Лаборатория информационной безопасности

Персональные данные: новый порядок действий оператора

Рейтинг:   / 2
ПлохоОтлично 
Подробности
Категория: Юридические вопросы ИБ
Дата публикации: 19.07.2013 17:07

152-ФЗ. Персональные данные.Рассмотрим в текущей статье порядок действия оператора персональных данных по организации обработки и защиты персональных данных в соответствии с текущим новым законодательством. В частности, в соответствии со введением в нынешнем году ПП-1119 и Приказа ФСТЭК  №21. Напомню также, что в соответствии с ПП-1119 переделывать старые согласованные (ФСТЭК) ИСПДн в новые не обязательно: обязательным это становится лишь для новых и реорганизованных ИСПДн.

Итак, перейдём к рассмотрению насущного и почти для всех уже злободневного вопроса: "как же всё-таки быть с этим 152-ым законом"?!

 Основные нормативно-правовые документы, регулирующие деятельность по защите ПДн:

  • 152-ФЗ «О персональных данных» (160-ФЗ «О ратификации Конвенции Совета Европы…», 261-ФЗ "О внесении изменений в 152-ФЗ");
  • 99-ФЗ «О лицензировании отдельных видов деятельности»;
  • ПП-1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн»
  • ПП-211 от 21.03.12 «Об утверждении перечня мер <…> операторами, являющимися государственными или муниципальными органами»
  • ПП-512 от 06.07.08 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн» (т.е. к коммерческим структурам не относится).
  • Приказ №21 от 18.02.13 «Об утверждении состава содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн».

Нормативные документы ФСБ:

  • Приказ №66 «Об утверждении положения о производстве, реализации и эксплуатации криптографических СЗИ»
  • Приказ №149 «Типовые требования» (по КС)
  • «Методические рекомендации по обеспечению с помощью КС безопасности ПДн»

Порядок действий оператора персональных данных:

    1. Утвердить (документально) группу по сбору и анализу текущей информаци, а также по проведению последующей классификации ИСПДн и составления модели угроз. Определить класс (теперь класс – условное понятие) системы в соответствии с нижеследующими типами:
      • ИСПДн, обрабатывающие биометрию;
      • ИСПДн, обрабатывающие общедоступные ПДн;
      • ИСПДн сотрудников оператора;
      • ИСПДн, обрабатывающие иные категории персональных данных.
    2. На основе соответствующей деятельности оператора отраслевой модели угроз разработать отдельным документом собственную модель актуальных угроз через вычёркивание неактуальных угроз (как того требует ФСТЭК). В перечень актуальных угроз должны быть включены соответствующие требование из отраслевой модели.
    3. Определить необходимый уровень защищённости ИСПДн (от 1 до 3) в соответствии с ПП-1119 и исходя из потенциального вреда данных угроз и созданной на предыдущем этапе моделью актуальных угроз. Сильное облегчение данного этапа можно получить, воспользовавшись созданной добрыми людьми схемой: Схема определения необходимого уровня защищённости ИСПДн.
    4. Разработать комплексный проект СЗИ с учётом требований 152-ФЗ, ПП-1119 и Приказа №21 (куда в обязательном порядке входит, в частности, следующее: требования ПП-512 о хранении и защите материальных носителей, содержащих биометрию, либо (!) существующих вне ИСПДн; систему резервирования; подсистему регистрации и учёта; полно составленную действующую модель актуальных угроз). Проект должен учитывать требования преимущественно ПП-1119 и Приказа №21 по соответствующему уровню защищённости ИСПДн.
      Примерный порядок проектирования СЗИ в ИСПДн (в соответствии с приказом №21):
      • Выбор базового набора защитных мер в зависимости от определённого ранее уровня защищённости ИСПДн (обязательно строгое соответствие);
      • Адаптация выбранного базового набора к конкретной ИСПДн в зависимости от структурно-функциональных характеристик и приоритетной задачей (ми) защиты (то есть манипуляции с базовым набором всё-таки возможны и сократить расходы на меры защиты этот пункт поможет существенно).
      • Дополнение базового набора мер своими, если того требует ситуация ( комментарии с позиции расходов излишни).
    6. Собрать со всех субъектов ПДн согласие на обработку персональных данных в письменной форме или электронной форме с подтверждение электронной подписью (ЭП). В принципе, реальная судебная практика показывает, что подтверждение можно получать и любым другим способом, гарантирующим его подлинность (например, через направление смс-кода).
    7. Разработать внутренний документ, содержащий правила и политику обработки персональных данных, в который включить перечень допущенных к обработке ПДн лиц и их права. Предусмотреть в ИСПДн характеристику "подотчётности" (вести учёт).

Иметь лицензию на осуществление деятельности по ТЗКИ теперь не обязательно, но иногда очень полезно. В частности, лицензия даст возможность проводить собственные экспертные оценки, через которые многие меры защиты можно признать необязательными или неактуальными в силу отсутствия того или иного типа угроз. Тем самым можно снизить уровень типа актуальных угроз ИСПДн и соответственно, - требуемый уровень защищённости всей ИСПДн. Подробно я всё это описал в отдельной статье о лицензировании деятельности по ТЗКИ.

Таким образом, мы определили чёткий порядок действий оператора персональных данных, который уже был успешно опробован в реальной практике большой коммерческой организации и сомнений не вызывает.

О новых особенностях, возникающих в процессе работы с персональными данными в 2015 году, я недавно написал вот здесь. Рекомендую всем ознакомиться.

С уважением,
Лысяк Александр

Понравилась статья? Хотите читать этот блог?

Ваш e-mail: *

Ваше имя: *

You have no rights to post comments

Вы здесь: Home Юридические вопросы Юр. безопасность Персональные данные: как было раньше - как теперь

Сделано Accemt Corp. InfoSecurity Lab ©