Присоединяйтесь!
Зарегистрированных пользователей портала: 505 412. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

ПИСЬМО Рособразования от 22.10.2009 N 17-187 "ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ"

Дата документа22.10.2009
Статус документаДействует
МеткиПисьмо · Рекомендации

    

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

 

ПИСЬМО
от 22 октября 2009 г. N 17-187

 

ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

 
    Федеральное агентство по образованию напоминает, что все действующие информационные системы, обрабатывающие персональные данные, должны быть до 1 января 2010 года приведены в соответствие с требованиями Федерального закона Российской Федерации от 26.07.2006 г. N 152-ФЗ "О персональных данных".
    В дополнение к письму Федерального агентства по образованию от 29.07.2009 г. N 17-110 "Об обеспечении защиты персональных данных" (www.ed.gov.ru/files/materi als/10432/pi 17-110.pdf) направляем Вам рекомендации по проведению работ в подведомственных Рособразованию учреждениях по обеспечению защиты информационных систем персональных данных (приложение 1), в том числе по обследованию и классификации информационных систем, а также уменьшению затрат на защиту информации. Основные нормативные и инструктивные документы размещены на специализированном портале персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) pd.rsoc.ru и официальном сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК России) www.fstec.ru.
    В первоочередном порядке следует привести в соответствие с требованиями законодательства, Роскомнадзора и ФСТЭК России внутренние регламенты и ознакомить с ними сотрудников учреждения, работающих с персональными данными. Рекомендации по подготовке документов, регламентирующих обработку персональных данных в подведомственных Рособразованию учреждениях, приведены в приложении 2.
    Данные рекомендации являются примерными и должны быть адаптированы учреждением с учетом конкретных условий обработки персональных данных.
    В целях актуализации базы данных, сформированной в соответствии с письмом Рособразования от 28.04.2008 г. N ФАО-6748/52/17-02-09/72, просим Вас в срок до 15 ноября 2009 г. направить в Административно-правовое управление Рособразования по уточненной форме (приложение 3) сведения о характеристиках информационных систем, обрабатывающих персональные данные в подведомственных Рособразованию учреждениях, на бумажном и электронном носителях (e-mail: ispd@mmistry.ru).
    В соответствии с Федеральным законом Российской Федерации от 26.07.2006 г. N 152-ФЗ "О персональных данных" об изменениях в составе и классификации информационных систем персональных данных необходимо в установленном порядке уведомить территориальный орган Роскомнадзора в течение десяти рабочих дней с даты возникновения изменений.
 

Н.И.БУЛАЕВ

 
 
    

Приложение 1

    

РЕКОМЕНДАЦИИ
ПО ПРОВЕДЕНИЮ РАБОТ В ПОДВЕДОМСТВЕННЫХ РОСОБРАЗОВАНИЮ УЧРЕЖДЕНИЯХ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

 
    В соответствии с рекомендациями ФСТЭК России обеспечение защиты информационных систем персональных данных (ПДн) включает следующие стадии:
    1 Предпроектная стадия
    - Обследование информационных систем ПДн
    - Разработка Плана мероприятий по обеспечению защиты ПДн
    - Разработка Технического задания
    2 Стадия проектирования и реализации
    - Разработка Технического проекта
    - Внедрение технических средств защиты ПДн
    - Разработка нормативной и регламентирующей документации
    3 Стадия ввода в действие
    - Опытная эксплуатация системы защиты ПДн
    - Приемо-сдаточные испытания
    - Оценка соответствия требованиям по безопасности информации
    - Обучение персонала
    - Подача уведомления о начале обработки персональных данных
    Для типовых систем обработки персональных данных реализация перечисленных работ, особенно в части проектирования систем защиты, существенно упрощается.
 

