вторник, 18 июня 2013 г.

Акт определения уровня защищенности ПДн при их обработке в ИСПДн

В данном посте хотелось бы осветить  такой документ, как Акт определения уровня защищенности ПДн при их обработке в ИСПДн. Это, если можно так сказать, перерождение Акта классификации ИСПДн. Основной камень преткновения, который я встретил, это не совсем понятная картина в том, что является законодательным  инструментом в написании данного акта. Дело в том, что ранее этот акт классификации ИСПДн писался на основании приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», который и утверждает порядок классификации. Но издан этот приказ в соответствии с пунктом 6  Постановления Правительства №781 от 17 ноября 2007 г., которое утратило силу в связи с выходом Постановления Правительства № 1119 от 1 ноября 2012. Таким образом, приказ действующий, а вышестоящий документ – нет. В свою очередь в ПП 1119 нет привязки к категории ИСПДн, однако есть привязка к уровню защищенности персональных данных, который должен быть обеспечен при их обработке в ИСПДн. 
Итак начать нужно с названия документа: «Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных «**********» Его я подсмотрел у Андрея Прозорова и оно меня целиком и полностью устроило. Надо отметить, что Андрей и по акту помог некоторыми комментариями, за что ему отдельное «Спасибо!» («Спасибо» лишним не бывает, Андрей улыбается ;) ).
Далее по содержанию акта:
Определяем состав комиссии. У меня в документе это реализовано таблицей, однако можно и текстом. Как говорится, на вкус и цвет все фломастеры разные. 

После пишем, на основании какого документа мы определяем, какой уровень защищенности нам необходимо обеспечить. Естественно, это ПП 1119. Однако есть мнение, что т.к. приказ №55/86/20 еще не утратил силу, то указать желательно и его. Привычка регулятора может сыграть злую шутку. У меня текст следующий: 
 «Комиссия, рассмотрев исходные данные информационной системы персональных данных (ИСПДн) «********»в соответствии с Постановлением Правительства Российской Федерации №1119 от 1 ноября 2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и учетом приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»,   определила:» 
Это с учетом того, что выше в таблице у меня уже указан состав комиссии.

Далее по пунктам расписываем, что определила комиссия, а именно:
  1. Категории персональных данных, обрабатываемых в информационной системе. Здесь, согласно ПП 1119 у нас есть 4 варианта: иные, общедоступные, биометрические,  специальные. Также рекомендую по тексту расписать, что подразумевается под каждой категорией ПДн.
  2. Объём обрабатываемых персональных данных. Здесь все просто, либо менее 100 000, либо более 100 000.
  3. Угрозы, актуальные для информационной системы. Опять таки, типы угроз расписаны в ПП 1119. И также по тексту описываем,  какие угрозы к какому типу относятся. Желательно описать, почему именно этот тип угроз, либо сослаться на модель угроз.
  4. Тип субъектов персональных данных, обрабатываемых в информационной системе. Тоже все просто. Это либо только сотрудники оператора, либо нет. Также лучше пояснить, что значит «сотрудники оператора». Вам не сложно, а у регулятора меньше поводов зацепиться.
  5. К специальной или типовой относится ИСПДН. Здесь также лучше расписать, по каким критериям происходит отнесение. Только это уже берется не из ПП 1119, а из «трехглавого» приказа №55/86/20.
  6. Структуру ИСПДн (автономная, локальная, распределенная)
  7. Имеются ли подключения ИСПДн к сетям общего пользования
  8. Режим обработки ПДн в ИСПДн (однопользовательский или многопользовательский)
  9. Имеется ли разграничение доступа
  10. Территориальное расположение ИСПДн (Целиком в пределах РФ или нет)


По сути, п.п. 5-10 здесь не нужны, т.к. для определения уровня защищенности достаточно первых четырех, однако пару лет все-таки рекомендуется не исключать "отголоски" трехглавого приказа, если он, конечно, не будет отменен в явном виде ранее. Моя таблица для определения УЗ ПДн:

Завершающий аккорд: определение необходимого уровня защищенности. Формулировка здесь также свободная, однако я ко всему прочему сделал отсылку на модель угроз: 
По результатам анализа исходных данных, а также основываясь на модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных «********», в информационной системе «********» требуется обеспечение Х  уровня защищенности персональных данных.

Итоговый документ на двух страницах:


15 комментариев:

  1. А комиссия зачем? Чтоб посчитать субъектов и определить категорию ПДн достаточно имхо и 1 исполнителя.

