Проверки Роскомнадзора, ФСБ, ФСТЭК в области защиты персональных данных
Нормативные правовые акты в области персональных данных
Проверка подразумевает под собой контроль соответствия реального состояния проверяемой области с требованиями нормативных документов, регулирующими данную область. В частности, для проверок в области защиты персональных данных (ПДн), перечень нормативных документов будет примерно таким:
- Конвенция о защите физических лиц при автоматизированной обработке Персональных данных (28.01.1981 г.).
- Директива Европейского Союза № 2002/58/ЕС «О приватности и электронных коммуникациях».
- Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ - Глава 14 «Защита персональных данных».
- ФЗ от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
- ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
- Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера».
- Указ Президента РФ от 30.05.2005 г. № 609 «Об утверждении Положения о Персональных данных государственного гражданского служащего РФ и ведении его личного дела».
- Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению ИБ РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена».
- Распоряжение Правительства РФ от 10.07.2001 № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке Персональных данных».
- Постановление Правительства РФ от 21.03.2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О ПДн» и принятыми в соответствии с ним НПА, операторами, являющимися государственными или муниципальными органами».
- Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн».
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации».
- Постановление Правительства РФ от 4.03.2010 г. N 125 «О перечне ПДн, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина РФ, по которым граждане РФ осуществляют выезд из РФ и въезд в РФ».
- Приказ Роскомнадзора РФ от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию ПДн».
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн».
- Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по ОБ ПДн при их обработке в ИСПДн».
- Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. (Положение ПКЗ 200)».
- Приказ Роскомнадзора РФ от 30.05.2017 №94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки ПДн и о внесении изменений в ранее представленные сведения».
- Приказ ФСБ России от 10.07.2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн (ИСПДн) с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности».
Уполномоченными проводить проверки в части соблюдения законодательства о ПДн (регуляторами) в РФ являются:
- Роскомнадзор - контроль и надзор за соответствием обработки ПДн требованиям законодательства;
- ФСБ России - контроль и надзор за выполнением требований к обеспечению безопасности ПДн при их обработке в ИСПДн, в т.ч. с использованием средств криптозащиты информации (СКЗИ);
- ФСТЭК России - контроль и надзор за выполнением требований к обеспечению безопасности ПДн при их обработке в ИСПДн, без использования СКЗИ.
Проверки ИСПДн Рокомнадзором РФ
К проверкам Роскомнадзора относятся плановые проверки, внеплановыми (документарные и выездные), а также мероприятия систематического наблюдения. Срок проведения проверки не может превышать 20 рабочих дней.
Список плановых проверок находится в открытом доступе по адресу: https://rkn.gov.ru/plan-and-reports/
Полномочия Роскомнадзора заключаются в следующем:
- проверяет сведения, указанные организацией в Уведомлении;
- может требовать от оператора уничтожения недостоверных или полученных незаконным путем ПДн;
- может ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
- вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять их в суде;
- наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении ФЗ;
- обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой ПДн, а также принимать по ним решения.
Деятельность Роскомнадзора на практике заключается в работе с обращениями и жалобами граждан, проведении контрольных и надзорных мероприятий и ведении Реестра операторов ПДн. Роскомнадзор проверяет:
- наличие уведомления об операторской деятельности;
- наличие Политики оператора в отношении обработки ПДн;
- публикация Политика на сайте или иным способом;
- приказ о назначении лица, ответственного за осуществление Политики;
- документы, включающие в себя ПДн, условия их хранения, организацию мест хранения (физические и электронные);
- внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
- сайт компании в интернете.
При проведении плановых проверок запрашиваются следующие документы:
- Копия документа о назначении должностного лица которое будет представлять интересы юридического лица на проверке;
- Учредительные документы организации;
- Копия уведомления о намерении осуществлять работу с ПДн;
- Список ПДн, собираемых и охраняемых организацией;
- Документ, определяющий ответственного за орг.обработки ПДн;
- Инструкции сотрудников, обрабатывают ПДн;
- Положение об ответственности работников за разглашение ПДн;
- Положения об особенностях обработки ПДн (обезличивании);
- Положения, касающиеся ИБ (антивирусы, пароли);
- Соглашения о неразглашении ПДн;
- Бланки согласия граждан на обработку их персональных данных;
- Журналы инструктажей сотрудников по вопросам ИБ;
- Перечень сотрудников, допущенных к обработке ПДн;
- Документ, определяющие места хранения (размещения) ПДн;
- Справка об обработке специальных и биометрических категорий ПДн;
- Справка об осуществлении трансграничной передачи ПДн;
- Порядок уничтожения ПДн;
- Порядок передачи ПДн третьим лицам;
- Типовая форма согласия на обработку ПДн;
- Порядок учета обращений субъектов ПДн;
- Перечень ИСПДн;
- Документы, регламентирующие резервирование данных в ИСПДн;
- Перечень используемых средств защиты информации;
- Матрица доступа;
- Модель угроз;
- Документ, определяющий уровни защищенности каждой ИСПДн;
- Журнал учета машинных носителей ПДн;
- Другие локальные акты оператора, регламентирующие порядок и условия обработки ПДн.
