ISPDn-B (biometric)			UZ-1	UZ-2	UZ-3
ISPDn-I (alții)	Nu	> 100 000	UZ-1	UZ-2	UZ-3
	Nu	< 100 000	UZ-2	UZ-3	UZ-4
	da
ISPDn-O (public)	Nu	> 100 000	UZ-2	UZ-2	UZ-4
	Nu	< 100 000	UZ-2	UZ-3	UZ-4
	da

În funcție de nivelul de securitate PD selectat, PP-1119 definește o serie de cerințe pentru protecția datelor cu caracter personal, care sunt organizate și realizate de către operator (persoană autorizată) în mod independent și (sau) cu implicarea persoanelor juridice și a persoanelor fizice. antreprenori pe bază de contract, având licență de desfășurare a activităților de protecție tehnică a informațiilor confidențiale. Monitorizarea conformității cu cerințele trebuie efectuată cel puțin o dată la 3 ani în intervalul de timp stabilit de operator (persoană autorizată).

Cerințe	Niveluri Securitate
Cerințe
Organizarea unui regim de securitate a incintei in care se afla sistemul informatic, impiedicand posibilitatea intrarii sau sederii necontrolate in aceste incinte a persoanelor care nu au acces in aceste incinte.	+	+	+	+
Asigurarea securității purtătorilor de date cu caracter personal	+	+	+	+
Aprobarea de către conducătorul operatorului a unui document care definește lista persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă)	+	+	+	+
Utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legislației Federației Ruse în domeniul securității informațiilor, în cazurile în care utilizarea unor astfel de instrumente este necesară pentru a neutraliza amenințările actuale	+	+	+	+
Numirea unui funcționar responsabil cu asigurarea securității datelor cu caracter personal în ISPD	+	+	+	-
Restricționarea accesului la conținutul jurnalului de mesaje electronice	+	+	-	-
Înregistrarea automată în jurnalul electronic de securitate a modificărilor în atribuțiile angajatului operatorului de a accesa datele personale conținute în sistemul informațional	+	-	-	-
Crearea unei unități structurale responsabilă cu asigurarea securității datelor cu caracter personal în sistemul informațional sau atribuirea unor funcții de asigurare a securității uneia dintre unitățile structurale	+	-	-	-

După ce ați decis cu privire la cerințele de protecție a datelor cu caracter personal în conformitate cu PP-1119, puteți trece la selectarea măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal, în baza cerințelor Ordinului nr. 21 al FSTEC din Rusia din 18 februarie 2013. menite să neutralizeze amenințările actuale la adresa securității datelor cu caracter personal.

Ce să faci cu instrumentele de securitate a informațiilor, certificate pentru care au fost eliberate anterior pentru anumite clase de ISPD?

În conformitate cu mesajul informativ al FSTEC al Rusiei din 20 noiembrie 2012 N 240/24/4669 „Cu privire la caracteristicile protecției datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal și certificarea instrumentelor de securitate a informațiilor destinate protecției de date cu caracter personal”, certificate de conformitate eliberate FSTEC din Rusia, înainte de intrarea în vigoare a actului juridic de reglementare al FSTEC din Rusia (adică Ordinul nr. 21), care stabilesc componența și conținutul măsurilor organizatorice și tehnice pentru asigurarea securității datele cu caracter personal în timpul prelucrării lor în sistemele informatice de date cu caracter personal, nu fac obiectul reînregistrării.
Instrumentele de securitate a informațiilor care pot fi utilizate pentru a proteja datele cu caracter personal prelucrate în sistemele de informații cu date cu caracter personal de clasa 1 pot fi utilizate pentru a asigura securitatea datelor cu caracter personal prelucrate în sistemele de informații cu date cu caracter personal până la nivelul 1 inclusiv;
Instrumentele de securitate a informațiilor care pot fi utilizate pentru a proteja datele cu caracter personal prelucrate în sistemele de informații cu date cu caracter personal de clasa 2 pot fi utilizate pentru a asigura securitatea de nivelul 4 a datelor cu caracter personal prelucrate în sistemele de informații cu date cu caracter personal.

