- Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать
- Обеспечить защиту данных
- Что будет, если не защитить данные
- Публичные документы: их показываем тем, у кого берем персональные данные
- Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными
- Что будет, если не разработать документы
- Уведомить Роскомнадзор
- Что будет, если не отправить уведомление
- Получать согласие на хранение и обработку персональных данных
- Что будет, если не спрашивать разрешения
- Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ
- Департамент защиты персональных данных – прислал письмо: что это такое?
- Почему пришло такое письмо
- Как отличить официальное письмо от фальшивого
- Отзывы
- Заключение
- Как нас проверял РОСКОМНАДЗОР: переживания и неожиданный итог
- К нам придет роскомнадзор
- Неожиданное подспорье
- Первая встреча с сотрудниками Роcкомнадзора
- Вторая встреча с сотрудниками Роcкомнадзора
- Что проверяли? Как проверяли?
- Последнее посещение Роcкомнадзора
- Что в итоге?
- Сертификация систем защиты персональных данных, сертификация СЗИ, аттестация и сертификат соответствия ФСТЭК
- Сертификация средств защиты персональных данных по 152-ФЗ
- Сертификат соответствия ФСТЭК
- Аттестация систем персональных данных
- Выполнение требований 152-ФЗ, инструкция
- Нормативная база
- Гис или не гис
- Актуальные угрозы ИБ
- Уровень защищенности ИСПДн
- Класс ГИС
- Базовый набор мер
- Адаптированный набор мер
- Дополненный набор мер
- Система защиты информации
- Аттестация
- Что в итоге
- А что потом?
Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать
В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов.
Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.
Обеспечить защиту данных
Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:
- Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
- Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
- Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
- Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки, то можно получить на него сертификат самостоятельно.
Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.
Если вы храните данные в облаке от Mail.ru Cloud Solutions, часть требований выполняем мы. Например, защищаем серверы или собираем информацию о событиях безопасности. Еще мы поможем построить систему защиты данных по требованиям ФСТЭК и аттестовать ваше ПО по требованиям закона.
Что будет, если не защитить данные
Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:
- Физлицо — на 700–2000 рублей.
- Должностное лицо — на 4 000–10 000 рублей.
- ИП — на 10 000–20 000 рублей.
- Юрлицо — на 25 000–50 000 рублей.
Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.
Публичные документы: их показываем тем, у кого берем персональные данные
Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.
Образец согласия на обработку персональных данных. Источник
Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.
Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.
Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».
Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».
Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.
Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными
Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.
Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.
Образец приказа о назначении ответственного за персональные данные. Источник
Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.
Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.
Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.
Что будет, если не разработать документы
Можно получить сразу два штрафа:
- За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
- За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.
Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.
Уведомить Роскомнадзор
Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.
Отправить уведомление можно онлайн, на сайте Роскомнадзора.
Что будет, если не отправить уведомление
Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:
- 100–500 рублей для физлиц
- 300–500 рублей для должностных лиц.
- 3 000—5 000 рублей для юрлиц.
Получать согласие на хранение и обработку персональных данных
Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.
Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.
По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.
Получить согласие можно двумя способами:
- Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
- Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.
Что будет, если не спрашивать разрешения
За это нарушение положен большой штраф:
- 3 000–5 000 рублей для физлиц.
- 10 000–20 000 рублей для должностных лиц и ИП.
- 15 000–75 000 рублей для юрлиц.
Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ
- Обеспечить защиту данных: установить антивирус, предотвратить доступ к данным посторонних.
- Разработать пакет документов: соглашение об обработке, политику конфиденциальности, модель угроз.
- Назначить ответственного за обработку персональных данных и составить список тех, кто имеет доступ к данным.
- Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.
- Подготовить форму согласия на обработку персональных данных и получать согласие от каждого человека, чьи данные вы собираете.
Елена Шпрингер
Источник: https://mcs.mail.ru/blog/kak-vypolnit-152-fz-o-zashchite-personalnyh-dannyh
Читать по теме:Защита персональных данных в облаке: как сделать все по закону 152-ФЗСоблюдение законов о персональных данныхКибербезопасность в B2B: как бизнесу защититься от хакеров
Источник: https://zen.yandex.ru/media/mcs/kak-vypolnit-152fz-o-zascite-personalnyh-dannyh-i-chto-s-vami-budet-esli-ego-ne-sobliudat-5ec6e5b0cdaa790dc5daa1e1
Департамент защиты персональных данных – прислал письмо: что это такое?
