1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3.1) применением для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.
7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.
8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в государственных информационных системах персональных данных, а также в эксплуатируемых в государственных органах Российской Федерации иных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в пределах его полномочий. Указанные контроль и надзор также осуществляются федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах его полномочий без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
9. Решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, может быть наделен полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных. Решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, также может быть наделен указанными полномочиями без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
13. Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных.
14. Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.
1. Комментируемая статья конкретизирует порядок исполнения ключевой обязанности оператора персональных данных, заключающейся в реализации конкретных мер правового, организационного и технического характера, направленных на защиту таких свойств безопасности персональных данных, как:
- конфиденциальность - от возможных утечек (data breach) вследствие неправомерного или случайного доступа к ним неуполномоченных лиц; неправомерного копирования, предоставления, распространения персональных данных;
- доступность - от неправомерного блокирования или уничтожения, вследствие которых создается угроза возможности своевременного доступа пользователей информационной системы персональных данных к таким данным всегда, когда в этом возникает необходимость;
- целостность - от неправомерного изменения персональных данных, т.е. искажения их содержания.
Меры, указанные в комментируемой статье, могут относиться к одной из трех групп:
1) правовые (подготовка и принятие соответствующих локальных нормативных актов);
2) организационные (назначение ответственных лиц, обучение работников, непосредственно вовлеченных в процесс обработки персональных данных, правилам информационной безопасности и т.п.);
3) технические (набор мер, направленных как на уменьшение вероятности реализации угроз информационной безопасности вследствие уязвимости информационной системы, так и на минимизацию потерь при реализации таких угроз).
2. Для выполнения предусмотренной в п. 1 ч. 2 комментируемой статьи обязанности по определению угроз безопасности персональных данных необходимо разработать документ "Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных". При этом целесообразно руководствоваться следующими документами ФСТЭК:
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК 14 февраля 2008 г.;
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК 15 февраля 2008 г.
При разработке модели угроз в литературе <1> рекомендуется следовать следующему алгоритму:
--------------------------------
<1> Практические рекомендации по соблюдению законодательства Российской Федерации о персональных данных образовательными организациями / Под ред. В.Д. Зыкова. М., 2015. С. 12.
1) определить уровень защищенности каждой используемой оператором информационной системы персональных данных в соответствии с критериями, указанными в Постановлении Правительства РФ от 1 ноября 2012 г. N 1119;
2) определить основные типы потенциальных нарушителей на основании анализа круга лиц, имеющих возможность доступа (санкционированного или несанкционированного) к информационным системам персональных данных; составить перечень доверенных лиц, актуальных нарушителей и проанализировать возможности актуальных нарушителей;
3) провести классификацию угроз безопасности персональных данных и составить их перечень.
В качестве ориентира может представлять интерес перечень угроз, приведенный Центральным банком РФ <1>, в который входят угрозы:
--------------------------------
<1> Указание Банка России от 10 декабря 2015 г. N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".
- несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
- воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
- использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
- несанкционированного доступа к отчуждаемым носителям персональных данных;
- утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в организации защиты персональных данных;
- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в программном обеспечении информационной системы персональных данных;
- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в обеспечении защиты вычислительных сетей информационной системы персональных данных;
- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест, появившихся из-за несоблюдения требований по эксплуатации средств криптографической защиты информации;
4) оценить вероятность реализации угроз экспертным методом (по каждой из угроз компетентное лицо по качественной шкале выдвигает оценочное заключение, основанное на его знаниях и опыте, а также специфике конкретных обстоятельств);
5) рассчитать вероятность реализации угроз, исходя из вероятности их реализации и уровня защищенности информационной системы персональных данных;
6) оценить экспертным методом опасность угрозы;
7) определить актуальность каждой из угроз и составить перечень актуальных угроз.
3. Перечень организационных и технических мер, необходимых согласно п. 2 ч. 2 комментируемой статьи для выполнения требований к защите персональных данных, в соответствии с уровнями защищенности персональных данных, установленными Правительством РФ, предусмотрен в следующих актах:
- Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (о понятии средств криптографической защиты информации см. п. 2 Постановления Правительства РФ от 16 апреля 2012 г. N 313);
- Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- Приказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Данный документ применяется наряду с вышеуказанными операторами, обрабатывающими персональные данные с использованием государственных информационных систем. В принципе, оператор может следовать указанным требованиям и для защиты информации, обрабатываемой в негосударственных информационных системах, при наличии на то его решения (п. 6 настоящего Приказа).
