1 шаг вперед, 3 шага назад. Вышло ПП1119 про требования к защите ПДн. Электронного журнала сообщений в пдн

Вступил в силу приказ ФСБ по защите персональных данных

Вчера, 28 сентября официально вступил в силу приказ ФСБ №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Этот приказ определяет конкретные требования к информационной системе, в которой установлено криптографическое средство защиты информации (СКЗИ), используемое для защиты персональных данных (ПДн) в соответствии с ФЗ-152 «О защите персональных данных». Требования привязаны к так называемым уровням защищенности, которые определяются в других подзаконных актах. Приказ, который готовился давно, был подписан 10 июля, зарегистрирован в Минюсте 18 августа, ровно через месяц, 18 сентября, официально опубликован, а вступил в силу через 10 дней после опубликования.

Приказ не только содержит требования к эксплуатации СКЗИ, как свидетельствует его название, но и разъясняет некоторые спорные моменты Постановления Правительства №1119, в котором перечислены требования к защите персональных данных. Вот как комментирует данный документ Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Cisco: «Приказ делится на две части – применение СКЗИ и ответ на непонятные до недавнего времени моменты, связанные с ПП-1119. Что такое режим безопасности помещений? Что такое электронный журнал сообщений? Что такое сохранность ПДн? На все это в приказе №378 даны ответы. Поэтому, даже если вы не применяете сертифицированные СКЗИ, уйти от выполнения этого приказа ФСБ вам не удастся».

Дело в том, что сейчас криптографическую защиту информации обеспечивает практически любое программное обеспечение. Например, она встроена в операционные системы Microsoft, Apple и Google. «СКЗИ есть везде, а значит, приказ относится ко всем, даже к тем, кто не использует сертифицированные СКЗИ», – поясняет Лукацкий. Впрочем, он же дает совет, как можно выйти из-под действия этого приказа: "творчески подойти к процессу формирования модели угроз", то есть исключить конфиденциальность из модели угроз персональным данным. По его словам, именно так поступать ему советовали «в кулуарах» представители ФСБ. Впрочем, защищать персональные данные придется даже в этом случае.

Собственно, меры правильной эксплуатации СКЗИ на предприятии предписывают определить ответственных за безопасность персональных данных, обеспечить сохранность носителей ПДн, использовать средства защиты, прошедшие процедуру оценки соответствия требованиям ФСБ, и строго контролировать доступ сотрудников к системам защиты ПДн. В частности, для высокого уровня защищенности (как ни странно, он указывается первым) необходимо создать электронный журнал регистрации фактов доступа к персональным данным и журнал изменения полномочий сотрудников по доступу к ПДн. Сводную таблицу всех требований можно найти в блоге Александра Бондаренко, генерального директора R-Vision.

Тот же Бондаренко отмечает, что в приказе есть несколько несуразностей: «Меня огорчило, что ФСБ предлагает защищать, причем достаточно серьезно защищать, системы 4-го уровня, к которым, между прочим, относятся и ИСПдн, обрабатывающие общедоступную информацию. Зачем, спрашивается?». На другую проблему указывает Сергей Борисов, консультант по информационной безопасности компании «Микротест» из Краснодара: "Видно, что прикладное ПО всех информационных систем первого и второго уровня защищенности придется порядком переделывать. Нужно выделить в отдельную информационную систему подсистему управления ПДн, которая будет знать, что такие-то данные – и есть персональные. И это все – из-за пары криптошлюзов на границах сетей. В чем логика?». Таким образом, похоже, что приказ ФСБ №378 опять потребует некоторой переделки, как минимум, бумажной документации информационных систем, а возможно, и перестройки программного обеспечения, обрабатывающего персональные данные.

bis-expert.ru

Проект приказа ФСБ по защите ПДн с использованием средств криптографической защиты :: Криптоанархист

Вчера был опубликован проект приказа ФСБ по защите персональных данных с использованием криптосредств.

Попробую провести краткий анализ этого документа.

