Персональные данные: новый порядок действий оператора
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 17:07
Рассмотрим в текущей статье порядок действия оператора персональных данных по организации обработки и защиты персональных данных в соответствии с текущим новым законодательством. В частности, в соответствии со введением в нынешнем году ПП-1119 и Приказа ФСТЭК №21. Напомню также, что в соответствии с ПП-1119 переделывать старые согласованные (ФСТЭК) ИСПДн в новые не обязательно: обязательным это становится лишь для новых и реорганизованных ИСПДн.
Итак, перейдём к рассмотрению насущного и почти для всех уже злободневного вопроса: "как же всё-таки быть с этим 152-ым законом"?!
Основные нормативно-правовые документы, регулирующие деятельность по защите ПДн:
- 152-ФЗ «О персональных данных» (160-ФЗ «О ратификации Конвенции Совета Европы…», 261-ФЗ "О внесении изменений в 152-ФЗ");
- 99-ФЗ «О лицензировании отдельных видов деятельности»;
- ПП-1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн»
- ПП-211 от 21.03.12 «Об утверждении перечня мер <…> операторами, являющимися государственными или муниципальными органами»
- ПП-512 от 06.07.08 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн» (т.е. к коммерческим структурам не относится).
- Приказ №21 от 18.02.13 «Об утверждении состава содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн».
Нормативные документы ФСБ:
- Приказ №66 «Об утверждении положения о производстве, реализации и эксплуатации криптографических СЗИ»
- Приказ №149 «Типовые требования» (по КС)
- «Методические рекомендации по обеспечению с помощью КС безопасности ПДн»
Порядок действий оператора персональных данных:
- Утвердить (документально) группу по сбору и анализу текущей информаци, а также по проведению последующей классификации ИСПДн и составления модели угроз. Определить класс (теперь класс – условное понятие) системы в соответствии с нижеследующими типами:
- ИСПДн, обрабатывающие биометрию;
- ИСПДн, обрабатывающие общедоступные ПДн;
- ИСПДн сотрудников оператора;
- ИСПДн, обрабатывающие иные категории персональных данных.
- На основе соответствующей деятельности оператора отраслевой модели угроз разработать отдельным документом собственную модель актуальных угроз через вычёркивание неактуальных угроз (как того требует ФСТЭК). В перечень актуальных угроз должны быть включены соответствующие требование из отраслевой модели.
- Определить необходимый уровень защищённости ИСПДн (от 1 до 3) в соответствии с ПП-1119 и исходя из потенциального вреда данных угроз и созданной на предыдущем этапе моделью актуальных угроз. Сильное облегчение данного этапа можно получить, воспользовавшись созданной добрыми людьми схемой: Схема определения необходимого уровня защищённости ИСПДн.
- Разработать комплексный проект СЗИ с учётом требований 152-ФЗ, ПП-1119 и Приказа №21 (куда в обязательном порядке входит, в частности, следующее: требования ПП-512 о хранении и защите материальных носителей, содержащих биометрию, либо (!) существующих вне ИСПДн; систему резервирования; подсистему регистрации и учёта; полно составленную действующую модель актуальных угроз). Проект должен учитывать требования преимущественно ПП-1119 и Приказа №21 по соответствующему уровню защищённости ИСПДн.
Примерный порядок проектирования СЗИ в ИСПДн (в соответствии с приказом №21): -
- Выбор базового набора защитных мер в зависимости от определённого ранее уровня защищённости ИСПДн (обязательно строгое соответствие);
- Адаптация выбранного базового набора к конкретной ИСПДн в зависимости от структурно-функциональных характеристик и приоритетной задачей (ми) защиты (то есть манипуляции с базовым набором всё-таки возможны и сократить расходы на меры защиты этот пункт поможет существенно).
- Дополнение базового набора мер своими, если того требует ситуация ( комментарии с позиции расходов излишни).
- Собрать со всех субъектов ПДн согласие на обработку персональных данных в письменной форме или электронной форме с подтверждение электронной подписью (ЭП). В принципе, реальная судебная практика показывает, что подтверждение можно получать и любым другим способом, гарантирующим его подлинность (например, через направление смс-кода).
- Разработать внутренний документ, содержащий правила и политику обработки персональных данных, в который включить перечень допущенных к обработке ПДн лиц и их права. Предусмотреть в ИСПДн характеристику "подотчётности" (вести учёт).
Иметь лицензию на осуществление деятельности по ТЗКИ теперь не обязательно, но иногда очень полезно. В частности, лицензия даст возможность проводить собственные экспертные оценки, через которые многие меры защиты можно признать необязательными или неактуальными в силу отсутствия того или иного типа угроз. Тем самым можно снизить уровень типа актуальных угроз ИСПДн и соответственно, - требуемый уровень защищённости всей ИСПДн. Подробно я всё это описал в отдельной статье о лицензировании деятельности по ТЗКИ.
Таким образом, мы определили чёткий порядок действий оператора персональных данных, который уже был успешно опробован в реальной практике большой коммерческой организации и сомнений не вызывает.
О новых особенностях, возникающих в процессе работы с персональными данными в 2015 году, я недавно написал вот здесь. Рекомендую всем ознакомиться.
С уважением,
Лысяк Александр