Перечисленные акты носят достаточно технический характер и адресованы преимущественно специалистам в области информационной безопасности.
Реализованные с учетом вышеуказанных документов технические меры защиты персональных данных целесообразно отразить в отдельном документе "Описание системы защиты персональных данных".
4. Применяемые средства защиты информации согласно п. 3 ч. 2 комментируемой статьи должны пройти процедуру оценки соответствия. Порядок и условия проведения процедуры оценки соответствия регулируются Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (далее - Закон о техническом регулировании). В общем виде формы оценки соответствия указаны в следующей схеме <1>:
--------------------------------
<1> Данная схема взята из блога Алексея Лукацкого "Бизнес без опасности". URL: http://lukatsky.blogspot.de/2011/04/blog-post_08.html.
Госконтроль
и надзор
Аккредитация
Испытания
Добровольная
ОЦЕНКА сертификация
СООТВЕТСТВИЯ Регистрация
Обязательная
Подтверждение сертификация
соответствия
Декларирование
Приемка и ввод соответствия
в эксплуатацию
В иной форме
В ст. 2 Закона о техническом регулировании указано, что оценка соответствия заключается в прямом или косвенном определении соблюдения требований, предъявляемых к объекту согласно техническим регламентам, положениям стандартов, сводам правил или условиям договоров, по результатам чего выдается подтверждение соответствия. Подтверждение соответствия может быть добровольным или обязательным (ст. 20 Закона о техническом регулировании). Обязательное подтверждение соответствия проводится только в случаях, установленных техническим регламентом на основании соответствия его требованиям (п. 1 ст. 23 Закона о техническом регулировании). Отсутствие в настоящее время технических регламентов, устанавливающих требования к средствам защиты информации, используемым для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, делает невозможными как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ <1>.
--------------------------------
<1> Данная позиция выражена, в частности, в письме Центрального банка РФ от 17 ноября 2011 г. N 015-16-9/4713.
Тем не менее на практике нередко возникает вопрос о том, предусмотрена ли законодательством обязательная сертификация средств защиты персональных данных, используемых оператором.
Обязательная сертификация предусмотрена, в частности, для таких информационных систем, как:
- средства шифрования и другие средства защиты информации, предназначенные для защиты сведений, содержащих государственную тайну (ст. 28 Закона РФ "О государственной тайне");
- средства защиты информации в государственных информационных системах (п. 11 Приказа ФСТЭК России от 11 февраля 2013 г. N 17);
- средства защиты информации в платежных системах, если оператором используются средства криптографической защиты информации российского производства (п. 2.9.1 Положения Банка России от 9 июня 2012 г. N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств").
В отношении средств защиты персональных данных в негосударственных информационных системах персональных данных законодательством РФ не устанавливается обязательного требования о прохождении процедуры оценки соответствия исключительно в форме обязательной сертификации, поэтому для указанных целей могут применяться средства защиты информации, прошедшие процедуру соответствия в любой из предусмотренных Законом о техническом регулировании форм. В случае использования оператором такой формы, как обязательная сертификация, средства защиты должны соответствовать п. 12 Приказа ФСТЭК России от 18 февраля 2013 г. N 21.
Кроме того, следует отметить, что действующее законодательство не предусматривает обязательной сертификации на соответствие требованиям по безопасности информации средств кодирования (шифрования), массово применяемых при передаче сообщений в сети Интернет для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании сети Интернет <1>.
--------------------------------
<1> Извещение ФСБ по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет от 18 июля 2016 г. URL: http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html.
5. Использование для защиты персональных данных средств криптографической защиты информации не является обязательным, за исключением случаев, когда соответствующие угрозы не могут быть нейтрализованы только посредством таких средств:
- при передаче персональных данных по каналам связи, не защищенным от перехвата или иных несанкционированных воздействий на передаваемую информацию (в том числе посредством сети Интернет);
- при хранении персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть предотвращен некриптографическими методами и способами.