Сначала отмечу самые важные, на мой взгляд, моменты:

1. Использование сертифицированных СКЗИ по прежнему обязательно.2. Классы СКЗИ в явном виде сопоставлены с возможностями потенциального нарушителя. И это один из немногих положительных моментов в документе.3. В большинстве случаев потребуется использование СКЗИ класса КС3 (!). Ниже поясню почему.   4. В отличии от Методических рекомендаций, теперь отсутствует понятие «Модель нарушителя» и нет явного требования по ее разработке. Вместо этого есть требование о формировании и утверждении некой «совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимой для определения требуемого класса СКЗИ».

Требования, содержащиеся в приказе, можно разбить на следующие 4 группы:а) требования по защите помещений;б) требования по защите носителей персональных данных; в) требования по регламентации и контролю доступа к ПДн, ведению электронного журнала; г) требования к классу используемых СКЗИ.

Требования а), б), в) явно зависят от Уровня защищенности (УЗ), определённого согласно ПП 1119.  Эти требования включают в себя, например, оборудование помещений металлическими решетками и сигнализацией (для УЗ 1), поэкземплярный учет и хранение носителей ПДн в сейфах, необходимость ведения электронного журнала сообщений, назначение ответственных лиц... В общем и так далее. Подробнее со всеми требованиями можно ознакомится посмотрев на таблицу в конце поста.

Остановимся отдельно на определении класса СКЗИ.

Определение класса СКЗИ

Класс СКЗИ зависит от двух факторов: - от предполагаемых возможностей нарушителя; - от наличия актуальных угроз НДВ (см ПП 1119).

Предполагаемые возможности нарушителей описываются в разделах 10-16 Приказа. В целом, содержание этих разделов во многом идентично предыдущим Методическим рекомендациям.

Выбор класса СКЗИ теперь стал более прозрачным, но это не значит, что жить стало легче.

Обратим внимание на подпункт а) пункта 12: «СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:… доступ к СВТ, на которых реализованы СКЗИ и СФ».

Очевидно, что доступ к "СВТ, на которых реализовано СКЗИ", могут иметь пользователи системы, не говоря уже об админах. Исходя из данного пункта получается, что если на компьютере пользователя установлен VPN-клиент и пользователь рассматривается как потенциальный нарушитель, то согласно данным требованиям к VPN-клиенту предъявляются требования КС3.

Причем, если в предыдущих Методических рекомендациях была зацепка, которая позволяла исключить из числа потенциальных нарушителей админов, то в рассматриваемом проекте приказа такая зацепка отсутствует.

То есть, большинство систем, независимо от УЗ, попадут под использование КС3 как минимум.

Но это еще не все...

Для уровней защищенности с 3 по 1, заявлена привязка требуемого класса СКЗИ к наличию актуальных угроз НДВ:

Для УЗ 3 требуются: - СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 2 типа; - СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

Для УЗ 2 требуются: - СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 1 и 2 типа; - СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

Для УЗ 1 требуются: - СКЗИ класса КА1 в случаях, когда для информационной системы актуальны угрозы 1 типа; - СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.

Если мы признаем актуальными угрозы 1 и 2 типа (угрозы наличия НДВ ), то попадем на СКЗИ класса КВ.

Напомню, что может ожидать счастливых обладателей СКЗИ КВ: - необходимость заказывать у ФСБ ключевые блокноты (компакт-диски), требуемые для работы СКЗИ. Срок изготовление ключей – пол года. Срок жизни набора ключей – год J; - невозможность удаленного администрирования СКЗИ. Да, кстати, ключевые блокноты также можно развертывать только локально; - при подключении СКЗИ - использование «оптической развязки» - «медь-оптика-медь» (для защиты от наводок).

Вывод: если в финальном релизе Приказа ничего не изменится, то, возможно, всем придется запасаться СКЗИ класса КС3. Ну или вообще избегать использования криптографии (что маловероятно).

