Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся.
Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается.
Каждый из этих подходов имеет свои недостатки.
Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.
При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью.
Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной.
Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.
Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.
Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.
Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.
Нормативная база
Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.
Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.
Разберем порядок действий на отдельно взятой информационной системе.
Гис или не гис
Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.
Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».
Актуальные угрозы ИБ
Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:
- По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
- Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
- На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
- Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
- На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.
Уровень защищенности ИСПДн
Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:
- связанные с наличием недекларированных возможностей в системном программном обеспечении;
- связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
- не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.
Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.
Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:
- специальные;
- биометрические;
- общедоступные;
- иные.
В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.
Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:
- до 100 тысяч;
- более 100 тысяч;
- ПДн сотрудников Оператора (без привязки по объему).
На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.
Для Определения УЗ можно воспользоваться специальной таблицей:
Класс ГИС
Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.
Для этого определяются дополнительные к предыдущему разделу показатели:
- Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
- Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.
На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.
Базовый набор мер
- После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.
- Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.
- Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.
В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.
Адаптированный набор мер
Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.
Дополненный набор мер
Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.
Система защиты информации
В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.
Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.
Для ГИС применяются только сертифицированные средства защиты информации.
Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации.
Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги.
При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.
Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.
Заказать услугу
Аттестация
После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.
Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.
Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.
Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.
Заказать услугу
Что в итоге
В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.
Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.
А что потом?
Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы.
Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны.
Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.
Удачи на пути создания собственной эффективной системы защиты информации.
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
На что обратить внимание при выборе провайдера для обработки ПДН: декларация соответствия или аттестат
Провайдеры же в качестве подтверждения соответствия требованиям регуляции демонстрируют на своих ресурсах два вида документов: аттестат или оценку эффективности. Сегодня вместе с Алексеем Афанасьевым ( #CloudMTS, «ИТ-ГРАД»), Дмитрием Пойгиным и Игорем Яковлевым (ООО «НАЦ») разберемся, в чем отличия и какой вариант предпочтительнее и беспроблемнее.
Большинству коммерческих клиентов эти процедуры могут показаться близкими по своей сути и результату. Выбирая облачный IaaS-сервис, можно ли рассчитывать, что подтверждающие документы — аттестат и оценка эффективности — так же близки?
На наш экспертный взгляд, однозначный ответ: нет. Большинство клиентов, работая над приведением к соответствию своей информационной системы, подчас не видят большой разницы ни между этими документами, ни между процедурами, которые за ними стоят. Почему так происходит? Чтобы это понять, разберем особенности работы с ПДн и типы демонстрируемых провайдерами бумаг.
Важно: Выбор сервиса для размещения своей ИСПДн и отслеживание валидности предоставленных бумаг — зона ответственности клиента, поскольку, где бы он ни размещал информационные системы, он остается оператором ПДн и несет ответственность за их защиту.
Спецификация работы с ПДн в облаке
Когда компания строит собственную ИС для работы с персональными данными в облачных сервисах провайдера, она как оператор ПДн должна учитывать возможность сослаться на некий документ, подтверждающий корректность использования сервиса согласно требованиям регулятора. Как правило, такой документ может быть представлен в виде непосредственно оценки эффективности или аттестата.
Эти два типа документов можно рассмотреть на примере требований к изоляции ИСПДн от публичных сред, других ИС в облаке и интернета.
У регулятора существует конкретный перечень требований к изоляции ИСПДн. При этом достаточно большой набор сервисов со стороны провайдера не всегда имеет однозначное подтверждение такой изолированности.
В своих технических требованиях регулятор оперирует набором ОС, «железа», подключением к интернету (сетям общего пользования) и другими.
В свою очередь, провайдер может оперировать уровнями платформы, контейнерами или отдельными сервисами (базы данных, бэкапы и пр).
Поскольку выбор сервиса для ИСПДн — зона ответственности клиента, он должен убедиться, что решение соответствует требованиям регулятора. В том числе в части изоляции. Подтвердить это может как аттестат, так и оценка эффективности (ОЭ). Но есть нюанс.
- В аттестате фиксируется точное соответствие тому или иному уровню защищенности (УЗ) и классу защиты (К) с учетом всех требований ГОСТ, а ОЭ может лишь обозначать данное соответствие.