Andrei Prozorov

Am așteptat, a fost lansat documentul Rezoluția Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”. Intenționat nu am scris nimic despre prima versiune a documentului (mai precis, 2 documente), am vrut să văd ce modificări se vor face la versiunea finală.

Documentul „carnașează” din nou sistemele și procedurile de protecție a datelor cu caracter personal. Acesta stabilește cerințele pentru protecția datelor cu caracter personal în timpul prelucrării acestora în ISPD și nivelurile de securitate ale acestor date.
Să privim documentul cu mai multă atenție și să încercăm să înțelegem ce ar trebui să schimbe/modifica operatorii PD în SPPD-ul lor.

Iată principalele puncte:

Documentul invalidează Rezoluția nr. 781. În consecință, nu mai putem îndeplini cerințele sale. Aceasta înseamnă că statutul ordinului 55/86/20, ordinul FSTEC al Rusiei nr. 58 și documentele privind criptografie în ISPDn de la FSB al Rusiei sunt acum „în limb”...
Accentul principal al documentului este pus pe cerințele de neutralizare a amenințărilor CURENTE la adresa datelor personale. Documentul oferă o definiție destul de contradictorie („Amenințările actuale la adresa securității datelor cu caracter personal sunt înțelese ca un set de condiții și factori care creează pericolul actual de acces neautorizat, inclusiv accidental, la datele cu caracter personal în timpul prelucrării acestora într-un ISPD, rezultatul dintre care pot fi...”), creanțe împotriva cărora se îndreaptă din cauza prezenței unei legături de acces aleatoriu.
În general, se conturează o situație în care „jocuri” cu modelul de amenințare vor da roade sub forma unei reduceri a listei de cerințe pentru ISPD. Se dovedește că, dacă priviți din punctul de vedere al bunului simț, atunci AU1 și AU2 (amenințările actuale asociate cu prezența capacităților nedocumentate (nedeclarate) în software-ul de sistem și, respectiv, de aplicație) vor fi prezente în aproape toate ISDN (din bineînțeles, dacă nu evaluați TOATE programele aplicate și de sistem). În același timp, operatorul face o evaluare ținând cont de posibila vătămare a subiectului, ceea ce înseamnă că poate face o concluzie incorectă, dar adecvată conform normelor PP1119, că dispozitivul este de tip 3, deoarece daunele/daunele sunt minime.
Securitatea PD este asigurată de Operator sau de o persoană autorizată(autoritatea de a prelucra date cu caracter personal în numele). Decizia de a externaliza funcțiile de protecție a datelor cu caracter personal poate fi bine justificată pentru mulți Operatori, totuși aceștia acționează în domeniul juridic asociat cu comanda operatorului de prelucrare, cu toate cerințele care decurg...
Selectarea sistemului de securitate a informațiilor pentru SZPDn în conformitate cu actele juridice de reglementare ale FSB din Rusia și FSTEC din Rusia. Acest lucru este de așteptat, totuși, vă rugăm să rețineți că în această versiune a documentului aceste servicii speciale sunt scrise o singură dată și FSB-ul Rusiei este scris primul, în timp ce în PP781 sunt menționate mai des, dar cu accent pe FSTEC-ul Rusiei. Tragere de pătură? Apropo, așteptăm noi documente...
Există mai multe tipuri de ISPD în funcție de tipul de PD și de tipul de subiecți PD.În general, este clar și convenabil să lucrezi cu ei. Prima clasificare presupune selectarea:

ISPDn, în care se prelucrează categorii speciale de PDn(informații referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a persoanelor vizate). Vă rugăm să rețineți că, deși această listă coincide cu 152-FZ, articolul corespunzător al legii (articolul 10 152-FZ) conține o mențiune a informațiilor despre cazierul judiciar și cerințele pentru acesta, iar PP 1119 nu spune nimic despre acest lucru.
ISPD în care este procesată PD biometric. Acum acordați atenție la două puncte:

... „dacă prelucrează informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe pe baza căruia i se poate stabili identitateaȘi care sunt folosite de operator pentru a stabili identitatea subiectului PD”. Un alt argument în favoarea faptului că fotografiile din sistemul de control acces nu sunt biometrice.
„... și informațiile referitoare la categorii speciale de date cu caracter personal nu sunt prelucrate.” Întrebarea nu este cea mai critică, dar totuși. Acum, poziția autorităților de reglementare este clar vizibilă că categoriile speciale de date cu caracter personal sunt mai critice decât datele personale biometrice.