1. Проведение обследования

 
    На этапе обследования информационных систем ПДн выполняются следующие работы:
    - формируется перечень ПДн, информационных систем и технических средств, используемых для их обработки;
    - определяются подразделения и сотрудники, обрабатывающие ПДн;
    - определяются категории ПДн;
    - разрабатывается описание объекта защиты, включая состав и характеристики средств обработки данных
    - проводится предварительная классификация информационных систем ПДн;
    - в соответствии с рекомендациями ФСТЭК России и (или) ФСБ России определяются и уточняются типовые модели угроз и соответствующие им типовые требования к системам защиты ПДн;
    - осуществляется оценка необходимых мероприятий и затрат по приведению информационных систем ПДн в соответствие с предъявляемыми требованиями.
    Результатами работ на этапе обследования являются:
    - перечень и категории ПДн,
    - перечни информационных систем и технических средств используемых для обработки ПДн и анализ их состояния,
    - состав имеющихся в наличии мер и средств защиты ПДн;
    - подразделения и сотрудники, обрабатывающие ПДн;
    - предварительная классификация информационных систем, обрабатывающих ПДн на типовые (1 - 4 классов) и специальные;
    - описание объектов защиты
    - уточненные типовые модели угроз и требования к системам защиты ПДн;
    - оценка необходимых мероприятий и затрат по приведению информационных систем ПДн в соответствие с предъявляемыми требованиями.
    Если затраты времени и средств на приведение информационных систем персональных данных (ИСПДн) в соответствие с предъявляемыми требованиями окажутся слишком высокими, то следует оценить возможность обезличивания или понижения классов информационных систем и провести необходимые работы повторно.
    Наиболее эффективным способом приведению ИСПДн в соответствие с предъявляемыми требованиями является их обезличивание. Оно позволяет классифицировать ИСПДн по низшему классу К4 и самостоятельно определить необходимость и способы их защиты.
    Если обезличивание невозможно, то понизить требования по защите персональных данных можно путем сегментирования ИСПДн, отключения от сетей общего пользования, обеспечения обмена между ИСПДн с помощью сменных носителей, создания автономных ИСПДн на выделенных АРМ.
    После определения способов понижения требований по защите персональных данных и необходимого повторного обследования оформляются акты классификации ИСПДн, осуществляются определение и анализ типовых моделей угроз и требований, определение необходимых мер и средств защиты ПДн, а также внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн.
    Завершается предпроектная стадия формированием Плана выполнения работ по обеспечению защиты персональных данных.
    Предпроектная стадия является важнейшим этапом работ по обеспечению защиты персональных данных, во многом определяющим состав и эффективность реализации мероприятий и необходимые затраты. Поэтому на данном этапе целесообразно привлекать для анализа результатов обследования и консультаций специалистов в области защиты персональных данных.
 

2. Классификация информационных систем персональных данных и определение актуальных угроз их безопасности

 
    Для проведения классификации ИСПДн, определения категорий персональных данных и экспертной оценки угроз их безопасности целесообразно сформировать комиссию с привлечением специалистов в области информационной безопасности, в том числе по защите государственной тайны.
    Перечень типовых ИСПДн определен приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" http://www.pd.rsoc.ru/low. Классификация ИСПДн осуществляется в зависимости от категории персональных данных (ПДн), не содержащих сведения, относящиеся к государственной тайне:
    категория 1 - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
    категория 2 - ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;
    категория 3 - ПДн, позволяющие идентифицировать субъекта персональных данных;
    категория 4 - обезличенные и (или) общедоступные персональные данные.
    Целесообразно отдельно определять категории ПДн, обрабатываемых в ИСПДн в электронном и в бумажном виде. В последнем случае следует руководствоваться постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.
    Типовые ИСПДн, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных, относятся к классу 1 (К1), - к негативным последствиям - к классу 2 (К2), к незначительным негативным последствиям - к классу 3 (К3), для субъектов персональных данных, не приводит к негативным последствиям для субъектов персональных данных - к классу 4 (К4).
    Кроме того, при классификации учитываются объем и территория охвата субъектов персональных данных в порядке, приведенном в приказе ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20.
 