- Если сервисы провайдера аттестованы, разграничение зон ответственности можно, как правило, провести более четко.
- Аттестат соответствует определениям и категориям, которые использует регулятор. В отличие от оценки эффективности, где определения могут быть даны в более расплывчатых формулировках и не всегда полностью отражать требования регуляции.
Когда без аттестата не обойтись
Когда клиенту принципиально необходимо выбирать именно аттестованное решение?
- Если клиент планирует размещать в облаке ГИС. Оценка эффективности здесь не подойдет — при прохождении процедуры аттестации самой информационной системы сослаться на ОЭ будет проблематично.
- Возможно, ИС клиента будет подключаться к ГИС. В этом случае при выборе сервиса стоит внимательно изучить требования владельца системы, к которой планируется подключение. Как правило, в них указывается обязательное наличие аттестации подключаемой ИС. А значит, при выборе облачных сервисов стоит обратить внимание именно на аттестованное решение.
Для обычного коммерческого клиента, не планирующего обмениваться информацией с ГИС и, соответственно, имеющего возможность не выполнять аттестацию своей ИС, «ассортимент» подходящих защищенных облаков значительно шире. В таком случае можно рассмотреть сервисы тех провайдеров, которые предоставляют оценку эффективности.
Оценка эффективности vs. аттестат
Итак, вы — законопослушная компания, планирующая обрабатывать ПДн в облаке, и уже составили список кандидатов в провайдеры. Кто-то из них гордо продемонстрировал оценку эффективности, другие — показали аттестованное решение.
Очевидно, что подтверждающая документация — не единственный критерий выбора, ведь важно также сравнить цены, функционал, технические возможности. Однако документы стоит изучать далеко не в последнюю очередь, ведь даже самые полезные фичи сервиса могут быть перечеркнуты тем, что он банально не подойдет вам из-за несоответствия требованиям регулятора.
Как выбрать между аттестованным решением и сервисом с оценкой эффективности и не пожалеть о своем решении в будущем? Сравним оба документа.
Оценка эффективности
В первую очередь, необходимо понимать, что оценка эффективности не является документом по ГОСТу. Это документ, предполагающий оценку мер, которые были произведены для защиты ПДн, размещаемых в этой ИС.
Такую оценку владелец ИС вправе выполнить самостоятельно, не привлекая никого со стороны. Только от него зависит объем требований и набор проверяемых подсистем, а также сценарий проверки.
В этом случае всю ответственность за процедуру несет сама компания.
При необходимости оценки со стороны для проведения этой процедуры можно пригласить консалтера или же компанию-лицензиата ФСТЭК с лицензией, дающей право на проведение аттестационных испытаний — выбор велик.
Говоря грубо — любая компания может выбрать набор критериев безопасности и провести внутреннюю оценку своих систем на предмет соответствия этим критериям. Будет ли ее результат иметь юридическую силу в глазах регулятора? Едва ли. Важно ли для конечного заказчика наличие у провайдера проведенных оценок эффективности? Давайте разберемся.
Есть компании, которые принципиально не проводят строгую аттестацию. Для работы с ПДн они самостоятельно осуществляют некую оценку эффективности и говорят: «Господа, мы решили не использовать сертифицированные средства для защиты гипервизора, потому что в нашей модели нарушителя нет реальных угроз на этом уровне. Сертифицированные средства стоят дорого, и, на наш взгляд, польза от них неочевидна».
Иными словами, провайдер может где-то использовать сертифицированные средства защиты, где-то обойтись «творческим подходом» и ссылкой на организационные меры защиты, а где-то признать невозможность использования сертифицированных средств защиты в связи с экономической неэффективностью.
Ситуация чем-то похожа на старую-добрую сказку.
Владелец ИС спрашивает:— Свет мой, зеркальце, скажи: я ль на свете самый облачный и защищенный?Его собственное отражение отвечает:
— Ты, конечно, спору нет. Вот тебе оценка эффективности. Твои клиенты будут рады;)) Аттестатом здесь и не пахнет, но в целом все надежно и утечь ничего не должно. Ну, по идее…
Соответственно, куда больше доверия вызывают оценки эффективности, произведенные сторонней компанией, а не самим провайдером.