ISPDn, în care sunt procesate ISPDn disponibile public. Mai mult, baza pentru disponibilitatea publică este primirea din surse disponibile public create în conformitate cu 152-FZ.
ISPDn, în care sunt procesate alte categorii de PD
Al doilea tip de clasificare presupune distingerea:
ISPD, în care sunt prelucrate numai datele personale ale angajaților specificati. O întrebare logică este „specificat unde”? În comenzile de muncă? În manualul angajatului? baza de date 1C? O altă problemă subtilă poate fi contractul/GPC. După ce am citit rapid Codul Muncii al Federației Ruse, nu am rezolvat cu siguranță această problemă pentru mine.
ISPD, în care sunt prelucrate datele personale ale subiecților care nu sunt angajați ai operatorului.

Nivelul de securitate ISPD este influențat de tipul de amenințări, lista de PD și numărul de subiecți PD. Mi-am bătut mintea mult timp despre cum să prezint cel mai bine schema de clasificare sub formă de imagine și am venit cu asta:
.

	AC tip 1	AC tip 2	AC tip 3


PD biometric


PD public peste 100.000 de persoane vizate de date cu caracter personal care nu sunt angajați ai operatorului
PD public angajați ai operatorului sau date cu caracter personal accesibile publicului a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului

Lista cerințelor pentru nivelurile de securitate poate fi, de asemenea, prezentată în tabel. Este foarte ciudat și nu înțeleg de ce este nevoie de el așa. Există cerințe simple și logice despre securitatea fizică și numirea persoanelor responsabile, precum și cerințe controversate despre un jurnal electronic. Se pare că s-au pierdut câteva pagini de cerințe. Și dacă ne amintim de pp781 și p58, vom observa că aveau mult mai multe cerințe
.

Cerințe
Monitorizarea regulată a conformității cu cerințele Controlul asupra implementării acestor cerințe este organizat și desfășurat de către operator (persoană autorizată) în mod independent și (sau) cu implicarea persoanelor juridice și a antreprenorilor individuali pe bază de contract, licențiați să desfășoare activități de protecție tehnică a informațiilor confidențiale . Controlul specificat se efectueaza cel putin o data la 3 ani in termenele stabilite de operator (persoana autorizata).
Securitate fizică și control acces Organizarea unui regim de securitate pentru sediul în care se află ISPD, prevenind posibilitatea intrării sau șederii necontrolate în aceste încăperi a persoanelor care nu au acces în aceste incinte
Securitatea media Asigurarea securității purtătorilor de date cu caracter personal
Lista persoanelor admise Aprobarea de către conducătorul operatorului a unui document care definește lista persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă)
Sisteme de securitate a informațiilor certificate Utilizarea sistemelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legislației Federației Ruse în domeniul securității informațiilor, în cazurile în care utilizarea unor astfel de instrumente este necesară pentru a neutraliza amenințările actuale
Numirea unei persoane responsabile cu securitatea datelor cu caracter personal Numirea unui funcționar (angajat) responsabil cu asigurarea securității datelor cu caracter personal în ISPD
Controlul accesului la jurnalul electronic de acces. Asigurarea accesului la conținutul jurnalului de mesaje electronice exclusiv oficialilor (angajaților) operatorului sau unei persoane autorizate care au nevoie de informațiile conținute în jurnalul specificat pentru a îndeplini sarcini oficiale (de muncă)
Crearea unei unități structurale Crearea unei unități structurale responsabilă cu asigurarea securității datelor cu caracter personal în ISPD sau atribuirea unor funcții de asigurare a securității uneia dintre unitățile structurale

Din punct de vedere util, aș dori să observ că cerințele conțin cuvinte despre controlul regulat (ura, cu o frecvență specifică) cu implicarea licențiaților FSTEC din Rusia. Ideea este foarte solidă și utilă. DAR, ce vor verifica acum? Există un ordin de numire a unui responsabil sau există o listă de persoane permise, sau ușile camerei de servere sunt blocate pe sistemul de control al accesului? Rave.