Количество субъектов ПДн в системе Более 100 тыс. ПДн В объеме От 1000 до 100000 ПДн В объеме До 1000 ПДн
Категория ПДн, обрабатываемых в электронном виде  РФ субъекта РФ отрасли органа власти муниципального образования организации
1. Расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь 1 класс (К1) 1 класс (К1) 1 класс (К1)
2. Позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1 1 класс (К1) 2 класс (К2) 3 класс (К3)
3. Позволяющие идентифицировать субъекта персональных данных 2 класс (К2) 3 класс (К3) 3 класс (К3)
4. Обезличенные и (или) общедоступные персональные данные 4 класс (К4) 4 класс (К4) 4 класс (К4)

 
    ИСПДн, обрабатывающие обезличенные или общедоступные персональные данные класса (категории 4) относятся к классу К4. В этом случае обязательные требования по защите ПДн не устанавливаются.
    Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" определены необходимые мероприятия по защите персональных данных. В их число входят определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; разработка на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем, и другие мероприятия.
    При обработке персональных данных в информационной системе должно быть обеспечено:
    а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации (прежде всего, регламентирование доступа сотрудников к обработке персональных данных, парольная и антивирусная защита);
    б) своевременное обнаружение фактов несанкционированного доступа к персональным данным (прежде всего, регламентирование использования и регулярное обновление антивирусных средств);
    в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование (охрана и регламентирование использования технических средств);
    г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (прежде всего, путем хранения резервных копий на съемных маркированных носителях);
    д) постоянный контроль за обеспечением уровня защищенности персональных данных (осуществляемый, в основном, администраторами ИСПДн и иным персоналом).
    При этом следует иметь ввиду, что в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" основным обязательным требованием к ИСПДн является обеспечение конфиденциальности. Если право доступа субъекта к своим персональным данным, их изменения, блокирования или отзыва реализуются не самим субъектом непосредственно, а персоналом ИСПДн при обращении или по запросу субъекта или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, если в ИСПДн не обрабатываются персональные данные 1 категории и не предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки персональных данных, то другие требования (кроме конфиденциальности) менее критичны. Так, в случае выявления неправомерных действий с персональными данными для их устранения законом предусмотрено три рабочих дня с даты такого выявления.
    Следует учитывать, что требования к обработке персональных данных и к обработке иной конфиденциальной информации (например, коммерческой тайны) могут различаться. Применение к обработке персональных данных положений документов (например, СТР-К), действующих до вступления в силу Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", если эти положения в этом законе или последующих подзаконных актах изложены иначе, юридически некорректно.
    Если система не может быть отнесена к типовой, модель угроз специальной информационной системы разрабатывается на основе ГОСТ Р 51275-2006 специалистами в области информационной безопасности. Типовые модели угроз приводятся в "Базовой модели угроз безопасности персональных данных".
    Определение угроз безопасности персональных данных осуществляется на основе утвержденной ФСТЭК России "Базовой модели угроз безопасности персональных данных". Полный перечень угроз определен ГОСТ Р 51275-2006.
    Выбор типовой модели угроз осуществляется в зависимости от того, имеют ли ИСПДн подключение к сетям общего пользования и (или) сетям международного информационного обмена, а также от их структуры (автономные автоматизированные рабочие места, локальные сети, распределенные ИСПДн с удаленным доступом).
    Наименьшее количество угроз имеют автоматизированные рабочие места и локальные ИСПДн, не подключенные к сетям общего пользования. Если ИСПДн нераспределенные и соответствуют классу К3, то необходимые мероприятия по защите персональных данных могут быть осуществлены без привлечения специалистов в области информационной безопасности.
    Для каждой угрозы, приведенной в типовой модели, следует оценить возможную степень ее реализации. Если она окажется высокой, то это может потребовать применения соответствующих дополнительных технических средств защиты информации.
    Возможность реализации угрозы зависит от исходной защищенности ИСПДн и вероятности реализации угрозы.
    Вероятность реализации угрозы - определяемый экспертным путем показатель, характеризующий, насколько вероятной является реализация конкретной угрозы безопасности ПДн для каждой ИСПДн:
    маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, отсутствует физическое подключение к сети);
    низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, действия персонала оговорены в утвержденном регламенте или имеются средства защиты и инструкции по их применению);
    средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (например, средства защиты имеются, но инструкции по их применению отсутствуют):
    высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.
    Исходная защищенность ИСПДн определяется в соответствии с утвержденной ФСТЭК России "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных".