Модель угроз безопасности персональных данных разрабатывается с целью сдо ржд ответы

Сохранность личной информации

Персональные данные – это любая информация, непосредственно связанная с человеком, гражданином, и доверяемая им третьим лицам. Их сохранность от любых угроз безопасности персональных данных должна гарантироваться всеми субъектами правоотношений, которые получают к ним доступ благодаря осуществлению ими государственных функций или предпринимательской деятельности. Основные нормы, регулирующие оборот таких сведений, указаны в законе «О персональных данных». Среди лиц, попадающих под его действие:

• работодатели, получающие доступ к данным граждан при заполнении ими анкет при трудоустройстве;
• государственные учреждения, которые обрабатывают указанные данные по долгу службы;
• налоговые инспекции;
• мобильные операторы;
• социальные сети;
• ГИБДД;
• учреждения, которые регистрируют права на имущество;
• медицинские учреждения;
• образовательные учреждения;
• учреждения, работающие с биометрическими параметрами.

В распоряжении каждого из этих субъектов оказывается огромный массив важных сведений, содержащихся в информационных системах персональных данных, которые при их попадании в руки недобросовестных третьих лиц могут стать инструментом для нанесения ущерба их владельцам. Например, при хищении базы ГИБДД можно получить опасные знания о владельцах транспортных средств, их местах жительства, зарегистрированных автомобилях, датах сделок. Обладание этими данными будет крайне интересным представителям преступного мира для планирования хищений.

Если любой из операторов предполагает какие-то действия, связанные с возможностью использования этих сведений, он должен получить письменное и осознанное согласие на их обработку. Это не помогает избегать большинства угроз, но частично снимает с оператора ответственность за попадание информации к третьим лицам и ее использование различными, иногда и причиняющими ущерб, способами. Так, банк, передавая данные клиента-неплательщика коллекторским агентствам, при предварительном получении согласия на обработку персональных данных, устраняет риск его преследования за разглашение банковской тайны.

Этапы создания частной модели угроз ИСПДн

Далеко не все факторы, указанные в документе ФСТЭК, могут быть реализованы в той или иной ИСПДн, поэтому задача специалистов заключается в том, чтобы выделить реальные риски для определенной системы. Для этого разрабатывается частная модель угроз безопасности персональных данных на примере базовой, и делается это в такой последовательности:

• Установление исходного уровня защищенности с расчетом соответствующего показателя.
• Формирование модели нарушителя.
• Составление предварительного списка УБ.
• Оценка частоты возникновения каждой из выделенных угроз.
• Анализ степени опасности УБ с последующим определением актуальных факторов.
• Продумывание технических и организационных профилактических мероприятий согласно требованиям ФСБ и ФСТЭК.

Российские нормы по защите персональных данных

Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет и поднимаются в самых высоких кабинетах как в России, так и за рубежом, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.

Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками. С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году. Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федерального закона №152 «О персональных данных» от 27. 2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.

Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.

Итак, в 2006 году был принят 152-ФЗ «О персональных данных», который не только во многом повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных (далее — ПДн). Со временем в Федеральный Закон вносились изменения, основные из которых были введены 261-ФЗ от 25. 2011 и 242-ФЗ от 21. 2014. Первый закон внес существенные изменения в базовые постулаты защиты ПДн, а второй запретил первичную обработку ПДн за пределами территории РФ. Отметим, что уполномоченным государственным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации.

В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить установленные Постановлением Правительства №1119 от 01. 2012 уровни защищенности ПДн, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности. Для моделирования этих угроз, т. построения модели угроз (далее — МУ) и модели нарушителя, следует опираться на следующие нормативные правовые акты:

• документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», который был разработан и утвержден ФСТЭК России в 2008 году;
• Методические рекомендации ФСБ РФ от 2015 года для определения угроз безопасности ПДн, предназначенные для государственных органов и операторов, использующих СКЗИ и разрабатывающих соответствующие МУ.

Кроме этого, ФСТЭК России в 2015 году разработала проект «Методики определения угроз безопасности информации в информационных системах», которой после её утверждения смогут руководствоваться как операторы государственных информационных систем, так и частные компании. Следует отметить, что государственные информационные системы (далее — ГосИС) определены в 149-ФЗ (ст. 13 п. 1) как федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые МУ в зоне их ответственности. Такие МУ были разработаны, например, в ЦБ РФ (сначала в виде РС БР ИББС-2. 4, затем в виде Указания Банка России №3889-У), Министерством связи и массовых коммуникаций РФ («Модель угроз и нарушителя безопасности ПДн, обрабатываемых в типовых ИСПДн отрасли» и «Модель угроз и нарушителя безопасности ПДн, обрабатываемых в специальных ИСПДн отрасли»), Министерством здравоохранения РФ («Модель угроз типовой медицинской ИС типового лечебно-профилактического учреждения»).