Внеплановые проверки роскомнадзора проводятся в форме запроса необходимых документов и предоставления этих документов в срок, указанный в запросе. О проведении внеплановой проверки оператор уведомляется не позднее, чем за 24 часа до ее начала любым доступным способом.
Основания для внеплановой проверки:
- истек срок исполнения ранее выданного предписания об устранении нарушения;
- если в службу или ее территориальные органы поступило обращение от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации;
- по приказу руководителя Роскомнадзора или руководителя территориального управления;
- по факту выявления в результате систематического наблюдения нарушений обязательных требований.
Мероприятия систематического наблюдения проводятся:
- без оповещения;
- если выявлены нарушения, проводится внеплановая проверка в соответствии с «Административным регламентом»;
- проводятся на основании приказа руководителя территориального органа и закрепляются в ежегодном плане деятельности территориального управления на следующий год;
- в плане нет конкретных адреса сайтов, только категории операторов (операторы связи, госорганы, страховые и т.д.) и месяц проверки.
Типичными нарушениями в Предписаниях Роскомнадзора являются:
- Обработка ПДн в случаях, не предусмотренных законодательством РФ, или обработка ПДн, несовместимых с целями обработки:
- Нарушения ч.4. Ст. 9. ФЗ от 27.07.2006 г. № 152-ФЗ «О ПДн». Согласие на обработку ПДн в обязательном порядке включает:
- Неверно заполненное уведомление о намерении осуществлять обработку ПДн:
- Работники, допущенные к обработке ПДн не ознакомлены с локальными документами организации, регламентирующими правила обработки ПДн:
- В организациях берут согласие на обработку всех ПДн субъекта с указанием общего перечня ПДн и всех целей обработки:
- Обработка ПДн без письменного согласия в случаях, когда оно должно быть по закону;
- Невыполнение обязанностей по хранению материальных носителей ПДн:
- Отсутствие регламентов уничтожения материальных носителей ПДн и актов об их уничтожении:
- Отсутствие договоров со сторонними организациями, в которые осуществляется передача ПДн субъектов. Нарушения порядка передачи ПДн таким организациям;
- Неверно заполненное уведомление о намерении осуществлять обработку ПДн;
- Не проводятся плановые проверки (внутренний контроль, аудит) соответствия обработки ПДн НПА в области защиты ПДн (п.4. ч.1. ст. 18.1 ФЗ № 152 и п.1б ПП № 211). Списки и перечни неактуализированы.
• В согласии на обработку ПДн должна быть указана одна цель обработки ПДн, в соответствии с которой осуществляется сбор ПДн;
• В согласии на обработку ПДн, должны быть указаны только те категории ПДн, которые реально необходимы для достижения конкретной цели, в противном случае данные будут считаться излишними, что является нарушением;
• ФИО, адрес субъекта ПДн (доверенного лица), номер удостоверяющего документа, о дате выдачи, выдавший орган (реквизиты доверенности);
• наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• подпись субъекта ПДн.
• Необходимо указывать, на основании чего осуществляется сбор ПДн, по каждой из целей, преследуемых Оператором;
• Ссылками на 152-ФЗ, как правило обосновываются не цели обработки ПДн, а применения мер защиты в отношении ПДн.
• Один лист ознакомления со всеми организационно-распорядительными документами, регламентирующими правила работы с ПДн в организации (регламенты, инструкции, положения, политики), подшитый в личное дело работника, допущенного к обработке ПДн;
• Утвердить в организации формы, предлагаемые Роскомнадзором.
• Данное действие нарушает ч.7. ст. 5. ФЗ № 152, а именно обязанность уничтожения или обезличивания ПДн при достижении заранее установленной цели. Если таких целей указано несколько, то по достижению хоть одной из них оператор не имеет права продолжить обработку ПДн и все полученные от субъекта ПДн должны быть уничтожены.