În total, am așteptat mult, dar ceea ce am primit a fost „un amestec de șarpe și arici” - „sârmă ghimpată” care încurcă și prinde specialiști. Altfel ar fi dacă ar accepta un întreg set de documente, dar se dovedește a fi 1 pas înainte, 3 pași înapoi. Prost și trist.

Dezvoltați/Implementați dacă nu ați făcut deja:

Stabiliți lista purtătorilor de date cu caracter personal și cerințele pentru stocarea, utilizarea, transportul și distrugerea acestora.
Asigurați securitatea fizică a transportatorilor PD și controlul accesului la spațiile de procesare PD. Este o practică bună să aveți o listă aprobată de persoane permise să intre în camera serverului. Uneori, autoritățile de reglementare întreabă și despre lista persoanelor admise în toate spațiile în care se procesează PD, dar, în opinia mea, acest lucru este inutil.
Numiți un funcționar (angajat) responsabil cu asigurarea securității datelor cu caracter personal în ISPD. Vă rugăm să rețineți că, așa cum am scris mai devreme, este necesar să se facă distincția între responsabilii de prelucrare și cei responsabili pentru asigurarea securității datelor cu caracter personal.
Aduceți modificări la reglementările privind unitatea structurală responsabilă cu asigurarea securității datelor cu caracter personal.
Elaborați și aprobați o listă de persoane autorizate să prelucreze date cu caracter personal.
Pentru SZPDn utilizați SZI, au trecut procedura de evaluare a conformității.
Stabiliți o procedură pentru verificări regulate ale conformității cu cerințele pentru CPPD (procedura de control intern).

Revizuiți/Modificați ținând cont de datele noi (fă-o dacă nu ai făcut-o deja):

Este posibilă revizuirea protocolului daune semnificative aduse persoanelor vizate de date cu caracter personal.
Revizuiți și actualizați actele de clasificare ISPD ținând cont de nivelurile de securitate.

Fiți gata să revizuiți și să vă îmbunătățiți

Fiți pregătiți să revizuiți modelul de amenințare ISPD.
Fiți pregătit să revizuiți întregul SZPD și să cumpărați un nou SZD.
Începeți să vă gândiți la un jurnal electronic (ce este și ce tehnologii sunt folosite) și asigurați-i securitatea :)))

GUVERNUL FEDERATIEI RUSE

DESPRE APROBAREA CERINȚELOR

În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse decide:

1. Aproba cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.

2. Recunoașteți ca invalid Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” (Legislația colectată a Federației Ruse , 2007, N 48, Art. 6001) .

Președintele Guvernului
Federația Rusă
D.MEDVEDEV

Aprobat
Rezoluție guvernamentală
Federația Rusă
din data de 1 noiembrie 2012 N 1119

CERINȚE
PENTRU PROTECȚIA DATELOR PERSONALE ÎN TIMPUL PRELUCRĂRII LOR
ÎN SISTEME INFORMAȚII ALE DATELOR PERSONALE

1. Prezentul document stabilește cerințe pentru protecția datelor cu caracter personal atunci când sunt prelucrate în sistemele de informații cu date cu caracter personal (denumite în continuare sisteme informatice) și nivelurile de securitate ale acestor date.

2. Securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informațional este asigurată prin intermediul unui sistem de protecție a datelor cu caracter personal care neutralizează amenințările curente identificate în conformitate cu partea 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

Sistemul de protecție a datelor cu caracter personal include măsuri organizatorice și (sau) tehnice determinate ținând cont de amenințările actuale la adresa securității datelor cu caracter personal și a tehnologiilor informaționale utilizate în sistemele informaționale.

3. Securitatea datelor cu caracter personal atunci când sunt prelucrate într-un sistem informatic este asigurată de operatorul acestui sistem, care prelucrează datele cu caracter personal (denumit în continuare operator), sau de persoana care prelucrează datele cu caracter personal în numele operatorului pe baza a unui acord încheiat cu această persoană (denumită în continuare persoana împuternicită). Acordul dintre operator și persoana autorizată trebuie să prevadă obligația persoanei autorizate de a asigura securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informațional.

