Согласно ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ), при обработке персональных данных следует применять комплекс правовых, организационных и технических мер для их защиты с целью недопущения неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий. Оператор обрабатывает персональные данные в информационной системе персональных данных, под которой подразумевается совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технические средства (п. 10 ст. 3 Закона № 152-ФЗ). Иными словами, информационная система – это любая программа или набор программ и технических средств, с помощью которых обрабатываются персональные данные.
Требования к защите персональных данных при их обработке в информационных системах утверждены постановлением Правительства России от 01.11.2012 № 1119 (далее – Постановление № 1119).
Среди мер защиты выделяются:
- определение угроз безопасности персональных данных при их обработке в информационных системах;
- организационные и технические меры, необходимые для обеспечения необходимого уровня защищенности персональных данных;
- применение средств защиты, прошедших процедуру оценки соответствия;
- оценка эффективности принимаемых мер защиты до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
Рассмотрим эти меры и их применение на практике.
Определение угроз безопасности персональных данных при их обработке
Угроза безопасности персональных данных – это совокупность условий и факторов, которые создают опасности несанкционированного доступа к персональным данным. В результате они могут быть уничтожены, изменены, заблокированы, скопированы, предоставлены или распространены (ч. 11 ст. 19 Закона № 152-ФЗ). При определении угроз учитываются содержание персональных данных, характер и способ их обработки, а также другие факторы.
В зависимости от степени вреда, который может быть причинен субъекту персональных данных, угрозы принято разделять на три основные группы:
- угрозы 1 типа, актуальные для информационных систем, имеющих недокументированные (недекларированные) возможности в системном программном обеспечении;
- угрозы 2 типа, актуальные для информационных систем, имеющих недокументированные (недекларированные) возможности в прикладном программном обеспечении;
- угрозы 3 типа, актуальные для информационных систем, не имеющих недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.
Под недекларированными возможностями подразумеваются возможности программного обеспечения (ПО), которые не описаны в сопровождающей его документации и не оговорены разработчиком такого ПО. Тем не менее такие возможности могут быть использованы для несанкционированного доступа к информации, обрабатываемой при помощи такого ПО.
Определить угрозы безопасности персональных данных можно самостоятельно, однако адекватно оценить степень опасности того или иного фактора неподготовленному человеку достаточно проблематично, а зачастую и невозможно. По этой причине для определения угроз желательно обратиться в специализированную организацию, имеющую лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК России), выданную в порядке, установленном постановлением Правительства России от 03.02.2012 № 79.
Выявление типа этих угроз необходимо для выбора уровня защищенности, который следует обеспечить работодателю. Постановлением № 1119 предусмотрено 4 уровня защищенности. Первый из них предполагает самую низкую степень защиты, а четвертый – максимальную защиту персональных данных.
Соответствие каждого из уровней защищенности определенному типу угроз можно представить в виде таблицы.
| Уровень защищенности | Тип угрозы | Категория обрабатываемых ПДн | Количество обрабатываемых данных | Требования по защите (Постановление № 1119) |
| 1 | 1 типа | специальные категории | не установлено | подп. "а" п. 9 |
| биометрические | не установлено | подп. "а" п. 9 | ||
| иные категории ПДн | не установлено | подп. "а" п. 9 | ||
| 2 типа | специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн | более 100 000 | подп. "б" п. 9 | |
| 2 | 1 типа | общедоступные | не установлено | подп. "а" п. 10 |
| 2 типа | специальные категории ПДн сотрудников организации | не установлено | подп. "б" п. 10 | |
| специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн | менее чем 100 000 | подп. "б" п. 10 | ||
| биометрические | не установлено | подп. "в" п. 10 | ||
| общедоступные ПДн субъектов, не являющихся сотрудниками оператора ПДн | более 100 000 | подп. "г" п. 10 | ||
| иные категории ПДн субъектов, не являющихся сотрудниками оператора ПДн | более 100 000 | подп. "д" п. 10 | ||
| 3 типа | специальные категории ПДн субъектов, не являющихся сотрудниками оператора ПДн | более 100 000 | подп. "е" п. 10 | |
| 3 | 2 типа | общедоступные ПДн сотрудников оператора | не установлено | подп. "а" п. 11 |
| общедоступные ПДн, не являющихся сотрудниками оператора ПДн | менее 100 000 | подп. "а" п. 11 | ||
| иные категории ПДн сотрудников оператора | не установлено | подп. "б" п. 11 | ||
| иные категории ПДн субъектов, не являющихся сотрудниками оператора ПДн | менее 100 000 | подп. "б" п. 11 | ||
| 3 типа | специальные категории ПДн сотрудников организации | не установлено | подп. "в" п. 11 | |
| специальные категории ПДн субъектов, не являющихся сотрудниками оператора ПДн | менее 100 000 | подп. "в" п. 11 | ||
| биометрические | не установлено | подп. "г" п. 11 | ||
| иные категории ПДн, не являющихся сотрудниками оператора ПДн | менее 100 000 | подп. "д" п. 11 | ||
| 4 | 3 типа | общедоступные | не установлено | подп. "а" п. 12 |
| иные категории персональных данных сотрудников оператора | не установлено | подп. "б" п. 12 | ||
| иные категории ПДн субъектов, не являющихся сотрудниками оператора ПДн | менее 100 000 | подп. "б" п. 12 |
* Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ч. 1 ст. 10 Закона № 152-ФЗ).
* Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен самим субъектом персональных данных или по его просьбе.
* Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ч. 2 ст. 11 Закона № 152-ФЗ).
Организационные и технические меры для обеспечения необходимого уровня защищенности персональных данных
Постановлением № 1119 утвержден ряд требований, которые требуется выполнить для обеспечения необходимого уровня защищенности персональных данных (в зависимости от типа выявленных угроз).
Для удобства сопоставления уровней защищенности и требований к мерам приведем таблицу:
| Требование по защите ПДн | Уровни защищенности | |||
| 1 | 2 | 3 | 4 | |
| Организация режима обеспечения безопасности помещений, в которых размещена ИС, препятствующая возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения | + | + | + | + |
| Обеспечение сохранности носителей персональных данных | + | + | + | + |
| Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей | + | + | + | + |
| Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз | + | + | + | + |
| Назначение должностного лица (работников), ответственного за обеспечение безопасности ПДн в ИС | + | + | + | |
| Ограничение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в данном журнале, необходимы для выполнения служебных (трудовых) обязанностей | + | + | ||
| Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника по доступа к ПДн, содержащимся в ИС | + | |||
| Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИС, либо возложение на одно из структурных подразделений по обеспечению такой безопасности | + | |||
Более подробные требования к защите персональных данных, выполнение которых обеспечивает необходимый уровень защищенности, содержатся в приказе ФСТЭК России от 18.02.2013 № 21 (далее – Постановление № 21) и приказе ФСБ России от 10.07.2014 № 378 (далее – Приказ № 378).
Применение прошедших процедуру оценки соответствия средств защиты информации
Под средствами защиты информации понимаются различные устройства, приспособления, приборы, системы и т. д., при помощи которых осуществляется защита. Все средства защиты информации можно разделить на несколько групп:
- технические (аппаратные) средства – это технические средства, устройства и приспособления, препятствующие несанкционированному доступу к защищаемой информации (решетки на окнах, двери, кодовые замки и т. д.);
- программные средства – это программы, осуществляющие шифрование защищаемой информации, контроль доступа к ней неуполномоченных на это лиц, безопасную передачу информации и т. д.;
- организационные средства – это действия оператора персональных данных по организации процесса сбора, хранения и обработки персональных данных, подлежащих защите. Они могут выражаться в оборудовании помещения для хранения персональных данных, ограничении доступа в такое помещение, определении порядка работы с персональными данными и т. д.
Для защиты персональных данных работников необходимо использовать программные средства, прошедшие процедуру оценки соответствия этих средств требованиям закона. Это следует как из п. 3 ч. 2 ст. 19 Закона № 152-ФЗ, так и из п. 4 приказа ФСТЭК России от 18.02.2013 № 21 и п. 13 постановления Правительства России от 01.11.2012 № 1119.
Проблема заключается в том, что в законе не закреплено понятие «оценка соответствия». Согласно распространенному мнению, формой оценки соответствия средств защиты является их сертификация, однако ни в одном нормативном акте не содержится обязанности оператора персональных данных использовать исключительно сертифицированные в системе ФСТЭК средства защиты. Тем не менее в информационном сообщении ФСТЭК России от 04.05.2012 № 240/24/1701 ведомство пришло к выводу, что оценка средств, предназначенных для защиты информации конфиденциального характера, а также средств контроля эффективности и защиты информации в целях защиты персональных данных осуществляется в форме обязательной сертификации. Таким образом, для защиты персональных данных целесообразно применять исключительно средства, имеющие сертификат соответствия.