• Также это нарушает право субъекта ПДн отозвать согласие на обработку ПДн, если одна из целей обработки утратила актуальность (например, отпала необходимость в получении информации посредством СМС-сообщений на номер мобильного телефона субъекта), но для достижения оставшихся целей (участие в акции, проходящей в настоящий момент) требуется обработка ФИО и данных документа удостоверяющего личность.
• Перечень мест хранения ПДн;
• Требования к учету машинных носителей (кто ведет учет, в какой форме);
• Журнал учета машинных носителей;
• Правила работы с бумажными носителями:
• хранение только в специально отведенных местах (запираемых шкафах, сейфах);
• раздельное хранение носителей ПДн (в зависимости от целей и допущенных лиц);
• обязанности работников, допущенных к работе с носителями ПДн (покидая рабочее место, убрать носители ПДн в хранилище, либо при отсутствии иных работников, допущенных в помещение, запереть и опечатать дверь).
Разработать локальный документ, регламентирующий порядок уничтожения материальных носителей ПДн, включающий в себя:
• сроки хранения всех категорий материальных носителей ПДн;
• способы уничтожения;
• форма акта об уничтожении.
Проверки ИСПДн ФСБ России и ФСТЭК России
Согласно пункту 8 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК), в пределах их полномочий и без права ознакомления с ПДн, обрабатываемыми в ИСПДн.
Кроме того, ФСБ, и ФСТЭК, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых ПДн могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн, при их обработке в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся ГИС ПДн, без права ознакомления с ПДн, обрабатываемыми в ИСПДн.
Требования к защите ПДн для каждого из уровней защищенности, список организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются также ФСБ и ФСТЭК:
- Приказ ФСБ РФ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите» определяет меры по защите ИСПДн, при использовании в них СКЗИ;
- Приказ ФСТЭК от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн» определяет меры по защите ИСПДн, без использования СКЗИ.
Проверки ИСПДН ФСБ России
Проверки проводятся на основании:
- Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством РФ, к обеспечению безопасности ПДн при их обработке в ИСПДн (утв. Руководством 8 Центра ФСБ России 08.08.2009 № 149/7/2/6-1173);
- Методические рекомендации по разработке НПА, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности (утв. ФСБ России 31.03.2015 № 149/7/2/6-432);
- Об утверждении Состава и содержания организационных и технических мер по ОБ ПДн при их обработке в ИСПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных ППр РФ требований к защите ПДн для каждого из уровней защищенности (Приказ ФСБ России от 10.07.2014 N 378).
Проверяются:
- Ведомственные документы по организации криптографической защиты:
- Модель угроз
- Документы по поставке СКЗИ оператору. Акты ввода СКЗИ в эксплуатацию
- Документация на СКЗИ;
• положение об обращении с СКЗИ;
• инструкция пользователя СКЗИ;
• инструкция ответственного за обращение с СКЗИ;
• регламент обучения сотрудников правилам работы с СКЗИ;
• назначение ответственных лиц;
• порядок допуска работников к ИСПДн;
• приказы, утверждающие вышеуказанные документы
• акты приема / передачи СКЗИ;
• договор на закупку /поставку СКЗИ;
• акты установки СКЗИ на рабочие места пользователей;
• лицензии, сертификаты, формуляры;
• лицензия на каждое СКЗИ (поставляется в комплекте);
• сертификаты (в открытом доступе, на сайте поставщика);
• документация по использованию и установке (в открытом доступе, на сайте поставщика).
Проверки ИСПДн ФСТЭК России
При проведении проверок оценивается выполнение в организации требований нормативных документов:
- Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О ПДн" и принятыми в соответствии с ним НПА, операторами, являющимися государственными или муниципальными органами, утвержден постановлением Правительства РФ от 21.03.2012 г. №211;
- Требования к защите ПДн при их обработке в ИСПДн, утверждены постановлением Правительства РФ от 1.11.2012 г. №1119;
- Требования о ЗИ, не составляющей гос. тайну, содержащейся в ГИС, утверждены приказом ФСТЭК России от 11.02.2013 г. №17;
- Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены приказом ФСТЭК России от 18.02.2013 г. №21;
- Базовая модель угроз безопасности ПДн при их обработке в ИСПДн, утверждена Заместителем директора ФСТЭК России 15.02.08 г.;
- Методика определения актуальных УБ ПДнпри их обработке в ИСПДн, утверждена Заместителем директора ФСТЭК России 14.02.2008 г.;
- Информационное сообщение по вопросам ЗИ и ОБ ПДн при их обработке в ИС в связи с изданием приказа ФСТЭК России №17 и №21 от 15 июля 2013 г. № 240/22/2637.