В заключение, обещанная таблица с требованиями

№ п/п	Требование	УЗ 4	УЗ 3	УЗ 2	УЗ 1
1.	Организация режима обеспечения безопасности помещений, в которых размещена информационная система (далее – Помещения)
1.1.	Оснащение Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня;	+	+	+	+
1.2.	Утверждение правил доступа в Помещения сотрудников и посетителей в рабочее и нерабочее время;	+	+	+	+
1.3.	Утверждение перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, а также порядка вскрытия Помещений в таких ситуациях.	+	+	+	+
1.4.	Оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.				+
1.5.	Оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения				+
2.	Обеспечение сохранности носителей персональных данных
2.1.	Хранение носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;	+	+	+	+
2.2.	Поэкземплярный учет носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.	+	+	+	+
3.	Регламентация и контроль доступа к ПДн, ведение электронного журнала сообщений
3.1.	Определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;	+	+	+	+
3.2.	Разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;	+	+	+	+
3.3.	Поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.	+	+	+	+
3.4.	Назначение обладающего достаточными навыками должностного лица ответственным за обеспечение безопасности персональных данных в информационной системе.	+	+	+	+
3.5.	Создание отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение его функции на одно из существующих структурных подразделений.				+
3.6.	Утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;			+	+
3.7.	Обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;			+	+
3.8.	Обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;			+	+
3.9.	Обеспечение периодического контроля работоспособности указанных автоматизированных средств (не реже 1 раза в полгода).			+	+
3.10.	Обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;				+
3.11.	Отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;				+
3.12.	Назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников их должностным обязанностям (не реже 1 раза в месяц)				+
4.	Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации
4.1.	Получение исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;	+	+	+	+
4.2.	Формирование и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимой для определения требуемого класса СКЗИ;	+	+	+	+
4.3.	Использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.	+	+	+	+

crypto-anarchist.blogspot.com

Анализ нового приказа ФСБ по защите ПДн

После прочтения проекта нового приказа ФСБ России «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» у меня сложилось четкое впечатление, что «жизнь-боль»! Сейчас объясню почему.

Начнем пожалуй с того, что теперь нам более подробно расшифровали требования по обеспечению безопасности ПДн, которые прописаны в 1119 Постановлении правительства РФ для разных уровней защищенности. Однако самое интересное осталось нераскрытым. Например, мы теперь знаем, что в электронном журнале сообщений фиксируются «запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам», но четкого определения, что это за журнал мы так и не получили. Прошло больше года с выхода ПП 1119, но ничего страшного, мы еще подождем! С электронным журналом безопасности такая же ситуация, но хотя бы мы теперь знаем, что это разные журналы, а не опечатка в ПП 1119!

Теперь о главном, на мой взгляд, изменении.  Есть 6 классов средств криптографической защиты информации (далее — СКЗИ). Класс необходимого для использования СКЗИ раньше определялся исходя из возможностей нарушителя по реализации атаки, то есть на основании модели нарушителя. Теперь класс СКЗИ привязан к уровню защищенности и типу актуальных угроз:

	1 УЗ	2 УЗ	3 УЗ	4 УЗ
АУ 1 типа	КА1	КВ2+	—	—
АУ 2 типа	КВ2+	КВ2+	КВ2+	—
АУ 3 типа	—	КС1+	КС1+	КС1+

УЗ — уровень защищенности; АУ — актуальные угрозы.

Раньше мы могли понизить класс используемых СКЗИ с помощью модели нарушителя, то теперь этот фокус не пройдет. Теперь всё зависит только от классификации ИСПДн по 1119 ПП.

Стоит отметить, что в пункте 5, подпункт г) «использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз»

в явном виде прописано, что теперь необходимо использовать только сертифицированные СКЗИ.

Обратимся к перечню средств защиты информации, сертифицированных ФСБ России.

С помощью поиска можно найти, что СКЗИ класса КА1 всего 6, а класса КВ2 — 13. Не густо. Есть подозрение, что чем меньше СКЗИ одного класса, тем выше их цена…

Ну и на последок моё любимое:

«26. Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:

а)  оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;

б)  оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.»