Оценка эффективности принимаемых мер защиты до ввода в эксплуатацию информационной системы персональных данных
Перед началом обработки персональных данных работников необходимо убедиться в том, что принятые меры достаточны для качественной и всесторонней защиты от несанкционированного доступа, распространения, кражи и т. д. Меры можно считать достаточными, если их применение способно полностью устранить угрозы информации или свести эти угрозы к приемлемому уровню.
В какой именно форме проводить оценку эффективности предпринятых мер, выбирает сам работодатель. Например, можно провести внутренний аудит или пройти добровольную аттестацию по требованиям безопасности в системе сертификации ФСТЭК России.
В ходе оценки эффективности мер защиты персональных данных желательно:
- разработать и утвердить порядок оценки, в котором установить последовательность действий, процедуру сопоставления мер по защите информации и актуальных угроз, критерии соответствия или несоответствия той или иной меры предъявляемым к ней требованиям и т. д.;
- проанализировать достаточность предпринятых мер для эффективной защиты персональных данных работников (оценить верность выбранного уровня угроз персональным данным, наличие и содержание локальных нормативных актов, направленных на защиту информации, наличие технических и программных средств для ее защиты, информированность сотрудников, которые будут работать с персональными данными и т.д.). Кроме того, можно провести испытания систем защиты информации, например, смоделировав попытку третьих лиц получить персональные данные в обход систем защиты;
- обобщить результаты оценки. Если в результате проведенной оценки мер защиты информации выяснилось, что для полноценной защиты персональных данных предпринятых мер недостаточно, их нужно скорректировать или дополнить.
Учет машинных носителей персональных данных
Под машинными носителями информации подразумеваются носители, на которых хранятся и (или) обрабатываются персональные данные работников (п. 8 приказа ФСТЭК России от 18.02.2013 № 21). В частности, под машинными носителями принято понимать флеш-накопители, компакт-диски, внешние жесткие диски и другие носители, на которых хранятся персональные данные работников. Для защиты содержащихся на них сведений доступ и перемещение таких носителей должны быть учтены и строго ограничены.
Самым простым и распространенным способом учета таких носителей является ведение журнала учета машинных носителей персональных данных. В таком журнале, как правило, отражаются тип и емкость носителя, его признаки, номер, место хранения (установки), даты установки носителя, изменения, дополнения или уничтожения содержащихся на нем данных, лицо, ответственное за учет носителей и т. д.
Как правило, журнал учета носителей информации оформляется в виде таблицы, в которой перечислены указанные выше сведения. Такая таблица может выглядеть следующим образом.
| № п/п | Номер носителя | Тип/емкость носителя | Место установки | Ответственное лицо | Дата выдачи носителя | Дата возврата носителя | Дата внесения изменений в ПД на носителе | Сведения об уничтожении ПД с носителя |
| 1. | ||||||||
| 2. |
Обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе
Для облегчения слежения за движением персональных данных и контроля их предоставления тем или иным лицам следует вести их строгий учет. Одним из наиболее простых способов учета персональных данных является ведения журнала учета персональных данных. Хотя закон не обязывает работодателя заводить его в обязательном порядке, рекомендуется все же сделать это. В журнале следует фиксировать все операции, осуществляемые с персональными данными работников. Не лишним будет и проставление отметок о том, кто, в какое время и с какой целью получал доступ к тем или иным персональным данным работников. Форма журнала не утверждена законом, поэтому разработать ее можно самостоятельно.
Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер
Закон не содержит каких-либо четких инструкций по обнаружению фактов несанкционированного доступа к персональным данным, поэтому работодателю следует определить порядок действий самостоятельно. В частности, можно проводить регулярный аудит соблюдения правил хранения и обработки персональных данных, порядка хранения и доступа к носителям информации, порядка учета носителей информации, содержащих персональные данные, и предоставления такой информации и т. д.
Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
Поскольку вследствие несанкционированного доступа к персональным данным они могут быть модифицированы или уничтожены, необходимо заблаговременно принять меры, позволяющие их восстановить. Одним из самых удобных способов сделать это является создание резервных копий персональных данных. Доступ к носителям, на которых хранятся резервные копии персональных данных, должен быть максимально ограничен.