Соответствующие средства криптографической защиты информации должны пройти процедуру оценки соответствия. При этом перечень таких средств, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru).
6. Оценка эффективности принимаемых мер, упомянутая в п. 4 ч. 2 комментируемой статьи, может быть проведена оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится в сроки, определяемые оператором, но не реже чем один раз в три года <1>.
--------------------------------
<1> См. п. 17 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 1 ноября 2012 г. N 1119.
Форма оценки эффективности принимаемых мер, а также форма и содержание документов, разрабатываемых по результатам оценки, актами ФСТЭК не установлены, в связи с чем решение по форме оценки эффективности таких мер и документов, разрабатываемых по результатам оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных. В случае если привлекаемая для реализации мер по обеспечению безопасности персональных данных организация осуществляет техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, используемых оператором персональных данных, эта организация должна помимо лицензии ФСТЭК обладать лицензией ФСБ на осуществление подобного рода действий <1>.
--------------------------------
<1> Постановление Правительства РФ от 16 апреля 2012 г. N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".
Оценка эффективности мер по защите персональных данных может осуществляться в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения" <1>.
--------------------------------
<1> См. п. 3 информационного сообщения ФСТЭК России от 15 июля 2013 г. N 240/22/2637.
7. Учет машинных носителей персональных данных, упомянутый в п. 5 ч. 2 комментируемой статьи, является одной из мер, направленных на обеспечение их сохранности. Учет таких носителей является мерой, необходимой для информационных систем персональных данных 1-го и 2-го уровней защищенности (см. разд. 4 Приложения к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Приказа ФСТЭК от 18 февраля 2013 г. N 21). В отношении съемных видов машинных носителей (в том числе флешки, внешние жесткие диски, мобильные устройства и пр.) следует учитывать положения п. 7 Приказа ФСБ от 10 июля 2014 г. N 378, в соответствии с которым необходимо осуществлять:
а) хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);
б) поэкземплярный учет машинных носителей персональных данных путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.
8. Обнаружение фактов несанкционированного доступа к персональным данным, упоминаемое в п. 6 ч. 2 комментируемой статьи, должно в соответствии с п. 8.7 Приказа ФСТЭК от 18 февраля 2013 г. N 21 обеспечиваться мерами по обнаружению (предотвращению) вторжений. Система обнаружения вторжений должна обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия. Такого рода системы можно разделить на две основные группы: 1) пассивные (Intrusion Detection System, IDS) и 2) активные (Intrusion Prevention System, IPS). В пассивной системе при обнаружении нарушения безопасности информация об этом записывается в лог (журнал событий) приложения, а сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. Активная система предпринимает ответные действия в ответ на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника, например для защиты от DDoS-атак <1>.
--------------------------------
<1> DDoS-атака (от англ. Denial of Service - отказ в обслуживании) - хакерская атака на информационную систему с целью довести ее до отказа, т.е. создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) либо этот доступ затруднен.
Системы обнаружения вторжений позволяют отслеживать трафик в компьютерной сети и блокировать подозрительные потоки данных или осуществлять поведенческий анализ процессов на компьютере с целью выявления подозрительной активности. Требования к системам обнаружения вторжений в государственных информационных системах утверждены Приказом ФСТЭК России от 6 декабря 2011 г. N 638.
9. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, как техническая мера защиты персональных данных, упомянутая в п. 7 ч. 2 комментируемой статьи, может осуществляться посредством регулярного резервного копирования персональных данных.
10. Поскольку персональные данные являются разновидностью информации ограниченного доступа, то по общему правилу доступ к ним должен осуществляться в силу служебной необходимости и зависеть от характера выполняемой работником трудовой функции. С технической точки зрения это реализуется посредством установления моделей разграничения доступа к информационным системам персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (п. 8 ч. 2 комментируемой статьи).
Разграничение доступа представляет собой совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы. Существуют две основные модели разграничения доступа:
1) мандатное разграничение доступа;
2) дискреционное разграничение доступа.