Начиная с 2021 года в сети появилась масса отзывов от людей, которым пришло письмо от «Департамента защиты персональных данных» с требованием сообщить ряд персональных данных. Подобные рассылки осуществляются мошенниками, поэтому стоит проявлять предельную внимательность перед тем, как передавать кому-либо конфиденциальную информацию.
Почему пришло такое письмо
На текущий момент Роскомнадзором и Росконтролем не проводится подобных массовых рассылок. Поэтому письмо от Департамента по защите персональных данных является «фейковым» и содержит фальшивые данные. цель такой корреспонденции – заработок денег на растерявшихся получателях. Основная суть писем сводится к следующему:
- Мошенники, представляясь сотрудниками Роскомнадзора либо Росконтроля, делают запрос на предоставление документации, которая дает право организации обрабатывать персональные данные клиентов.
- В тексте содержатся «угрожающие дописки» о том, что при отказе предоставить требующуюся информацию с ИП или организации будут взысканы штрафные санкции согласно федеральному закону, регулирующему использование и обработку персональных данных (№152 Ф3).
В подобной ситуации получателю уведомления стоит внимательно ознакомиться с источником или обратиться к юристу для консультации.
За отдельную плату можно заказать сопровождение документации с последующим внесением в реестры Роскомнадзора.
На первый взгляд заподозрить «развод» в пришедшем письме довольно непросто, поскольку оно оформляется должным образом и содержит отсылки к действующим законам.
Не рекомендуется переходить по ссылкам, которые указаны в подобных письмах и вступать в переписку с отправителями.
Индивидуальные предприниматели, организации и физические лица не нуждаются в посредниках для того, чтобы подавать данные в Роскомнадзор. Достаточно воспользоваться специальной страницей, предназначенной для поиска операторов pd.rkn.gov.
ru/operators-registry. Потребуется указать название организации, регистрационный номер и ИНН, после чего кликнуть по клавише «Найти».
Как отличить официальное письмо от фальшивого
Выполнять проверку присылаемой третьими лицами информации следует каждый раз, поскольку она может исходить от мошенников. «Система добровольной сертификации Росконтроля» не предназначена для оповещения граждан. Задача информирования возложена на другие ведомства. При получении письма необходимо обратить внимание на следующие моменты:
- Официальные уведомления всегда содержат ссылки на веб-ресурсы и контактные телефоны для связи.
- Росконтроль и РКН никогда не используют СМС-рассылки и электронную почту для оповещения физических и юридических лиц о каких-либо платных услугах.
- Согласно действующему законодательству, письма от государственных ведомств рассылаются только по будним и рабочим дням.
Задать свой вопрос, связанный с получением подобных писем, можно обратившись в Роскомнадзор по официальным контактам. Электронная почта: postbox@rkn.moscow или notify@rkn.moscow. Официальный сайт Роскомнадзора – rkn.gov.ru. Почтовые серверы, доменные имена которых отличаются от ресурсов, используемых РКН, скорей всего принадлежат мошенникам и используются для обмана граждан.
Отзывы
Получил на почту письмо якобы от Роскомнадзора с требованием предоставить ряд персональных данных для обработки. Все было оформлено подобающим образом так, чтобы рядовой пользователь не заподозрил подвоха.
Однако, когда я вбил контактный e-mail, то обнаружил в сети немало отзывов о мошенниках, выманивающих конфиденциальную информацию у доверчивых граждан под видом государственных структур.
Всегда внимательно проверяйте источник корреспонденции перед тем, как предоставлять кому-либо свои персональные данные.
Владимир, Мытищи
Прислали мне недавно письмо от имени Росконтроля, в котором шла речь о внесении в государственный реестр и перечне необходимых для этого документов.
[attention type=yellow]Перешел по указанному адресу и попал на какой-то сомнительный сайт с формой для ввода личных данных.
[/attention]Написал в службу поддержки Росконтроля и через пару часов получил ответ, что этот ресурс не имеет к ним никакого отношения, и вообще они не занимаются рассылкой подобных писем.
Дмитрий, Московская область
Заключение
Если пришло письмо, отправителем которого заявлен «Департамент защиты персональных данных», не стоит переходить по указанным в нем адресам и вступать в переписку. Подобные рассылки делают мошенники с целью завладеть конфиденциальной информацией юридических и физических лиц. В случае получения такой корреспонденции стоит обратиться в Роскомнадзор с жалобой на злоумышленников.
Источник: https://HelpsHub.ru/departament-zaschity-personalnyh-dannyh/
Как нас проверял РОСКОМНАДЗОР: переживания и неожиданный итог
Что такое Роcкомнадзор?
Роcкомнадзор (Официальный сайт: https://rkn.gov.ru/) – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
В задачи службы входят надзор за соблюдением Российского законодательства в сфере связи, информационных технологий и СМИ, а также надзор по защите персональных данных.
Иногда Роcкомнадзор осуществляет выездные проверки организаций. Так дошло и до учреждения, в котором я работал.
К нам придет роскомнадзор
Роcкомнадзор на официальном сайте размещает план проверок на год. Так мы узнали, что нас будут проверять.
Когда узнали – уволилась начальник отела кадров. Назначили нового. А меня (начальник отдела информационных технологий) дали ей в помощь. Теперь начальник отдела кадров отвечала за организацию, хранение и обработку персональных данных, а мне вменили ответственность за информационные системы персональных данных (ИСПДН).
Мы с отделом кадров изучили законодательство, методические рекомендации, посмотрели опыт проверок и впали в депрессию. В организации никто не занимался учетом законов о персональных данных. Не было никаких согласий, регламентов, распорядков, инструкций – ничего.
Мы попытались сделать документы на основе тех, что были в других организациях, прошедших проверку. Но один и тот же документ в двух однотипных организациях выглядел по-разному. Чем больше мы вникали – тем больше у нас возникало вопросов.
Ближе к проверке нам прислали перечень главных пунктов, на которые ориентируются проверяющие. Это немного помогло понять какие-то базовые вещи. Но в принципе проблему подготовки не решало.
Неожиданное подспорье
За пару недель до проверки с нами связалась компания, которая занимается подготовкой документов для соответствия требованиям закона №152-ФЗ «О персональных данных» и прохождения проверок Роcкомнадзора. Как впоследствии оказалось, такие компании отслеживают план проверок на сайте Роcкомнадзора и предлагают услуги тем, кто в этой «очереди».
Мы согласились. Другого выхода не было. Оплатили доступ в сервис, внесли данные организации, ответственных и т.д. На выходе получили перечень документов (всего около 30 документов).
Первая встреча с сотрудниками Роcкомнадзора
Пришли 2 мужчины. Рассказали о том, как будет проходить процедура проверки. В общем, вся проверка должна была проходить в течение месяца или около того. Смотреть будут документы (перечень указали), беседовать с сотрудниками. Если будут проблемы, то дадут время на исправление. Но все в течение 1 месяца.
По сути, первая встреча была консультационной. Мы задали некоторые организационные вопросы. Кое-что сто из содержательной части. То, что решились спросить.
Вторая встреча с сотрудниками Роcкомнадзора
Второй раз к нам пришли через неделю. За это время проверяющие изучили наши сайты, информационные системы. Ко времени второго прихода мы сделали новый вариант документов, провели учебу с сотрудниками. Мы с кадровичкой были уже подкованными в области работы с персональными данными. По крайней мере – в сравнении с другими сотрудниками.
Что проверяли? Как проверяли?
Один специалист Роскомнадзора принялся изучать документы. А второй пошел беседовать с сотрудниками нашей организации. Я сопровождал гостя.
Первым делом зашли в бухгалтерию. Задал вопросы о том, где хранятся базы данных с персональными данными сотрудниками, как к ним осуществляется доступ, и кто за что отвечает. Я ответил на все интересующие вопросы.
У главного бухгалтера спросили, поздравляет ли организация пенсионеров, дарит ли подарки, деньги на праздник? Главный бухгалтер гордо ответила «Да, конечно, мы помним о наших ветеранах!». И это был «залет». Суть претензии по ветеранам – люди уволились, а персональные данные обрабатываются… Какие основания?
[attention type=red]Дальше зашли к завхозу и ответственному за технику безопасности. Про это мы даже и не думали. У них поинтересовались, покупается ли спец. одежда для разнорабочих? Здесь тоже гордо ответили «Да», показали журнал с данными по закупкам, по размерам одежды. И это тоже был залет. Не было согласий, условий хранения этих биометрических ПД (персональных данных).
[/attention]В общем, куда ни заходил проверяющий – везде находил серьезные проблемы или хотя бы недочеты. А я-то изначально думал, что мы классно подготовились за последнюю неделю! Теперь думал уже о худшем, о многотысячных штрафах, об административной ответственности.
Но нам дали шанс – 2 недели, чтобы все исправить. В том числе и документы, в которых нашли много недочетов.