Я так понимаю, в ФСБ России опасаются, что Человек-паук или ниндзя-альпинисты захотят похитить ценные ПДн, действительно актуальная угроза… Очень хотелось бы увидеть такие конструкции, например, на последних этажах зданий комплекса Москва-Сити.

Possibly Related Posts:

Эксперт сообщества Анастасия Ковязина

Выпускник МГТУ им. Н.Э.Баумана по специальности "Защита информации". Ведущий специалист группы аудита и консалтинга информационной безопасности.

s3r.ru

СЗПДн. Анализ. Приказ ФСБ по обеспечению безопасности ПДн

Документ фактически не поменялся в сравнении с проектом, который неоднократно обсуждался в блогах. Есть пару моментов, на которые хотелось бы отдельно обратить внимание: 1.      Несмотря на то, что приказ “определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных …. с использованием средств криптографической защиты информации”, в нем содержатся требования не связанные с СКЗИ, например по хранению носителей ПДн (ни зашифрованных носителей ПДн, ни носителей с зашифрованными файлами, содержащими ПДн, а просто носителей с ПДн) То есть, если вы решите зашифровать канал передачи данных с помощью криптошлюзов, вам непонятно по каким причинам придется менять процессы хранения носителей с ПДн. В чем логика ? 2.      Много было споров относительно “электронного журнала сообщений”. Что это – точно никто не знает. ФСБ Р как авторы данного термина могли бы дать точное определение, но вместо этого раскрывают тайну по кусочкам “а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии; б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений; в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;”

Во-первых у меня вопрос – откуда такое внимание к этому журналу,  если в нем регистрируются всего лишь “Пользователь Петров П.П. запросил ПДн типа 1. Доступ предоставлен” 

Зачем тут требования по утверждению перечня лиц и автоматическое разграничение доступа? Вполне можно было обойтись общими правилами предоставления доступа к информационным ресурсам. Во-вторых, видно что прикладное ПО всех ИС УЗ1-2 придется порядком переделывать. Выделять в ИС – подсистему управления ПДн, которая будет знать, что такие то данные - это ПДн. И это всё из-за пары криптошлюзов на границах сетей. В чем логика ??

sborisov.blogspot.com

СЗПДн. Анализ. Приказ ФСБ по обеспечению безопасности ПДн

Документ фактически не поменялся в сравнении с проектом, который неоднократно обсуждался в блогах. Есть пару моментов, на которые хотелось бы отдельно обратить внимание:1.      Несмотря на то, что приказ “определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных …. с использованием средств криптографической защиты информации”, в нем содержатся требования не связанные с СКЗИ, например по хранению носителей ПДн (ни зашифрованных носителей ПДн, ни носителей с зашифрованными файлами, содержащими ПДн, а просто носителей с ПДн)То есть, если вы решите зашифровать канал передачи данных с помощью криптошлюзов, вам непонятно по каким причинам придется менять процессы хранения носителей с ПДн. В чем логика ?2.      Много было споров относительно “электронного журнала сообщений”. Что это – точно никто не знает. ФСБ Р как авторы данного термина могли бы дать точное определение, но вместо этого раскрывают тайну по кусочкам“а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;”

Во-первых у меня вопрос – откуда такое внимание к этому журналу,  если в нем регистрируются всего лишь “Пользователь Петров П.П. запросил ПДн типа 1. Доступ предоставлен” 

Зачем тут требования по утверждению перечня лиц и автоматическое разграничение доступа? Вполне можно было обойтись общими правилами предоставления доступа к информационным ресурсам.Во-вторых, видно что прикладное ПО всех ИС УЗ1-2 придется порядком переделывать. Выделять в ИС – подсистему управления ПДн, которая будет знать, что такие то данные - это ПДн. И это всё из-за пары криптошлюзов на границах сетей. В чем логика ??