4. Alegerea mijloacelor de securitate a informațiilor pentru sistemul de protecție a datelor cu caracter personal este efectuată de operator în conformitate cu actele juridice de reglementare adoptate de Serviciul Federal de Securitate al Federației Ruse și de Serviciul Federal de Control Tehnic și de Export, în conformitate cu Partea 4 al articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

5. Un sistem informatic este un sistem informatic care prelucrează categorii speciale de date cu caracter personal dacă prelucrează date cu caracter personal referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a subiecților datelor cu caracter personal.

Un sistem informatic este un sistem informatic care prelucrează date cu caracter personal biometrice dacă prelucrează informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora se poate stabili identitatea acesteia și care este utilizată de operator pentru stabilirea identității persoanei. subiect al datelor cu caracter personal și nu prelucrează informații referitoare la categorii speciale de date cu caracter personal.

Un sistem de informații este un sistem de informații care prelucrează date cu caracter personal disponibile publicului dacă prelucrează date cu caracter personal ale persoanelor vizate de date cu caracter personal, obținute numai din surse de date cu caracter personal disponibile public, create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”.

Un sistem informatic este un sistem informatic care prelucrează alte categorii de date cu caracter personal, dacă nu prelucrează datele cu caracter personal specificate la alineatele unu-trei din prezentul alineat.

Un sistem informatic este un sistem informatic care prelucrează datele personale ale angajaților operatorului dacă prelucrează numai datele personale ale angajaților specificati. În alte cazuri, sistemul de informare cu date cu caracter personal este un sistem de informare care prelucrează date cu caracter personal ale persoanelor vizate de date cu caracter personal care nu sunt angajați ai operatorului.

6. Amenințările actuale la adresa securității datelor cu caracter personal sunt înțelese ca un set de condiții și factori care creează pericolul actual al accesului neautorizat, inclusiv accidental, la datele cu caracter personal în timpul prelucrării acestora într-un sistem informatic, care poate avea ca rezultat distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea datelor cu caracter personal, precum și alte acțiuni ilegale.

Amenințările de tip 1 sunt relevante pentru un sistem informațional dacă amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în software-ul de sistem utilizat în sistemul informațional sunt, de asemenea, relevante pentru acesta.

Amenințările de al doilea tip sunt relevante pentru un sistem informațional dacă amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în aplicația software utilizată în sistemul informațional sunt de asemenea relevante pentru acesta.

Amenințările de tip 3 sunt relevante pentru un sistem informațional dacă amenințările care nu sunt legate de prezența capacităților nedocumentate (nedeclarate) în sistem și software-ul aplicației utilizate în sistemul informatic sunt relevante pentru acesta.

7. Determinarea tipului de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul de informații se face de către operator ținând cont de evaluarea posibilelor prejudicii efectuată în temeiul paragrafului 5 al părții 1 a articolului 18.1 din Legea federală " Cu privire la datele cu caracter personal”, și în conformitate cu actele juridice de reglementare adoptate în temeiul părții 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de securitate a datelor cu caracter personal.

9. Necesitatea asigurării nivelului I de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează fie categorii speciale de date cu caracter personal, fie date cu caracter personal biometrice, fie alte categorii de date cu caracter personal;

b) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.

10. Necesitatea asigurării nivelului 2 de securitate a datelor cu caracter personal la prelucrarea acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

b) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal ale angajaților operatorului sau categorii speciale de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

c) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

d) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;

e) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;

f) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.

11. Necesitatea asigurării nivelului 3 de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează date cu caracter personal disponibile public ale angajaților operatorului sau date cu caracter personal disponibile public ale mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

b) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

c) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează categorii speciale de date cu caracter personal ale angajaților operatorului sau categorii speciale de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

d) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează date cu caracter personal biometrice;

e) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal a mai mult de 100.000 de persoane vizate care nu sunt angajați ai operatorului.