В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее — ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т. «обработчик»). В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня зависит от категории обрабатываемых ПДн (т. типа ИСПДн), категории и количества субъектов ПДн и типа актуальных угроз.

Категории ПДн могут быть специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения), биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности), общедоступными (ПДн получены из общедоступных источников), иными.

Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).

Выбор уровня защищенности (далее — УЗ) персональных данных зависит от перечисленных выше характеристик ИСПДн (категории обрабатываемых ПДн и тип актуальных для ИСПДн угроз), а также от категории субъектов (сотрудники оператора или иные лица) и количества субъектов, чьи ПДн обрабатываются (больше или меньше 100000 записей). Максимальным УЗ является 1-ый, минимальным – 4-ый.

ПП-1119 предлагает достаточно сжатый перечень мер защиты ПДн, поскольку детальные меры безопасности определяет ФСТЭК России: Приказ №21 от 18. 2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн, а Приказ №17 от 11. 2013 регламентирует требования по защите информации в ГосИС, включая защиту ПДн в них. Кроме этого, ФСБ РФ также выпустила Приказ №378 от 10. 2014, который содержит описание мер защиты ПДн при использовании средств криптографической защиты информации (далее — СКЗИ).

Рассмотрим сначала Приказ №21. Данный документ посвящен мерам защиты ПДн для негосударственных ИС и содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн. В п. 4 операторам негосударственных ИС дается послабление в виде разрешения не использовать сертифицированные СЗИ в случае отсутствия закрываемых ими актуальных угроз, а п. 6 документа устанавливает трехлетний интервал проведения оценки эффективности реализованных мер. Приказ №21, равно как и Приказ №17, предлагает одинаковый алгоритм выбора и применения мер для обеспечения безопасности: сначала осуществляется выбор базовых мер на основании положений соответствующего Приказа, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных «базовых» мер в зависимости от особенностей информационных систем и использующихся технологий. Затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.

Приказ №21 в п. 10 содержит важное замечание о возможности оператора применять компенсирующие меры при невозможности технической реализации или экономической нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности ПДн. В случае, если оператор использует сертифицированные СЗИ, регулятор в п. 12 Приказа предъявляет требования к классам применяемых СЗИ и к средствам вычислительной техники (далее — СВТ).

Сертифицированные межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы в соответствии с недавно (в 2011-2016 гг. ) введенными классификаторами ФСТЭК России могут иметь классы от 1 (максимальный уровень обеспечения защиты) до 6 (минимальный уровень). СВТ могут быть классифицированы по семи уровням в соответствии с руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия недекларированных возможностей в ПО СЗИ — существует четыре уровня контроля. Актуальный список сертифицированных СЗИ содержится в государственном реестре сертифицированных средств защиты информации.

В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны быть применены в зависимости от требуемого уровня защищенности ПДн:

• Идентификация и аутентификация субъектов доступа и объектов доступа
• Управление доступом субъектов доступа к объектам доступа
• Ограничение программной среды
• Защита машинных носителей ПДн
• Регистрация событий безопасности
• Антивирусная защита
• Обнаружение вторжений
• Контроль (анализ) защищенности ПДн
• Обеспечение целостности ИС и ПДн
• Обеспечение доступности ПДн
• Защита среды виртуализации
• Защита технических средств
• Защита ИС, ее средств, систем связи и передачи данных
• Выявление инцидентов и реагирование на них
• Управление конфигурацией ИС и системы защиты ПДн.

Приказ №17 устанавливает требования к обеспечению безопасности информации ограниченного доступа в ГосИС, при этом в п. 5 подчеркивается, что при обработке ПДн в ГосИС следует руководствоваться и ПП-1119. Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации. Данный документ предполагает выполнение операторами следующих мероприятий для обеспечения защиты информации (далее — ЗИ): формирование требований к ЗИ; разработка, внедрение и аттестация системы ЗИ ИС; обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации. Пункт 14. 3 Приказа говорит о необходимости создания модели угроз и предлагает использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России, о котором мы говорили в предыдущей публикации. Для ГосИС устанавливается класс защищенности (от максимального 1-го до минимального 3-го), который зависит от уровня значимости обрабатываемой информации и масштаба системы, где уровень значимости зависит от степени возможного ущерба свойствам безопасности (конфиденциальность, целостность, доступность) обрабатываемой в ГосИС информации, а масштаб системы может быть федеральным, региональным или объектовым.