Следует учесть, что для обеспечения безопасности ПДн при их обработке в ГИС в дополнение к Требованиям (Приказ №17 от 11.02.2013 г.) необходимо руководствоваться Требованиями, в том числе для определения уровня защищенности ПДн, устанавливаемыми постановлением Правительства РФ от 1.11.2012 г. №1119.
Согласно информационному сообщению «О необходимости получения лицензии ФСТЭК России на деятельность по ТЗ конфиденциальной информации в случаях, связанных с обработкой ПДн» от 31.07.2018 г. №240/13/3330, оператору не требуется получать лицензию на деятельность по ТЗКИ при обработке ПДн в ИСПДн для собственных нужд.
Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по обработке ПДн по его поручению в собственной ИСПДн на основании заключенного между ними договора при наличии в таком договоре хотя бы одной из услуг, предусмотренных в пункте 4 постановления Правительства РФ от 3.02.2012 г. №79: «О лицензировании деятельности по технической защите конфиденциальной информации».
Проверки ИСПДН в ГИС ФСТЭК России
Классификация ГИС
По уровеню значимости информации:
УЗ 1 - если хотя бы для одного из показателей (конфиденциальность, целостность, доступность) определена высокая степень ущерба.
УЗ 2 - если хотя бы для одного из показателей определена средняя степень ущерба и нет ни одного высокого.
УЗ 3 - если для всех показателей определены низкие степени ущерба.
Степень ущерба признается высокой, если в результате нарушения одного из свойств К, Ц, Д возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой, иных областях деятельности ИС и/или оператор (обладатель информации) не могут выполнять свои функции;
Степень ущерба признается средней, если в результате нарушения одного из свойств К, Ц, Д возможны умеренные негативные последствия и (или) ИС и (или) оператор не может выполнять хотя бы одну из своих функций;
Степень ущерба признается низкой, если в результате нарушения одного из свойств К, Ц, Д возможны незначительные негативные последствия и (или) ИС и (или) оператор может выполнять свои функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
Степень ущерба | |||
---|---|---|---|
Конфиденциальность | Целостность | Доступность | |
УЗ 1 | В | С/Н | С/Н |
УЗ 2 | С | С/Н | С/Н |
УЗ 3 | Н | Н | Н |
Уровень значимости информации | Масштаб информационной системы | ||
---|---|---|---|
Федеральный | Региональный | Объектовый | |
УЗ 1 | К1 | К1 | К1 |
УЗ 2 | К1 | К2 | К2 |
УЗ 3 | К2 | К3 | К3 |
В соответствии с пунктом 27 (Приказ ФСТЭК №17), должно быть обеспечено соответствующее соотношение класса защищенности ГИС с уровнем защищенности ПДн.
Уровень защищенности ПДн определяется на основании категории и количественных показателей персональных данных и типом актуальных угроз информации. Устанавливаются 4 уровня защищенности: - самый низкий – четвертый, самый высокий - первый уровень.
Определение уровня защищенности персональных данных приведено на рисунке:
Угрозы 1-го типа актуальны для ИСПДн, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в системе.
Угрозы 2-го типа актуальны для ИСПДн, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в системе.
Угрозы 3-го типа актуальны для ИСПДн, если для нее актуальны угрозы, не связанные с наличием НДВ в системном и прикладном программном обеспечении системы.
Программа проверки
В случае, если определенный в установленном порядке уровень защищенности ПДн выше, чем установленный класс защищенности ГИС, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Приказа №17.
Кроме того, проверяется выполнение следующих пунктов требований Приказа ФСТЭК России от 11 февраля 2013 г. №17:
Пункт 4: "Уполномоченное лицо (договором) обязано обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями."
Пункт 5: "При обработке в ГИС информации, содержащей ПДн, настоящие Требования применяются наряду с требованиями, утвержденных постановлением Правиьельства РФ №1119 – 2012г."
Пункт 9: "Для обеспечения ЗИ, оператором назначается структурное подразделение или работник, ответственные за ЗИ."
Пункт 10: При необходимости привлекаются организации, имеющие лицензию на деятельность по ТЗКИ.
Пункт 11: Применяются только сертифицированные средства защиты информации.