В мандатной модели обычные пользователи лишены возможности управлять настройками политики безопасности. Например, возможность доступа к тому или иному объекту определяется уровнем его конфиденциальности и уровнем допуска пользователя, которые жестко заданы для каждого пользователя и объекта. Данная модель обладает невысокой гибкостью и высокой трудоемкостью настройки политики безопасности, но при этом позволяет достичь высокого уровня управляемости безопасностью. К примеру, субъект "Пользователь N 2", имеющий допуск уровня "не секретно", не может получить доступ к объекту, имеющему метку "для служебного пользования". В то же время субъект "Пользователь N 1" с допуском уровня "секретно" право доступа к объекту с меткой "для служебного пользования" имеет.
В дискреционной модели управление доступом субъектов к информационным объектам базируется на том, что пользователи в том или ином объеме могут управлять настройками политики безопасности. Уровень допуска к тому или иному объекту определяется "суперпользователем" исходя из группы, к которой принадлежит субъект. Например, если субъект "Пользователь N 1" входит в группу "юристы", то он имеет доступ к сведениям о должниках. В то же время субъект "Пользователь N 2", входящий в группу "служба IT-поддержки", такого доступа не имеет. При этом формирование и назначение ролей работников организации следует осуществлять с учетом соблюдения принципа предоставления им минимальных прав и полномочий, необходимых для выполнения служебных обязанностей.
В качестве ориентира при имплементации модели разграничения доступа можно руководствоваться положениями п. 7 Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2014).
11. Все принимаемые оператором правовые, организационные и технические меры во многом утрачивают смысл, если отсутствует надлежащий контроль за их точной и своевременной реализацией. В этой связи п. 9 ч. 2 комментируемой статьи устанавливает необходимость осуществления контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. В частности, такой контроль может осуществляться посредством внутреннего и внешнего аудита, мониторинга реализации защитных мер, модификации системы безопасности по результатам проведенных аудитов.
12. В соответствии с ч. 3 комментируемой статьи Правительство РФ устанавливает виды угроз безопасности персональных данных, уровни защищенности персональных данных, требования к их защите с учетом необходимого уровня защищенности. Указанные элементы определяются с учетом возможного причинения вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных. Во исполнение требований комментируемой статьи было принято Постановление Правительства РФ от 1 ноября 2012 г. N 1119, утвердившее Требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - Постановление N 1119).
В самом общем виде алгоритм применения данного документа можно свести к следующим шагам:
1) определяются актуальные угрозы (всего три типа угроз);
2) в зависимости от типа угроз, а также от количества субъектов персональных данных, видов персональных данных (биометрические, специальные категории, общедоступные) определяется требуемый уровень защищенности (всего четыре уровня);
3) в соответствии с Приказом ФСБ N 378 и Приказом ФСТЭК N 21 оператором определяются состав и содержание конкретных организационных и технических мер по обеспечению безопасности ПД для каждого из четырех уровней защищенности.
Угрозы безопасности персональных данных определены в п. 6 Постановления N 1119:
- угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
- угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
- угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Уровни защищенности персональных данных установлены в п. п. 8 - 12 Постановления N 1119.
Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
Приведенные положения представлены в виде следующей таблицы <1>:
--------------------------------
<1> Настоящая таблица взята из кн.: Практические рекомендации по соблюдению законодательства Российской Федерации о персональных данных образовательными организациями / Под ред. В.Д. Зыкова. М., 2015. С. 13.