В ГосИС 1-го класса защищенности должна быть обеспечена защита от действий нарушителей с высоким потенциалом, в ГосИС 2-го класса — от нарушителей с потенциалом не ниже усиленного базового (в БДУ их потенциал называется «средним», а в проекте Методики определения угроз безопасности информации в ИС — «базовым повышенным»), в ГосИС 3-го класса — от нарушителей с потенциалом не ниже базового (в БДУ этот потенциал называется «низким»). Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные СЗИ, в п. 26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля отсутствия НДВ, в зависимости от класса ГосИС. В п. 27 проводится связь между классом защищенности ГосИС и уровнями защищенности ПДн, обрабатываемыми в ней: выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн, для 2-го класса — 2, 3 и 4 УЗ, для 3-го класса — 3 и 4 УЗ.

Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа №21, описанными выше, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией. Эти действия выполняются уже после построения системы защиты, на этапе эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты информации и контролем за обеспечением уровня защищенности информации в ГосИС.

Кроме Приказа №17 при реализации соответствующих мер ЗИ можно также руководствоваться и методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», в котором более детально раскрываются состав и содержание всех мер.

Приказ ФСБ РФ №378 устанавливает нормы по применению одного из шести классов СКЗИ при защите ПДн: КС1 (минимальный), КС2, КС3, КВ1, КВ2, КА1 (максимальный). Класс СКЗИ выбирается в зависимости от требуемого уровня защищенности ПДн и от типа актуальных угроз. Несмотря на то, что классы СКЗИ нейтрализуют угрозы, источником которых является нарушитель определенного типа с тем или иным уровнем потенциала (типов нарушителей всего 6, от Н1 до Н6, они определяются в модели нарушителя), данный Приказ привязывает класс СКЗИ именно к уровню защищенности ПДн, а не к возможностям злоумышленников. Кроме описания необходимых классов СКЗИ, указанный документ содержит административные требования к оператору, такие как организация режима доступа в помещения (физическая безопасность — установка замков, решеток), обеспечение сохранности носителей ПДн, утверждение перечня лиц, которые имеют доступ к ПДн.

Банк данных угроз безопасности информации

• Угрозы
• Уязвимости
• Документы
• Термины
• Обратная связь
• Обновления
• Участники
• Обучение
• ФСТЭК России

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)

Штрафы, взимаемые за нарушение российского законодательства о защите персональных данных, регламентируются ст. 11 КоАП РФ, в которой предусматриваются семь составов правонарушений, введенных в июле 2017 года. Например, часть 1 ст. 11 КоАП РФ предусматривает наказание операторов за обработку ПДн в случаях, не предусмотренных законом, либо обработку, несовместимую с целями сбора ПДн, в размере до 50 тысяч рублей. Часть 2 ст. 11 КоАП РФ предусматривает наказание за обработку ПДн без согласия субъекта либо за нарушения в процессе получения такого согласия, в размере до 75 тысяч рублей. Кроме того, невыполнение норм о локализации баз ПДн на территории РФ является нарушением ст. 1 242-ФЗ и ст. 5 149-ФЗ, что грозит блокированием доступа к веб-ресурсу компании-нарушителя на основании вынесенного судебного решения.

Следует учитывать, что штраф может быть наложен за каждый факт нарушения законодательных норм. Более того, недавно в Государственную Думу был внесен законопроект, подразумевающий введение двух новых составов правонарушений в области защиты ПДн — депутаты предлагают накладывать миллионные штрафы за невыполнение норм 242-ФЗ, т. за отказ от локализации баз ПДн россиян на территории РФ, а также за повторные нарушения требования по локализации.

Штрафы, взимаемые европейскими регуляторами за невыполнение норм GDPR в случае незначительных нарушений составляют до 10 миллионов евро или 2% от мирового годового оборота компании, а в случае существенных — до 20 миллионов евро или 4% от мирового годового оборота. При этом за год действия требований GDPR уже подведена неутешительная статистика: было проведено более 200000 проверок в отношении операторов, а общая сумма штрафов составляет более 56 миллионов евро, при этом 50 миллионов евро составляет сумма штрафа, выставленного интернет-гиганту Google со стороны французского регулятора в области защиты ПДн.

Штрафы, взимаемые Федеральной торговой комиссией США с компаний, не соответствующих принципам Privacy Shield, составляют до 40 тысяч долларов за факт нарушения плюс 40 тысяч долларов за каждый последующий день незаконной обработки ПДн после выявления нарушений.

Международные нормы по защите персональных данных

Если в России не утихают споры относительно правоприменения 152-ФЗ и соответствующих подзаконных актов, то в Европейском Союзе последние 3 года ведется работа по внедрению и соответствию нормам GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных). Данный документ, с момента его принятия в апреле 2016 года и до момента вступления в силу 25 мая 2018 года, а также и в настоящий момент, вызывает множество вопросов и споров, поскольку он касается большого количества граждан и компаний по всему миру.

Предшественником GDPR в Европейском Союзе была Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 года «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». После принятия GDPR права субъектов ПДн существенно расширились, а обязанности операторов и штрафы за их неисполнение существенно возросли.