12. Necesitatea asigurării celui de-al 4-lea nivel de securitate a datelor cu caracter personal la prelucrarea acestora într-un sistem informatic se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

b) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal ale unui număr mai mic de 100.000 de persoane vizate care nu sunt angajați ai operatorului.

13. Pentru asigurarea celui de-al 4-lea nivel de securitate a datelor cu caracter personal la prelucrarea lor în sisteme informatice, trebuie îndeplinite următoarele cerințe:

a) organizarea unui regim de securitate pentru incinta in care se afla sistemul informatic, impiedicand posibilitatea intrarii sau sederii necontrolate in aceste incinte a persoanelor care nu au acces in aceste incinte;

b) asigurarea securității purtătorilor de date cu caracter personal;

c) aprobarea de către conducătorul operatorului a unui document care definește lista persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă);

d) utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legislației Federației Ruse în domeniul securității informațiilor, în cazurile în care utilizarea unor astfel de mijloace este necesară pentru neutralizarea amenințărilor actuale.

14. Pentru asigurarea celui de-al 3-lea nivel de securitate a datelor cu caracter personal la prelucrarea acestora în sistemele informatice, pe lângă îndeplinirea cerințelor prevăzute la paragraful 13 din prezentul document, este necesar ca un funcționar (angajat) să fie desemnat responsabil cu asigurarea securității. a datelor cu caracter personal din sistemul informatic.

15. Pentru asigurarea nivelului 2 de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragraful 14 al prezentului document, este necesar ca accesul la conținutul jurnalului de mesaje electronice să fie posibil doar pentru funcționarii (angajații) operatorului sau o persoană autorizată, pentru care informațiile conținute în jurnalul specificat sunt necesare pentru îndeplinirea atribuțiilor oficiale (de muncă).

16. Pentru asigurarea nivelului 1 de securitate a datelor cu caracter personal la prelucrarea acestora în sisteme informatice, pe lângă cerințele prevăzute la paragraful 15 din prezentul document, trebuie îndeplinite următoarele cerințe:

a) înregistrarea automată în jurnalul electronic de securitate a modificărilor în atribuțiile angajatului operatorului de a accesa datele cu caracter personal conținute în sistemul informațional;

b) crearea unei unități structurale responsabilă cu asigurarea securității datelor cu caracter personal în sistemul informațional sau atribuirea unor funcții de asigurare a securității uneia dintre unitățile structurale.

17. Monitorizarea respectării acestor cerințe este organizată și efectuată de către operator (persoană autorizată) în mod independent și (sau) cu implicarea persoanelor juridice și a antreprenorilor individuali pe bază contractuală, licențiați să desfășoare activități de protecție tehnică a confidențialului. informație. Controlul specificat se efectueaza cel putin o data la 3 ani in termenele stabilite de operator (persoana autorizata).

În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse decide:

1. Aproba cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.

Președintele Guvernului
Federația Rusă
D.MEDVEDEV

APROBAT
Rezoluție guvernamentală
Federația Rusă
din data de 1 noiembrie 2012 N 1119

7. Determinarea tipului de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul de informații se face de către operator ținând cont de evaluarea posibilului prejudiciu efectuată în temeiul paragrafului 5 al părții 1 a articolului 181 din Legea federală " Cu privire la datele cu caracter personal”, și în conformitate cu actele juridice de reglementare adoptate în temeiul părții 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de securitate a datelor cu caracter personal.

A) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează fie categorii speciale de date cu caracter personal, fie date cu caracter personal biometrice, fie alte categorii de date cu caracter personal;

A) Amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

C) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

D) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile public a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;

E) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.

B) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal ale unui număr mai mic de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

D) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

E) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal a mai mult de 100.000 de persoane vizate care nu sunt angajați ai operatorului.

a) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

B) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal ale unui număr mai mic de 100.000 de persoane vizate care nu sunt angajați ai operatorului.

13. Pentru asigurarea celui de-al 4-lea nivel de securitate a datelor cu caracter personal la prelucrarea lor în sisteme informatice, trebuie îndeplinite următoarele cerințe:

b) asigurarea securității purtătorilor de date cu caracter personal;