А еще лучше, если такая консалтинговая компания — специализированная организация, имеющая право (на основании лицензии ФСТЭК) на проведение аттестационных испытаний.
Очевидно, что такая лаборатория не захочет рисковать своей репутацией в глазах регулятора выдавая сомнительные ОЭ.
Важно понимать, что методика контроля в рамках оценки эффективности не регламентируется регулятором. Так как документ, по сути, составляется в свободной форме и его содержание не определяется ГОСТом, он может не включать рассмотрение каких-то требований безопасности, уровней угроз и других тонких моментов. Так что сослаться на эту бумагу так же уверенно, как на аттестат, будет невозможно.
К тому же, де-факто сервисы с оценкой эффективности — это не тиражируемый продукт. Изначальная идея ОЭ — упростить работу с ИСПДн коммерческим компаниям и дать им возможность проверить собственные системы на предмет соответствия требованиям регулятора, а не перепродать облачные сервисы как инфраструктурные решения для размещения сторонних ИС.
Еще одна потенциальная головная боль клиентов в связи с ОЭ — на всем сроке сотрудничества с провайдером быть уверенными, что текущая реальная ситуация соответствует указанной в оценке. В отличие от аттестата, в ОЭ может быть не указан срок, в течение которого документ легитимен.
Скорее, это подтверждение того, что на момент проведения все могло соответствовать описанным возможностям. Информационные решения с оценкой эффективности подвижны — обновляются программно-аппаратные решения, средства защиты, сам сервис растет и развивается.
Поэтому нужно быть готовым к тому, что провайдер мог что-то поменять в своей ИС и это привело к расхождению реальной ситуации с ОЭ. И не факт, что в лучшую сторону с позиции комплаенса.
Да, возможно, мы сгустили краски. Практика показывает, что далеко не все оценки эффективности — это сомнительная филькина грамота. Помимо уже упомянутых выше ситуаций, когда подходящих процедур просто нет в природе, оценка эффективности может осуществляться в дополнение к требуемым регуляторами нормам.
Простой пример — работа с собственными персональными данными, ИС с ПДн сотрудников компании. Далеко не все компании готовы тратить ресурсы на аттестацию таких систем и ограничиваются оценкой эффективности. Если по какой-то причине придет проверка от регулятора, а в ИС обнаружатся нарушения, будет время, порядка квартала, чтобы всё устранить согласно предписанию.
Однако подобную ИС, предназначенную для собственных нужд компании, не предоставляют как сервис и не перепродают третьим лицам.
Аттестат
Чем же отличается аттестат?
Аттестат — это документ, который выполнен по ГОСТ и признается регуляторами. Аттестация решений не может быть проведена провайдером лично, только если он не аттестующая лаборатория, имеющая соответствующую лицензию ФСТЭК. Этим должна заниматься уполномоченная компания-лицензиат, имеющая право на проведение аттестационных испытаний.
При аттестации проверяется не только техническая часть аттестуемого решения, но и организационная. Оценивается весь объем работ по защите информации в данной организации относительно рассматриваемой информационной системы. Фиксируется состав технических средств, ПО и возможных изменений в них.
Наличие у провайдера аттестата гарантирует некую неизменность условий функционирования системы, оказывающих влияние на информационную безопасность, в течение всего периода его действия.
Иными словами, для конечного клиента не имеет значения, когда именно был аттестован облачный сервис, вчера или полгода назад. Если аттестат действителен, значит, требования регуляторов выполняются и решение соответствует требованиям безопасности.
Так, например, облачные сервисы, имеющие аттестаты УЗ-1 и К1, проходят контрольные мероприятия ежегодно согласно требованиям регулятора.
Если так случится, что в аттестованном сервисе провайдера обнаружится уязвимость и регулятор обратит на нее внимание, то претензий к клиенту не возникнет. Ответственность несут, как мы уже писали выше, лаборатория, выдавшая аттестат, и сам провайдер.
С точки зрения законодательства, аттестация может быть добровольной и обязательной в случаях, определенных законодательством РФ. К примеру, в обязательном порядке нужно аттестовать любые информационные системы, являющиеся государственными.