Пункт 14: Формирование требований к ЗИ осуществляется обладателем информации (заказчиком) и включает:
- принятие решения о необходимости защиты информации (Акт должностного лица);
- классификация ИС и ее сегментов (Акт классификации);
- разработка Модели угроз безопасности информации
- разработка Технического задания, в котором содержаться:
• перечень объектов защиты;
• требования к мерам и средствам ЗИ;
• стадии создания СЗИ;
• требования к поставляемым техническим системам, программному обеспечению, средствам защиты информации;
• функции заказчика и оператора по обеспечению безопасности информации в ИС;
• требования к обеспечивающей инфраструктуре;
• требования к информационному взаимодействию с иными информационными системами.
Пункт 15.2: Эксплуатационная документация на систему ЗИ.
Пункт 16.2: Организационно-распорядительные документы по ЗИ.
Пункт 17: Проектирование и аттестация должны проводиться разными должностными лицами.
Пункт 17.2: Программа и методика аттестационных испытаний. Начало обработки информации – после Аттестата и приказа о начале эксплуатации ИС.
Протоколы аттестационных испытаний, Заключение о соответствии ИС требованиям о ЗИ, Аттестат соответствия в случае положительных результатов аттестационных испытаний.
Пункт 17.3: Допускается аттестация ИС на основе результатов аттестационных испытаний выделенного набора сегментов ИС, реализующих полную технологию обработки информации.
Сегмент считается соответствующим аттестованному сегменту, если для обоих установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации.
Пункт 17.4: Повторная аттестация не может превышать 5 лет, или повышения класса защищенности ИС. При увеличении состава угроз безопасности информации или изменения проектных решений, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.
Пункт 17.5: Если ИС создается на базе ЦОД, такой ЦОД должен быть аттестован не ниже класса защищенности, установленного для создаваемой ИС.
Пункт 18.1: Администрирование СЗИ ИС:
- заведение и удаление, управление учетных записями;
- управление настройки ПО, восстановление работоспособности СрЗИ, генерация и смена паролей;
- установка обновлений ПО;
- регистрация событий безопасности;
- информирование пользователей об УБИ, о правилах эксплуатации СЗИ, а также их обучение;
- сопровождение эксплуатационной документации;
Пункт 18.2: Выявление инцидентов и реагирования на них:
- определение лиц, ответственных за выявление инцидентов и реагирование на них;
- обнаружение и идентификация, анализ инцидентов;
- восстановление ИС и ее сегментов;
- планирование и меры по предотвращению инцидентов.
Пункт 18.3: Поддержание конфигурации ИС в соответствии с эксплуатационной документацией;
- определение лиц, которым разрешено вносить изменения;
- анализ потенциального воздействия планируемых изменений на обеспечение защиты информации;
- принятие решения о повторной аттестации или проведении дополнительных аттестационных испытаний.
Пункт 18.4: Мониторинг защищенности информации:
- контроль за событиями безопасности и действиями пользователей в ИС;
- контроль (анализ) защищенности информации, содержащейся в информационной системе;
- периодический анализ изменения угроз безопасности информации;
Пункт 19: Архивирование информации, содержащейся в информационной системе; уничтожение данных с машинных носителей информации и (или) уничтожение машинных носителей информации.
Класс защищенности ИС | Потенциал нарушителя ст. 25 | Средства ЗИ (не ниже) ст. 26 | Средства ВТ (не ниже) ст. 26 | НДВ средств ЗИ (не ниже) ст. 26 | УЗ ПДн ст. 27 |
1 | высокий | 4 | 5 | 4 | 1,2,3,4 |
2 | не ниже усиленного базового | 5 | 5 | 4 | 2,3,4 |
3 | не ниже базового | 6 | 5 | 3,4 |
Документы, используемые для проверки:
- Копия документа о назначении должностного лица которое будет представлять интересы юридического лица на проверке;
- Учредительные документы организации;
- Копия уведомления о намерении осуществлять работу с ПДн;
- Список ПДн, собираемых и охраняемых организацией;
- Документ, определяющий отв. за организацию обработки ПДн
- Инструкции сотрудников, обрабатывают ПДн;
- Положение об ответственности работников за разглашение ПДн;
- Положения об особенностях обработки ПДн (обезличивании);
- Положения, касающиеся ИБ (антивирусаы, пароли);
- Соглашения о неразглашении ПДн;
- Бланки согласия граждан на обработку их персональных данных;
- Журналы инструктажей сотрудников по вопросам ИБ;
- Перечень сотрудников, допущенных к обработке ПДн;
- Документ, определяющие места хранения (размещения ) ПДн;
- Справка об обработке спец. и биометрических категорий ПДн;
- Справка об осуществлении трансграничной передачи ПДн;
- Порядок уничтожения ПДн;
- Порядок передачи ПДн третьим лицам;
- Типовая форма согласия на обработку ПДн;
- Порядок учета обращений субъектов ПДн;
- Перечень ИСПДн;
- Документы, регламентирующие резервирование данных в ИСПДн;
- Перечень используемых средств защиты информации;
- Матрица доступа;
- Модель угроз;
- Документ, определяющий уровни защищенности каждой ИСПДн;
- Журнал учета машинных носителей ПДн;
- Другие локальные акты оператора, регламентирующие порядок и условия обработки ПДн.