    ОтветитьУдалить
  2. Прямого указание определять уровень защищенности ПДн/класс ИСПДн комиссией ни в 1119, ни в трехглавом нет. Однако, у регулятора меньше поводов будет предписание или штраф выписать. А как определять - это уже Ваше дело.

    ОтветитьУдалить
  3. Акт далеко не полный. Я бы рекомендовал давать ссылки на необходимые документы, к примеру на перечень персональных данных (а то не понятно от куда у вас категория взялась), так же считаю обоснованно необходимым указывать ссылку на модель угроз, где должно быть четко или косвенно прописано угрозы какого пита актуальны для данной ИСПДн

    ОтветитьУдалить
  4. С перечнем согласен. Можно ссылаться. А на модель угроз и так отсылка идет в 3 пункте и в заключении.

    ОтветитьУдалить
  5. Владимир у Вас в Акте допущена грубейшая ошибка. Если система обрабатывает только данные сотрудников, то градации по объему нет.

    ОтветитьУдалить
    Ответы
    1. Спасибо за комментарий!
      Я бы во-первых, поспорил насчет понятия "грубейшая", так как акт имеет 10 пунктов классификации и делается поэтапно. 2-м пунктом мы можем сказать, что сотрудники оператора, а после уже 4-м говорим о количестве записей.
      Но про разделение сотрудников оператора Вы правы. в ПП 1119 нет понятия разделения записей сотрудников оператора по количеству. Однако, если вы посмотрите на таблицу выше, по которой идет определение УЗ, то количество никак не повлияет.
      Таблицу поправлю.

      Удалить
    2. Крайне рекомендую в акте указывать количество субъектов ПДн

      Удалить
  6. 2-й момент градация по объему идет до 100 000 или выше. У Вас везде фигурирует 10 000

    ОтветитьУдалить
  7. Добрый день!
    ФЗ-152 ст.3 п.10 "информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств."

    ФЗ-152 ст.5 п.3 "Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой."

    приказ "трех" п.17 "В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем."

    Можно ли опираясь на эти пункты объеденить несколько БД ПДн в одну ИСПДн и присвоить высший УЗ? И нужно ли, в таком случае, как то отображать перечень БД в "Акте определения уровня защищенности ПДн при их обработке в ИСПДн" или же где то еще?

    ОтветитьУдалить
    Ответы
    1. Здравствуйте, Евгений. Прошу прощения за поздний ответ.
      В этом случае определяющими фактором является совместимость целей обработки ПДн. Отражать именно БД в Акте я бы не стал, достаточно будет указать категории обрабатываемых ПДн и, возможно, то, что ИСПДн состоит из нескольких БД (для избежания возможных вопросов). Также обратите внимание на п.п. 6-10. Здесь нужно указать самый критичный пункт для Ваших БД, а ниже пояснить (по желанию).

      Удалить
  8. Добрый день!Подскажите, а каково правовое обоснование классификации по уровням защищенности. Есть ли ,кроме трехглавого, отменного не вступившим в силу приказом, НПА, в котором прямо, а не косвенно, озвучивается необходисть именно классификации системы/ПДн???

    ОтветитьУдалить
  9. Для Госов использовал как обоснование Приказ №17 пп14. Но если классификация ИС обоснованна, то классификация по уровню защищенности, пока не прозрачна...

    ОтветитьУдалить
  10. Добрый день! А если модель угроз, была сделана на основе базовой модели угроз ПДн, в которой естественно не упоминаются угрозы, описанные в ПП 1119, значит нет смысла ссылаться в акте на модель? Получается что модель требуется пересмотреть и указать в ней угрозы из ПП 1119.

    ОтветитьУдалить
  11. Как определить уровень защищенности для сайта Общества, если поддержка и сопровождение системного и прикладного программного обеспечения, призванного обеспечивать функционирования сайта, осуществляется Исполнителем по договору. В соответствии с действующим Договором Исполнитель обязуется проводить администрирование сервера, обновление программного обеспечения и аудит безопасности. От Исполнителя не требуется гарантировать отсутствия недокументированных (недекларированных) возможностей в прикладном или системном ПО, которые используются на сервере;
    – нарушение свойств безопасности ПДн может привести к вреду низкой степени для субъектов ПДн (ущерб репутации или иной моральный вред);
    – реализация угроз, связанных с наличием недокументированных (недекларированных) возможностей в прикладном или системном ПО требует существенных финансовых и временных затрат, не соответствующих возможностям и целям потенциальных нарушителей.
    Присвоен третий тип угроз.

    ОтветитьУдалить