bis-expert.ru

1 шаг вперед, 3 шага назад. Вышло ПП1119 про требования к защите ПДн

Дождались, документ Постановление Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" вышел. Я намеренно не писал ничего про первую версию документа (точнее 2х документов), хотел посмотреть какие изменения внесут в итоговый вариант.Документ в очередной раз "колбасит" системы и процедуры защиты ПДн. Он устанавливает требования к защите ПДн при их обработке в ИСПДн и уровни защищенности таких данных.Посмотрим на документ внимательнее, и постараемся понять, что операторы ПДн должны изменить/доработать в своей СЗПДн.Вот основные моменты:

1. Документ признает утратившим силу постановление №781. Соответственно его требования можем уже не выполнять. А значит и статус приказа 55/86/20, приказа ФСТЭК России №58 и документов по криптографии в ИСПДн от ФСБ России сейчас находятся "в подвешенном" состоянии...
2. Основной акцент документа сделан на требования по нейтрализация АКТУАЛЬНЫХ угроз ПДн. В документе дано достаточно противоречивое определение ("Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИСПДн, результатом которого могут стать ... "), претензии к которому идут из-за наличия ссылки на случайный доступ. Вообще, складывается ситуация, при которой "игры" с моделью угроз будут давать свои плоды в виде снижения перечня требований к ИСПДн. Получается если смотреть с точки зрения здравого смысла, то АУ1 и АУ2 (актуальные угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном ПО соответственно) будут присутствовать почти во всех ИСПДн (конечно если вы не проведете оценку на НДВ ВСЕ прикладное и системное ПО). При этом оператор проводит оценку с учетом возможного вреда для субъекта, а значит может сделать не верный, но подходящий под нормы ПП1119 вывод о том, что АУ типа 3, т.к. вред/ущерб минимальный.
3. Безопасность ПДн обеспечивает Оператор или уполномоченное лицо (полномочия на обработку ПДн по поручению). Решение по передаче функций защиты ПДн на аутсорсинг вполне может быть обосновано для многих Операторов, однако, они действуют в правовом поле связанном с поручением оператора на обработку, со всеми вытекающими отсюда требованиями...
4. Выбор СЗИ для СЗПДн в соответствии с нормативными правовыми актами ФСБ России и ФСТЭК России. Это ожидаемо, однако, обратите внимание, что в этой версии документа про эти спецслужбы написано всего 1 раз и про ФСБ России написано первой, в то время как в ПП781 они упоминаются чаще, но с акцентом на ФСТЭК России. Перетягивание одеяла? Кстати, ожидаем новые документы...
5. Выделяется несколько типов ИСПДн по типу ПДн и по типу субъектов ПДн. В целом понятно и удобно работать с ними. 1я классификаця предполагает выделение:

• ИСПДн, в которой обрабатывающей специальные категории ПДн (информация, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн). Обратите внимание, хотя этот перечень и совпадает со 152-ФЗ, но в соответствующей статье закона (ст.10 152-ФЗ) присутствует упоминание об информации о судимости и требований к ней, а в ПП 1119 ничего об этом не сказано.
• ИСПДн, в которой обрабатываются биометрические ПДн. Обратите внимание теперь на два момента:

• ..."если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн". Еще один аргумент в пользу того, что фотографии в СКУД не биометрия.
• "...и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.". Вопрос не самый критичный, но все же. Теперь однозначно видна позиция регуляторов, что спецкатегории ПДн критичнее биометрических ПДн.
• ИСПДн, в которой обрабатываются общедоступные ИСПДн. Причем основание для общедоступности - получение из общедоступных источников, созданных в соответствии со 152-ФЗ.
• ИСПДн, в которой обрабатываются иные категории ПДн

  Второй тип классификации предполагает выделение:

• ИСПДн, в которых обрабатываются ПДн только указанных сотрудников. Закономерный вопрос, "указанных где"? В приказах о приеме на работу? В справочнике сотрудников? Базе данных 1С? Еще одним тонким вопросом может стать договора подряда / ГПХ. Быстро пробежавшись по ТК РФ, я однозначно для себя этот вопрос не решил.
• ИСПДн, в которой обрабатываются ПДн субъектов, не являющихся сотрудниками оператора.
1. На уровень защищенности ИСПДн влияют тип угроз, перечень ПДн и количество субъектов ПДн. Долго ломал голову, как лучше представить в виде картинки схему классификации, и пришел к такому виду:.