Добровольная аттестация проводится во всех остальных случаях, если компания хочет подтвердить соответствие своего решения существующим требованиям. Если вы планируете когда-либо аттестовать свою ИСПДн, стоит смотреть именно на аттестованные решения.
В будущем вы сможете сослаться на подтверждающий документ, что в значительной мере упростит проведение аттестационных работ.
Подведем итоги
Аттестат | Оценка эффективности | |
Кто проводит | Компания-лицензиат | Самостоятельно, консалтинговое агентство, компания-лицензиат |
С учетом требований ГОСТ | Компания-лицензиат | Необязательно, по решению самой компании |
Возможность сослаться на документ | Да | Возможно, но не всегда |
Определенность срока действия | Да, указан в аттестате | Не всегда может быть указан |
Разделение ответственности | Да | Нет |
Возможность сослаться при аттестации по требованиям ГИС | Да | Нет |
Сравнительная таблица отличий Аттестата от Оценки эффективности
Итак, что дает наличие аттестата клиенту:
- возможность сослаться на него при аттестации собственной ИСПДн и при подключении к ГИС;
- гарантию неизменности системы на период действия аттестата;
- отсутствие вопросов при проверке со стороны регулятора.
Изучаем аттестат
Предположим, вы сделали выбор в пользу аттестованного решения. Разобраться в аттестате, понять описанные в нем детали и применить его — это уже зона ответственности клиента.
Соответственно, возникает вопрос: на что стоит обращать внимание конечным клиентам? Самый простой и резонный ответ — позволяет ли имеющийся у провайдера аттестат обеспечить требуемый уровень защищенности и/или класс защиты.
Помимо этого, в аттестате содержится информация о фактических адресах размещения технических средств. Есть смысл сверить адреса лицензий и убедиться, что аттестат действителен для этой локации.
Важен и срок действия аттестата. Он может быть и ограниченным (обычно 3 года), и бессрочным. К примеру, при аттестации в рамках 17-го приказа ФСТЭК РФ (от 11.02.2013) аттестат действует в течение всего периода эксплуатации системы.
Облачный провайдер, как правило, является лицензиатом ФСТЭК и ФСБ. Соответственно, предлагая рынку аттестованные сервисные решения, провайдер не захочет рисковать ни своей репутацией, ни доверием со стороны регуляторов.
Если сервисное решение все еще вызывает сомнения, имеет смысл через официальные ресурсы регулятора убедиться в подлинности аттестата. Требовать у провайдера внутренние документы (такие как регламенты, протоколы испытаний) вряд ли стоит. Многие из них, например, методики аттестационных испытаний, являются конфиденциальными и не могут быть предоставлены вам как клиенту.
Однако для ряда сервисов часто бывает важно получить дополнительные сведения из модели угроз и модели нарушителя, разграничения зон ответственности. Для этого можно обратиться к провайдеру и при необходимости получить типовые выписки из нужных документов.
Защита ПДн при внесении их в платёжные документы и в ГИС ЖКХ
Мы продолжаем рассказывать о деятельности управляющих организаций и ТСЖ как операторов персональных данных жителей многоквартирных домов. Читайте о том, почему незапечатанные платёжные документы нарушают № 152-ФЗ и кто отвечает за защиту персональных данных, размещённых в ГИС ЖКХ.
В платёжных документах в силу закона указываются пдн плательщиков
Обязанность УО выставлять платёжные документы в адрес собственников и нанимателей жилых помещений для внесения платы за жилищно-коммунальные услуги прописана в ч. 2 ст. 155 ЖК РФ, п. 67 ПП РФ № 354.
Примерная форма такой квитанции, а также перечень обязательной для внесения в счёт информации прописаны в п. 69 ПП РФ № 354 и приказе Минстроя РФ от 26.01.2018 № 43/пр.
В соответствии с указанными нормативно-правовыми актами, в платёжном документе обязательно указываются следующие сведения: адрес помещения, фамилия, имя и отчество собственника, наименование юрлица или данные об индивидуальном предпринимателе, сведения о задолженности, льготах и субсидиях, о количестве прописанных в помещении граждан и площади в собственности.