Последнее посещение Роcкомнадзора
Мы все исправили. В следующий, последний раз – никуда не ходили. Посмотрели исправленные документы. Дали рекомендации, советы. Мы еще задали интересующие вопросы. А также пригласили проверяющего провести беседу с сотрудниками организации.
Что в итоге?
Проверку мы прошли. Никаких официальных претензий, штрафов нам предъявлено не было. Специалист из Роскомнадзора провел, как и обещал, беседу с сотрудниками.
Вопросы по большей части были личные, о том, как вести себя в банке, магазине, как избавить от навязчивых телефонных звонков, на что обратить внимание при работе в Интернет, при регистрации на различных сайтах и сервисах. Профессионал ответил на все вопросы.
Мы готовились к худшему, а получилось все очень даже неплохо!
Я сделал для себя некоторые выводы по результатам проверки Роскомнадзора. Самый важный такой:
Докопаться можно до чего угодно. Но если при проверках ставить во главу угла не штрафы и наказания, а повышение уровня понимания сути законов, выполнение которых проверяется, то будет качественный результат.
И для проверяющих – у них будут организации, где люди разбираются и не нарушают закон. И для самих организаций – они будут знать не только законы, но и понимать в деталях – для чего эти законы создаются.
И это касается любых проверок!
Если понравился материал, то не забудьте кликнуть «палец вверх». Не возражаю, если поделитесь публикацией в соц. сетях.
Подписывайтесь на канал, будет еще много интересного и полезного.
Источник: https://zen.yandex.com/media/self_employed/kak-nas-proverial-roskomnadzor-perejivaniia-i-neojidannyi-itog-5c77b4d88964fb00b3c75b39
Сертификация систем защиты персональных данных, сертификация СЗИ, аттестация и сертификат соответствия ФСТЭК
Вопрос сертификации защиты персональных данных на уровне ФСТЭК и ФСБ РФ не имеет однозначного решения: контролирующие органы ориентируются во многом на собственное видение безопасности.
В целом, систему защиты информации (СЗИ) представляют как совокупность организационных мер и программно-технических средств.
Целью СЗИ является предотвращение или серьезное затруднение несанкционированного доступа.
С организационной точки зрения допускается деление деление рисков на недопустимые и допустимые – но оно условно, зависит от многих факторов: размеров компании, ее известности, способов обработки персональных данных, репутации, политики взаимодействия с клиентами. Наиболее сильным риск является для организаций, которые поддерживают сайты с персональными данными либо формами для их регистрации, проводят массированные е-mail рассылки, ведут агрессивные рекламные кампании.
Обеспечение сохранности данных для различных предприятий зависят от масштабов работы, финансовых и производственных возможностей, а также от количества сведений, нуждающихся в охране. Определение рисков и мер защиты должно базироваться на принципах достаточности и разумности.
Сертификация на соответствие защиты персональных данных представляет собой совокупность действий, нацеленных на подтверждение основных и дополнительных параметров услуг, систем или продуктов требованиям выработанных актов и стандартов.
[attention type=green]Учитывая то, что безопасность относится к разряду социализированных областей, завязана на человеческий фактор и информационные технологии, она не может быть всеобъемлющей.
[/attention]Утечка или утрата персональных данных автоматически признается виной оператора связи.
Департамент защиты персональных данных системы сертификации Росконтроля проводит мониторинг всех российских организаций, независимо от формы собственности, являющихся операторами связи, предъявляя к ним ряд требований по организации адекватной защиты.
Сертификация средств защиты персональных данных по 152-ФЗ
Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.
Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:
- Подготовить уникальный портфель документов, включающий акты, приказы, инструкции и т.д.
- Опубликовать документ – политику, с описанием способов работы с персональных данных.
- Подать уведомление в Роскомнадзор.
Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов — Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.
Порядок работ по методике, утвержденной ФСТЭК, выглядит так:
- Проводится обследование информационной системы персональных данных (ИСПДн).
- Проектируется система защиты.
- Внедряется система, защищающая информацию.
- Оценивается эффективность всех предпринятых шагов, по результатам которых принимается решение о соответствии.
Стоимость сертификации в соответствии с 152-ФЗ складывается из:
- Наличия подключения к сети Интернет.
- Количества компьютеров.
- Наличия сервера или общей сети.
- Техподдержки.
- Юридического сопровождения.
Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.
Сертификат соответствия ФСТЭК
Система сертификации персональных данных ФСТЭК России отвечает за некриптографическую защиту информации, препятствуя несанкционированному доступу к ней или «слитию» ее по техническим каналам связи.
Служба организует сертификацию и контролирует «верхний уровень». Все остальные работы ложатся на лицензиаров в лице лабораторий-испытателей ПО и экспертных организаций.
Клиент самостоятельно выбирает лабораторию, а ФСТЭК создает экспертную комиссию.
Процесс сертификации программ обработки персональных данных ФСТЭК осуществляется сходных образом, с привлечением института заявителей.
Взаимодействуя с лабораториями и экспертами, они сравнивают продаваемые версии продукта с сертифицированным образцом-эталоном.
В среднем время аттестации ИСПДн занимает от полугода или больше, все зависит от ее уровня и категорийности – чем выше степень, тем больше требований к безопасности предъявляется.
Сертификация программных продуктов в соответствии с законом «О персональных данных» ставит своей целью контроль над информацией, обеспечивающей национальную безопасность. Поэтому все программное обеспечение, поставляемое на рынок и используемое в построении ключевых зон информационной структуры, должно соответствовать жестким требованиям.
Уже готовые сертификаты для работы с персональными данными имеют семейство операционных систем Linux, сетевое оборудование от IT-корпорации Cisco, реляционная СУБД Sybase ASE, продукция 1С.
Аттестация систем персональных данных
Проведение аттестации информационных систем персональных данных – дорогое удовольствие, поэтому часть операторов ПДн старается всеми силами избежать этой процедуры.
Она является обязательной для государственных ИСПДн, накладывая на операторов ряд обязательств. Для негосударственных предприятий аттестат требуется в случае подтверждения должного уровня защиты, поэтому процедура может проходит в добровольном порядке.
Соответствующая документация получается в территориальном отделении ФСТЭКа.
Процедура производится лицензированными на проведение технической защиты организациями. Аттестационная комиссия состоит из специалистов информационной безопасности и экспертов.
[attention type=yellow]В ее задачу входит проведение оценки соответствия всех мер, технических и организационных, с последующими испытаниями всех программных и технических средств, направленных на защиту ПДн. По результатам оценки выдается либо аттестат, либо предписание с перечнем обязательных к устранению недостатков.
[/attention]В целях экономии времени и средств, подготовку к аттестации лучше доверить имеющим опыт аналогичной работы организациям.
Аттестация многоэтапна и требует строжайшего документирования, при этом ее методология одинакова как для компьютера, так и для рабочих места по защите персональных данных. Зато по факту получается полноценная система защиты информации. Следование алгоритму сертификации, все операторы ПДн принимают участие в выработке максимальной защиты ИС.
После введения системы защиты в эксплуатацию, не стоит забывать об изменчивости технологий. Спустя некоторое время могут возникнуть новые угрозы и риски, поэтому для поддержания работоспособности и защищенности информации рекомендуется устраивать аудит информационной безопасности ежегодно.
Источник: https://integrus.ru/blog/it-decisions/sertifikatsiya-sistem-zashhity-personalnyh-dannyh.html
Выполнение требований 152-ФЗ, инструкция
Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся.
Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается.
Каждый из этих подходов имеет свои недостатки.
Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.
При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью.
Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной.
Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.
Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.
Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.
Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.
Нормативная база
Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.
Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.
Разберем порядок действий на отдельно взятой информационной системе.
Гис или не гис
Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.
Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».
Актуальные угрозы ИБ
Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:
- По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
- Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
- На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
- Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
- На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.
Уровень защищенности ИСПДн
Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:
- связанные с наличием недекларированных возможностей в системном программном обеспечении;
- связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
- не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.
Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.
Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:
- специальные;
- биометрические;
- общедоступные;
- иные.
В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.
Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:
- до 100 тысяч;
- более 100 тысяч;
- ПДн сотрудников Оператора (без привязки по объему).
На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.
Для Определения УЗ можно воспользоваться специальной таблицей:
Класс ГИС
Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.
Для этого определяются дополнительные к предыдущему разделу показатели:
- Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
- Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.
На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.
Базовый набор мер
После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.
Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.
Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.
В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.
Адаптированный набор мер
Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.
Дополненный набор мер
Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.
Система защиты информации
В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.
Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.
Для ГИС применяются только сертифицированные средства защиты информации.
Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации.
[attention type=red]Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги.
[/attention]При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.
Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.
Заказать услугу
Аттестация
После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.
Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.
Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.
Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.
Заказать услугу
Что в итоге
В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.
Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.
А что потом?
Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы.
Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны.
Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.
Удачи на пути создания собственной эффективной системы защиты информации.
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Источник: https://kontur.ru/articles/1763