Количество субъектов
Категория данных
Категория субъектов
Актуальные угрозы
Уровень защищенности
Более 100 000
Специальные категории
Сотрудники
Угрозы 1-го типа
1
Угрозы 2-го типа
2
Угрозы 3-го типа
3
Несотрудники
Угрозы 1-го типа
1
Угрозы 2-го типа
1
Угрозы 3-го типа
2
Биометрические данные
Сотрудники и несотрудники
Угрозы 1-го типа
1
Угрозы 2-го типа
2
Угрозы 3-го типа
3
Иные категории
Сотрудники
Угрозы 1-го типа
1
Угрозы 2-го типа
3
Угрозы 3-го типа
4
Несотрудники
Угрозы 1-го типа
1
Угрозы 2-го типа
2
Угрозы 3-го типа
3
Общедоступные данные
Сотрудники
Угрозы 1-го типа
2
Угрозы 2-го типа
3
Угрозы 3-го типа
4
Несотрудники
Угрозы 1-го типа
2
Угрозы 2-го типа
2
Угрозы 3-го типа
4
Менее 100 000
Специальные категории
Сотрудники и несотрудники
Угрозы 1-го типа
1
Угрозы 2-го типа
2
Угрозы 3-го типа
3
Биометрические данные
Сотрудники и несотрудники
Угрозы 1-го типа
1
Угрозы 2-го типа
2
Угрозы 3-го типа
3
Иные категории
Сотрудники и несотрудники
Угрозы 1-го типа
1
Угрозы 2-го типа
3
Угрозы 3-го типа
4
Общедоступные данные
Сотрудники и несотрудники
Угрозы 1-го типа
2
Угрозы 2-го типа
3
Угрозы 3-го типа
4
13. Вследствие возможного наличия у операторов персональных данных определенной специфики в части обрабатываемых персональных данных и структурирования процессов их обработки ч. 5 комментируемой статьи предоставляет государственным органам, Банку России, государственным внебюджетным фондам право принимать в пределах своих полномочий нормативные правовые акты, в которых они могут определять угрозы безопасности персональных данных, актуальные для них. Такая возможность может использоваться, в частности, для подготовки перечня актуальных угроз для операторов (организаций), находящихся в сфере регулирования такого органа власти, или для защиты ведомственных информационных систем персональных данных. Такого рода нормативные акты должны быть согласованы с ФСБ и ФСТЭК. Существуют специальные Методические рекомендации ФСБ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности <1>.
--------------------------------
<1> Утверждены Приказом ФСБ России от 31 марта 2015 г. N 149/7/2/6-432.
В качестве примера акта, разработанного в порядке, предусмотренном комментируемым положением, можно упомянуть Указание Банка России от 10 декабря 2015 г. N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".
14. Часть 6 комментируемой статьи устанавливает, что ассоциации, союзы и иные объединения операторов могут определять дополнительные угрозы безопасности персональных данных с учетом специфики деятельности таких операторов. При этом, по всей видимости, под дополнительными угрозами безопасности следует понимать те из них, которые не являются основными, т.е. определенными Постановлением N 1119 и соответствующими подзаконными актами. Такого рода акты подлежат согласованию с ФСТЭК и ФСБ в порядке, установленном Постановлением Правительства РФ от 18 сентября 2012 г. N 940 "Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю".
15. В соответствии с ч. 8 комментируемой статьи ФСТЭК и ФСБ в пределах своих полномочий (ФСБ - в части использования криптографических средств защиты информации, ФСТЭК - во всех остальных) вправе осуществлять контроль и надзор за выполнением организационных и технических мер при обработке персональных данных в государственных информационных системах персональных данных без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. При этом ни ФСТЭК, ни ФСБ не наделены полномочиями по проведению контрольно-надзорных мероприятий в отношении операторов персональных данных, не являющихся государственными или муниципальными органами. А Роскомнадзор не наделен полномочиями по проверке технических средств защиты персональных данных и, соответственно, не может требовать предоставления сертификатов на используемые оператором средства защиты <1>.
--------------------------------
<1> См. п. 67 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утв. Приказом Минкомсвязи России от 14 ноября 2011 г. N 312.
В качестве исключений можно рассматривать случаи, предусмотренные ч. 9 комментируемой статьи, когда решением Правительства РФ ФСТЭК и ФСБ в отношении негосударственных информационных систем могут быть предоставлены полномочия по проведению проверок на предмет их соответствия техническим требованиям защиты информации без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. Такое решение должно приниматься Правительством РФ с учетом значимости и содержания обрабатываемых персональных данных.
16. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных утверждены Постановлением Правительства РФ от 6 июля 2008 г. N 512. В частности, материальный носитель с биометрическими данными должен обеспечивать:
а) защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;
б) возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными;
в) возможность идентификации информационной системы персональных данных, в которой была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;
г) невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.
При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных. Оператор биометрических данных обязан:
а) осуществлять учет количества экземпляров материальных носителей;
б) присваивать материальному носителю уникальный идентификационный номер, позволяющий точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель;
в) использовать информационные технологии, позволяющие сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель, а также любой иной информации, имеющей отношение к ним.
Подробнее о биометрических данных см. комментарий к ст. 11 Закона о персональных данных.