В соответствии с ч. 1 ст. 3 № 152-ФЗ, такая информация, напрямую или косвенно позволяющая идентифицировать человека, является его персональными данными. Управляющая организация, выполняющая условия договора управления многоквартирным домом, получает и обрабатывает такие данные в силу п. 5 ч. 1 ст. 6 № 152-ФЗ. На это ей не требуется согласие субъектов ПДн.
Такую позицию подтверждают и суды, в которые обращаются жители многоквартирных домов, считающие, что УО неправомерно используют их личные данные для выставления счетов за жилищно-коммунальные услуги. Например, в деле № 33-8182 Нижегородский областной суд отказал собственнику помещений в МКД в удовлетворении иска к управляющей организации.
Истец утверждал, что не давал согласия УО на обработку своих данных и указание их в ежемесячных квитанциях.
Суд первой инстанции встал на сторону жителя дома и потребовал, чтобы организация убрала из платёжных документов ПДн истца. Но областной суд с такой позицией не согласился.
Судья отметил, что обработка персональных данных необходима УО в силу закона – для выполнения условий договора управления. Согласия истца на это не требуется.
Почему и как Роскомнадзор проводит проверки управляющих организаций
Уо обязаны обеспечить защиту пдн в квитанциях от случайного доступа к ним третьих лиц
УО не нужно получать согласие жителей многоквартирных домов на обработку их персональных данных при формировании платёжных документов для внесения платы за ЖКУ. Однако как оператор ПДн управляющая организация обязана не раскрывать третьим лицам эти данные, не распространять их и принимать меры для защиты ПДн от случайного доступа к ним (ст. 7, ч. 1 ст. 19 № 152-ФЗ).
Это напрямую касается защиты Пдн, указанных в квитанциях за ЖКУ. В соответствии с ч. 2 ст. 155 ЖК РФ, УО выставляет жителям многоквартирных домов платёжные документы на бумаге или в электронном виде, размещая их в ГИС ЖКХ или иных информационных системах. Также счёт по письменному соглашению с собственником/нанимателем помещения может направляться ему по адресу электронной почты.
Ещё один способ получения жителем МКД платёжного документа – в информационном терминале. Это должно быть прописано в договоре управления или допсоглашении с конкретным собственником.
Электронная форма счёта – это новшество последних лет, которое обеспечивает максимальную защиту личных данных от доступа к ним третьих лиц. Но подобный способ доставки квитанций пока ещё не получил массового распространения.
Когда действия УО считаются нарушением закона о ПДн (часть 1)
Контрольные органы требуют конвертировать квитанции для защиты ПДн
Исторически сложилось, что УО и ТСЖ направляют жителям домов платёжные документы на бумаге по почте или разносят по почтовым ящикам самостоятельно. При этом чаще всего счёт представляет собой лист формата А4 (половину А4) в раскрытом виде.
Такой формат и способ доставки счетов не защищает персональные данные, указанные в квитанциях, от случайного доступа к ним сторонних лиц, особенно если часть почтовых ящиков в доме сломана. Это прямое нарушение требований конфиденциальности и безопасности личных данных жителей многоквартирного дома.
Платёжные документы должны быть запечатанными в конверт либо свёрнуты таким образом, чтобы указанные в них ПДн были скрыты. Именно такой позиции придерживаются контрольно-надзорные органы – Роскомнадзор и прокуратура. Например, к административной ответственности по ст. 13.11 КоАП РФ за доставку счетов в незапечатанном виде была привлечена одна из УО Костромской области.
В судебной практике также можно найти примеры, когда суд признавал управляющую организацию виновной в распространении ПДн жителей многоквартирных домов, доставляя бумажные счета за ЖКУ в неконвертируемом виде.
В деле № 2-549 прокуратура подала иск с требованием обязать управляющую организацию обеспечить защиту личных данных, запечатав доставляемые платёжные документы в конверты. Прокурор отметил, что для доставки квитанций в открытом виде субъекты ПДн должны дать на это письменное согласие. В ином случае подобные действия являются нарушением норм № 152-ФЗ.
Суд согласился с доводами прокуратуры и обязал УО принять меры по защите ПДн жителей многоквартирного дома, а также получить их письменное согласие на обработку их личных данных. Подобные выводы приведены и в других судебных решениях, например, по делам № 2-2061/2013,
Аттестация ГИС по 17 приказу ФСТЭК в ООО "ЦБИС"
Приказ ФСТЭК № 17 вступил в силу 11.02.
2013 и предъявляет требования по аттестации (оценке соответствия) государственных информационных систем (ГИС), в частности от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней. Также приказ устанавливает порядок классификации ГИС и предъявляет требование использовать только сертифицированные средства защиты информации при защите ГИС.
Как аттестовать ГИС?
На первый взгляд все просто: нужно открыть сам приказ, определить по приказу класс защищенности ГИС и реализовать меры, установленные для того или иного класса защищенности ГИС.
На самом деле все гораздо сложнее: нужно еще расшифровать трактовки требований к мерам защиты и понять саму методологию (порядок) защиты ГИС, чтобы сделать все правильно.
Далее мы раскроем секреты проведения работ «от и до».
Работы по защите и аттестации ГИС проводятся в следующем порядке:
- Обследование и формирование требований;
- Проектирование системы защиты информации;
- Внедрение системы защиты информации;
- Аттестация ГИС.
На каждом этапе должны быть оформлены определенные отчетные документы, которые разрабатываются с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624.
- Первый этап
На первом этапе проводятся следующие работы: - Второй этап
- На втором этапе проводятся следующие работы:
- Третий этап
- Третий этап включает следующие работы:
- Четвертый этап
- На четвертом этапе проводятся работы по аттестации ГИС, включающие:
Результаты анализа уязвимостей и испытаний на возможность несанкционированного доступа могут быть оформлены как отдельными протоколами, так и объединены в один.
Работы по аттестации могут проводить только лицензиаты ФСТЭК «на техническую защиту конфиденциальной информации» с пунктами в лицензии «а», «г».
Точную стоимость аттестации вашей ГИС вы можете свободно узнать по телефону: 8(800)-550-44-71
ЗАКАЗАТЬ ЗВОНОК
Как классифицировать ГИС?
Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).
Определение класса защищенности ГИС осуществляется в соответствии с приложением 1 к 17 приказу ФСТЭК и проводится в следующем порядке:
- Сначала нужно определить уровень значимости обрабатываемой в ГИС информации. Уровень значимости определяется оператором самостоятельно на основе того, какой ущерб может быть причинён обладателю информации: низкий, средний, высокий.
- Затем нужно определить масштаб ГИС: федеральный, региональный или объектовый. При федеральном и региональном масштабе ГИС должна иметь сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
- Класс защищенности определяется следующим образом:
Уровень значимости информации |
Масштаб информационной системы | ||
Федеральный | Региональный | Объектовый | |
УЗ 1 | К1 | К1 | К1 |
УЗ 2 | К1 | К2 | К2 |
УЗ 3 | К2 | К3 | К3 |
Класс защищенности в обязательном порядке должен быть зафиксирован в акте классификации ГИС, который утверждается оператором ГИС.
На первый взгляд кажется, что приказ является самодостаточным, включает в себя и порядок классификации и подробнейшее описание порядка реализации самих мер защиты. Бери и применяй. Но это только на первый взгляд.
Как подготовить ГИС к аттестации?
Собрать волю в кулак и сделать следующее:
Первый этап
- Провести обследование ГИС с фиксацией полученных данных в акте (отчете) об обследовании. Это необходимо, чтобы разрабатывать последующие отчетные документы, опираясь на официальный документ.
- Разработать и утвердить приказ (решение) о необходимости защиты информации в ГИС (об организации работ по защите информации в ГИС).
- Провести классификацию ГИС и утвердить акт классификации, в котором устанавливается определенный класс защищенности ГИС.
- Определить актуальные угрозы безопасности информации, содержащейся в ГИС, путем разработки и утверждения частной модели угроз безопасности и нарушителя.
- Определить требования по защите информации, разработав и утвердив техническое задание на систему защиты информации по ГОСТ 34.602
Второй этап
- Провести проектирование системы защиты информации (СЗИ) путем разработки и утверждения частного технического проекта на СЗИ в составе ГИС.
- Разработать эксплуатационную документацию на СЗИ, описывающую порядок использования средств защиты информации для каждой роли в ГИС (пользователь, администратор и др.).