Основные недостатки, выявляемые при проверке модели угроз:
- Отсутствие структурно функциональных характеристик рассматриваемой системы;
- Неверное определение объектов защиты, таких как информационные технологии, защищаемая информация, технические средства, программное обеспечение, средства ЗИ;
- Рассматриваются не все угрозы, содержащиеся в базе данных угроз ФСТЭК и связанные с особенностями используемых технологий, особенно часто «забывают» гипервизор, среду виртуализации и облачные технологии;
- Отсутствует обоснование исключения из перечня актуальных отдельных угроз. Наличие системы защиты информации не является основанием исключения угроз из перечня актуальных;
- Не рассматриваются технические каналы утечки информации;
- Из перечня потенциальных нарушителей исключаются пользователи (в том числе и привилегированные);
- В случае наличия подключения к рассматриваемой ИС к иным ИС и информационно-телекоммуникационным сетям в качестве потенциального необходимо рассматривать внешнего нарушителя, а каналы взаимодействия этих систем – в качестве возможных каналов атак и утечки информации;
- Не верно оценивается вероятность реализации УБИ. Например, для «Угрозы внедрения кода или данных», «Угрозы обнаружения открытых портов и идентификации привязанных к нему сетевых служб»,«Угрозы приведения системы в состояние «отказ в обслуживании» и других вероятность реализации не может быть определена как «маловероятно»;
- Не верно оценивается опасность реализации УБИ. Например, для «Угрозы внедрения вредоносного кода в BIOS», «Угрозы изменения компонентов системы», «Угрозы повышения привилегий» и других опасность реализации не может быть определена как «низкая»;
- Не указываются класс защищенности ГИС и уровень защищенности ПДн при их обработке в ИСПДн;
- Сведения об УБИ (источники, описание, объект воздействия и т.д.) не соответствуют содержащимся в базе данных угроз ФСТЭК.
Помимо рассматриваемых регуляторов ПДн (Роскомнадзор, ФСБ России, ФСТЭК России) работники государственной инспекции труда могут проверить выполнение пункта 8 статьи 86 главы 14 Трудового Кодекса РФ «Защита ПДн работника», а именно:
«работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области».
Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.
Подготовка к проверкам регуляторов в области защиты ПДн
- Самое банальное - работа по обеспечению безопасности ПДн должна вестись на постоянной основе.
- Ознакомьтесь с графиком осуществления плановых проверок на сайте Управления Роскомнадзора - https://rkn.gov.ru/plan-and-reports/
- Посмотрите планы проверок за прошедшие годы, свяжитесь с прошедшими проверку, проконсультируйтесь с ними.
- Ознакомьтесь с положениями ФЗ РФ от 26.12.2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля и муниципального контроля» и регламентами регуляторов.
- Проанализируйте извещение Регулятора, проверьте упомянутые в нем документы. Обновите уведомление в Роскомнадзор.
- Проанализируйте политику в области обработки ПДн. Сделать скриншот с сайта, где она размещена.
- Проведите ревизию формуляров, сертификатов соответствия на СрЗИ, проверьте сроки, чтобы они были действующими и надлежащим образом заверенными.
- Составьте перечень имеющихся локальных нормативных актов по ЗИ (инструкции, регламенты, приказы, распоряжения).
- Актуализируйте организационно-распорядительную документацию (учредительные документы, приказы, положения, инструкции регламентирующие обработку ПДн, должностные инструкции), которые могут быть запрошены в рамках документарной или выездной проверки;
- Проверьте выполнение требования законодательства и регулятора в сфере обработки ПДн, за нарушение которых предусмотрена административная ответственность в соответствии со статьей 13.11 КоАП РФ.
Удачи!