   Категория ПДн + кол-во
   Спец.категории ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора			2
   Спец.категории ПДн сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора			3
   Биометрические ПДн			3
   Иные категории ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора			3
   Иные категории ПДн данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора			4
   Общедоступные ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора			4
   Общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора			4

   . 
2. Перечень требований к уровням защищенности тоже можно представить в таблице. Он очень странный и зачем он такой нужен я понять не могу. Тут есть простые и логичные требования про физическую безопасность и назначение ответственных, так и спорные требования про электронный журнал. Складывается впечатление, что несколько страниц с требованиями потеряны. А если мы вспомним пп781 и п58, то заметим, что в них требований было намного больше.

   Регулярный контроль за выполнением требований Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).	*	*	*	*
   Физ.безопасность и контроль доступа Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения	*	*	*	*
   Безопасность носителей Обеспечение сохранности носителей персональных данных	*	*	*	*
   Перечень допущенных лиц Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей	*	*	*	*
   Сертифицированные СЗИ Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз	*	*	*	*
   Назначение ответственного за безопасность ПДн Назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИСПДн	*	*	*	-
   Контроль доступа к эл.журналу доступа. Обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей	*	*	-	-
   Автоматическая регистрация в эл.журнале доступа Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИСПДн	*	-	-	-
   Создание структурного подразделения Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности	*	-	-	-

   .
3. Из полезного отмечу , что в  требованиях появились слова про регулярный контроль (ура, с конкретной периодичностью) с привлечением лицензиатов ФСТЭК России. Пункт очень здравый и полезный. НО, что они сейчас будут проверять? Есть ли приказ о назначении ответственного, или наличие перечня допущенных лиц, или закрываются ли двери в серверную на СКУД? Бред.
Итого ждали долго, но получили "смесь ужа с ежом" - "колючую проволоку", которая путает и цепляет специалистов. Другое дело было если бы приняли целый комплект документов, а так получается 1 шаг вперед, 3 шага назад. Глупо и печально.

Операторам на данный момент рекомендую проверить себя по следующему чек-листу:

• Разработать/Внедрить если еще не сделали:
• Определить перечень носителей ПДн и требования по их хранению, использованию, транспортировке и уничтожению. 
• Обеспечить физическую безопасность носителей ПДн и контроль доступа в помещения обработки ПДн. Хорошей практикой является наличие утвержденного списка лиц, допущенных в серверное помещение. Иногда регуляторы еще и спрашивают про перечень лиц, допущенных во все помещения, где производится обработка ПДн, но, на мой взгляд, это излишне.
• Назначить должностное лицо (работника), ответственного за обеспечение безопасности ПДн в ИСПДн. Обратите внимание, что, как я писал ранее, надо различать ответственного за обработку и за обеспечение безопасности ПДн.
• Внести правки в положение о структурном подразделении, ответственного за обеспечение безопасности ПДн.
• Разработать и утвердить перечень лиц, допущенных к обработке ПДн.
• Для СЗПДн использовать СЗИ, прошедшие процедуру оценки соответствия.
• Определить процедуру регулярных проверок выполнения требований к СЗПДн (процедура внутреннего контроля).
• Пересмотреть/Доработать с учетом новых данных (сделать, если еще не сделали):
• Пересмотреть протокол возможного ущерба субъектам ПДн.
• Пересмотреть и обновить Акты классификации ИСПДн с учетом уровней защищенности.
• Быть готовым к пересмотру и доработке
• Быть готовым к пересмотру модели угроз ИСПДн.
• Быть готовым к пересмотру всей СЗПДн и закупке новых СЗИ.
• Начать думать об электронном журнале (что это и какие технологии используются) и обеспечить его безопасность :)))

bis-expert.ru

Выполнение требовании Регуляторов

Для обеспечения защиты информационных систем персональных данных в соответствии с Российским законодательством в области защиты персональных данных, необходимо выполнить ряд организационных и технических мероприятий, начиная с разработки организационно-распорядительной документации, регулирующей порядок обработки, хранения и передачи персональных данных и заканчивая построением полноценной системы защиты персональных данных.

Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает организационные меры для 1,2,3,4 уровней защищенности (УЗ), приведенные в Таблице №2.

Перечень мер защиты 1 УЗ 2 УЗ 3 УЗ 4 УЗ + + + + + + + + + + + + + + + + + + + + + + +

Организовать режим обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих прав доступа в эти помещения
Обеспечить сохранность носителей ПДн
Утвердить перечень лиц, имеющих доступ к ПДн в рамках выполнения своих служебных обязанностей
Использовать сертифицированные СЗИ
Назначить приказом должностное лицо, ответственное за обеспечение безопасности ПДн в ИСПДн.
Доступ к электронному журналу сообщении определить только лицам, которым необходимы сведения, содержащиеся в данном журнале для выполнения своих служебных обязанностей
Обеспечить автоматическую регистрацию в электронном журнале безопасности изменения полномочии сотрудника по доступу к ПДн в ИСПДн
Создать структурное подразделение ответственное за обеспечение безопасности ПДн в ИСПДн или возложить эти функции по обеспечению безопасности ПДн в ИСПДн на одно из существующих структурных подразделении

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» устанавливает для 1,2,3,4 уровней защищенности в зависимости от типа актуальных угроз (АУ) технические меры защиты персональных данных и определяет какие средства защиты информации должны использоваться для каждого уровня защищенности.

В зависимости от уровней защищенности и максимального типа актуальных угроз приведены в Таблице №3.

УЗ1 УЗ2 УЗ3 УЗ4 АУ1, АУ2 или АУ3 с ССОП АУ3 без подкл. к ССОП АУ1, АУ2 или АУ3 с ССОП АУ3 без подкл. к ССОП АУ2 АУ3 с подк. к ССОП АУ3 без подкл. к ССОП - СВТ СОВ САЗ МЭ Другие СЗИ

5 класс СВТ		5 класс СВТ		5 класс СВ			6 класс СВТ
4 класс СОВ и 4 НДВ		4 класс СОВ и 4 НДВ		4 класс СОВ и 4 НДВ	4 класс СОВ	5 класс СОВ	5 класс СОВ
4 класс САЗ и 4 НДВ		4 класс САЗ и 4 НДВ		4 класс САЗ и 4 НДВ	4 класс САЗ	5 класс САЗ	5 класс САЗ
3 класс МЭ и 4 НДВ	4 класс МЭ и 4 НДВ	3 класс МЭ и 4 НДВ	4 класс МЭ и 4 НДВ	3 класс МЭ и 4 НДВ	3 класс МЭ	4 класс МЭ	5 класс МЭ
Любое ТУ или 3Б и 4 НДВ		Любое ТУ или 3Б и 4 НДВ		Любое ТУ или 3Б и 4 НДВ	Любое ТУ или 3Б		Любое ТУ или 3Б

• УЗ - уровень защищенности ИСПДн
• МЭ - межсетевое экранирование
• АУ -максимальный тип актуальных угроз
• ССОП - сеть связи общего пользования (Интернет)
• СОВ - средство обнаружения вторжении
• СВТ - средство вычислительной техники

www.itprotect.ru

---

• 
  Школа 3 нелидово электронный журнал
• 
  Шкаф в учительскую для журналов
• 
  Что случилось с живым журналом
• 
  Ученые записки ргсу сайт журнала
• 
  Упж киев архив номеров журнала
• 
  Труды одесского политехнического университета журнал
• 
  Требования типографии к макетам журналов
• 
  Тесты журнала за рулем автохимии
• 
  Тесты журнала за рулем автохимии
• 
  Тесты автохимии журнала за рулем
• 
  Старые годы журнал 1914 г