- Осуществить макетирование и тестирование системы защиты информации путем разворачивания тестового стенда, использования полного набора средств защиты и моделирования реальных условий эксплуатации ГИС.
Третий этап
- Закупить, установить и настроить сертифицированные средства защиты информации.
- Разработать пакет организационно-распорядительной документации (ОРД) в части защиты информации и режимных мер.
- Внедрить организационные меры защиты информации (реализовать), установленные ОРД.
- Провести анализ уязвимостей государственной информационной системы с оформлением подтверждающих документов (программа и методики испытаний, протокол испытаний, заключение).
- Провести предварительные испытания, опытную эксплуатацию и приемочные испытания системы защиты информации в составе ГИС.
Особенности 17 приказа ФСТЭК
Особенности по сравнению с 21 приказом ФСТЭК следующие:
- Для защиты ГИС можно использовать только сертифицированные средства защиты.
- По результатам защиты ГИС в обязательном порядке необходимо проводить ее аттестацию.
- Методология (порядок) работ подробно расписана: от обследования и до аттестации ГИС.
- К 17 приказу ФСТЭК имеется методический документ «Меры защиты…», детализирующий те или иные меры защиты и досконально их поясняющий.
- В обязательном порядке проводится анализ уязвимостей ГИС с использованием банка уязвимостей bdu.fstec.ru как при внедрении системы защиты, так и при аттестации ГИС.
- В ГИС должно использоваться только сертифицированное программное обеспечение.
- Запрещено проводить аттестацию лицам, которые проектировали и внедряли систему защиты.
Как выбрать технические средства защиты ГИС?
В первую очередь необходимо знать класс защищенности ГИС, чтобы, опираясь на него, определить требуемые классы средств защиты информации для использования в ГИС.
Порядок выбора средств защиты информации по 17 приказу:
Изменения 17 приказа ФСТЭК
Вот основные моменты, которые были изменены в 17 приказе:
- В государственных информационных системах (ГИС) теперь всего 3 класса защищённости, четвертый класс исключен.
- Изменилось соотношение классов защищенности с классами защиты СЗИ (средств защиты информации). Теперь 6-й класс защиты СЗИ применяется в ГИС 3-го класса, 5-й – в ГИС 2-го класса, 4-й – в ГИС 1-го класса. СЗИ 1-3 класса по-прежнему применяются для защиты государственной тайны.
- Средства вычислительной техники (программное обеспечение) должны быть сертифицированы. (Это сверхжесткое требование, которое все будут обходить или трактовать в свою пользу).
- Меры защиты информации УПД.3 (Управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами) и ЗСВ.10 (Разбиение виртуальной инфраструктуры на сегменты для обработки информации отдельным пользователем и (или) группой пользователей) теперь требуются для всех классов ГИС. Ранее – только для 1 и 2 классов.
Особое внимание:
- Запрещено проведение аттестационных испытаний должностным лицом, которое проектировало или внедряло систему защиты информации.
- ФСТЭК России теперь вводит обязательное использование своего банка данных угроз (bdu.fstec.ru), и при проведении анализа уязвимостей в ходе аттестационных испытаний должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России.
Стоимость аттестации ГИС
Стоимость аттестации ГИС в первую очередь зависит от ее масштаба, т.е. от количественных характеристик системы. Например, ГИС, состоящая из 10 серверов, и ГИС, состоящая из 100 серверов, – это ГИС совершенно разного масштаба.
Важнейшими критериями оценки стоимости аттестации ГИС являются:
- Географическая распределенность, т.е. наличие сегментов ГИС в субъектах России.
- Аттестовалась ли ГИС ранее.
- Обрабатываются ли в ГИС персональные данные, а также каких категорий и в каком объеме.
- Требуется только аттестация или еще и подготовка ГИС к аттестации.
Если общими словами, то стоимость аттестации ГИС на базе одного сервера составляет от 300 т.р., а, например, ГИС на базе 10 серверов – около 1,5 млн., так как трудоемкость работ большая (см. выше), а срезание углов – риск для лицензиата ФСТЭК России, проводящего работы.
Скачать коммерческое предложение на аттестацию ГИС
СКАЧАТЬ PDF