Методические рекомендации по защите персональных данных при их обработке в информационных системах персональных данных

 

Методические рекомендации по защите персональных данных  при их обработке в информационных системах персональных данных (далее – Рекомендации) разработаны в соответствии пункта 3 части 1 статьи 18.1 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».

Настоящие Рекомендации разработаны в соответствии с требованиями нормативных правовых актов:

• Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее – Закон №152-ФЗ);
• Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. №1119 (далее – ПП РФ №1119);
• Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 г. №21 (далее – приказ ФСТЭК России №21);
• Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России 14.02.2008 г. (далее – Методика ФСТЭК России);
• Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка), утвержденная ФСТЭК России 15.02.2008 г. (далее – Базовая модель угроз ФСТЭК России).

Настоящие Рекомендации не распространяются на обработку персональных данных, содержащих сведения, составляющих государственную тайну.

Обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных

Оператор персональных данных при обработке персональных данных в информационной системе персональных данных (далее - ИСПДн) обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного
или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Оператор персональных данных в своих структурных подразделениях определяет используемые ИСПДн и утверждает перечень ИСПДн.

Оператор персональных данных организует защиту персональных данных при их обработке в ИСПДн путем издания приказа (распоряжения).

Обеспечение безопасности персональных данных достигается, в частности:

• определением угроз безопасности персональных данных при их обработке в ИСПДн;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные ПП РФ №1119 уровни защищенности персональных данных;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
• учетом МНИ;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.

Определение угроз безопасности персональных данных при их обработке в ИСПДн

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИСПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
 

Определение типа угроз безопасности персональных данных, актуальных для ИСПДн, осуществляется в Частной модели угроз для каждой ИСПДн в соответствии с требованиями Базовой модели угроз ФСТЭК России и Методики ФСТЭК России

Определение уровня защищенности персональных данных

Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в ИСПДн.
 

При обработке персональных данных в ИСПДн устанавливаются 4 уровня защищенности персональных данных (УЗ).

 

Определение уровня защищенности персональных данных в ИСПДн, определяется актом установки уровня защищенности ИСПДн.

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн

 

Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, копирования, предоставления или распространения персональных данных (обеспечение конфиденциальности персональных данных), уничтожения или изменения (обеспечение целостности персональных данных), блокирования (обеспечение доступности персональных данных), а также от иных неправомерных действий в отношении персональных данных.

Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с требованиями ПП РФ №1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита МНИ, на которых хранятся и (или) обрабатываются персональные данные;
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности ИСПДн и персональных данных;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита ИСПДн, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
• управление конфигурацией ИСПДн и системы защиты персональных данных.

 

В ИСПДн соответствующего уровня защищенности персональных данных в рамках ее системы защиты персональных данных должен быть реализован дополненный уточненный адаптированный базовый набор мер, который утверждается оператором персональных данных. 

 

Защита персональных данных осуществляется в соответствии Инструкцией по защите персональных данных в ИСПДн, которая утверждается оператором персональных данных. 

Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации

Выбор средств защиты информации для системы защиты персональных данных осуществляется в соответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России.

Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.

Контроль и надзор по защите персональных данных при их обработке в ИСПДн

Роскомнадзор осуществляет контроль и надзор за соответствием обработки персональных данных требованиям Закона №152-ФЗ.

ФСБ России и ФСТЭК России по решению Правительства Российской Федерации осуществляют контроль за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн без права ознакомления
с персональными данными, обрабатываемыми в ИСПДн.

Оператор персональных данных не реже 1 раза в 3 года проводят оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных, а также контроль за выполнением требований ПП РФ №1119, с оформлением акта оценки эффективности принимаемых мер по обеспечению безопасности персональных данных в ИСПДн.

Лицо, ответственное за организацию обработки персональных данных, осуществляет внутренний контроль за соблюдением требований к защите персональных данных.

Методические рекомендации по защите персональных данных  при их обработке в информационных системах персональных данных [скачать]

Приложения:

• Перечень информационных систем персональных данных
• Приказ об организации защиты персональных данных при их обработке в информационной системе персональных данных
• Частная модель угроз безопасности персональных данных информационной система персональных данных
• Акт установки уровня защищенности персональных данных в информационной системе персональных данных
• Перечень лиц, имеющих право доступа в помещения, где размещена информационная система персональных данных
• Перечень лиц, доступ которых к персональным данным, обрабатываемых в информационной системе персональных данных, необходим для выполнения ими трудовых обязанностей
• Меры по обеспечению безопасности персональных данных в информационной системе персональных данных 4-го уровня защищенности персональных данных
• Акт оценки эффективности принимаемых мер по обеспечению безопасности персональных данных в информационной системе персональных данных
• Приказ о вводе в эксплуатацию и разрешении обработки персональных данных в информационной системе персональных данных