Новым важным термином в GDPR является «профилирование» (англ. profiling), под которым понимается любая форма автоматизированной обработки персональных данных в целях оценки определенных аспектов личности, в частности для анализа или предсказания работоспособности человека, его материального положения, здоровья, личных предпочтений, интересов, поведения, местоположения или передвижений.

Как и в 152-ФЗ, в GDPR используются такие понятия, как «обработка персональных данных», «обработчик», «оператор» (англ. controller), «трансграничная обработка», «псевдонимизация» (обезличивание) и подобные универсальные термины.

Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн граждан ЕС и иных граждан, находящихся на территории ЕС. При этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также находиться за пределами ЕС. Примеры, касающиеся операторов-компаний из РФ:

• российский банк должен соответствовать нормам GDPR при обработке данных своих клиентов-граждан РФ при их нахождении на территории ЕС;
• онлайн-магазин с регистрацией в РФ, предоставляющий услуги/товары в том числе гражданам ЕС, использующий cookie-идентификаторы и/или аналитику поведения пользователей на своем сайте с интерфейсом на языках ЕС, также подпадает под действие норм GDPR;
• дочерняя структура российской компании, ведущая деятельность на территории ЕС.

Основой норм GDPR являются шесть базовых принципов:

• законность, справедливость и прозрачность обработки — соответствие обработки ПДн законодательству, выработка и следование публично доступной политике по работе с персональными данными (т.н. privacy policy);
• ограничение целей обработки — обработка ПДн осуществляется для определенных, четко выраженных целей и не дольше, чем того требует достижение указанных целей;
• минимизация данных — обработка ровно такого объема ПДн, который требуется для достижения целей обработки;
• точность — обрабатываемые ПДн точны и верны, в противном случае субъект может потребовать удалить или откорректировать неверные ПДн;
• ограничение на хранение — после достижения цели обработки данные удаляются;
• целостность и конфиденциальность — обработка ПДн ведется безопасно, данные защищаются от несанкционированного доступа, случайного или намеренного удаления, утери, повреждения, с применением соответствующих технических и организационных мер.

Документ не дает операторам детальных инструкций по защите, предоставляя им свободу выбора мер и техник. Например, следует, где это возможно, шифровать ПДн при хранении, передаче и обработке, а также использовать алгоритмы псевдонимизации. Это ожидаемо снизит потенциальный ущерб в случае утечки, но GDPR не приводит конкретных условий применения этих защитных мер. В этом европейский подход отличается от российского, при котором государственные органы четко регламентируют меры защиты и условия их применения, не надеясь на благоразумие операторов — и, надо с сожалением признать, весьма обоснованно.

Кроме вышеописанных принципов, в GDPR также присутствуют следующие нормы:

• субъекты ПДн обладают правом на получение доступа к собранным о них данным, правом на корректировку и удаление неверных ПДн в системах оператора, правом на забвение, т.е. на удаление ПДн по их просьбе, правом на перенос данных из одной системы в другую в машиночитаемом виде, правом на отказ от обработки ПДн системами искусственного интеллекта, системами профилирования и автоматизированными системами принятия юридически значимых решений (при этом при таком отказе оператор не вправе ущемлять иные законные права субъекта при обработке его ПДн);
• оператор должен производить оценку рисков нарушения прав и свобод субъектов ПДн (т.е. проводить Data Protection Impact Assessment);
• оператор должен вести актуальный реестр бизнес-процессов обработки ПДн, в котором отражаются цели и основания обработки ПДн, категории обрабатываемых ПДн, сроки хранения и применяемые меры по защите ПДн;
• при проектировании автоматизированных систем обработки ПДн операторы должны руководствоваться принципами встроенной конфиденциальности (privacy by design, т.е. внедрять меры защиты ПДн на всех этапах проектирования систем и жизненного цикла обработки ПДн) и конфиденциальности по умолчанию (privacy by default, т.е. обрабатываемый объем ПДн должен быть минимальным для достижения чётко поставленных целей их обработки);
• согласие на обработку ПДн должно быть дано субъектом ПДн в виде активных осознанных действий — оператор не имеет права считать согласие субъекта данным по умолчанию, как не может и не давать пользователю выбора или не предоставлять ему возможность отозвать согласие без ущемления интересов;
• оператор должен назначить ответственного за защиту персональных данных (Data Privacy Officer) в случаях, когда: обработка ПДн ведется публичной компанией компания ведет систематическое профилирование большого количества субъектов ПДн компания обрабатывает большой объем данных о судимостях/нарушениях закона или большой объем специальных категорий ПДн (сведения о расовой, национальной принадлежности, политических, религиозных, философских убеждениях, биометрических и генетических данных, данных о состоянии здоровья);
• обработка ПДн ведется публичной компанией
• компания ведет систематическое профилирование большого количества субъектов ПДн
• компания обрабатывает большой объем данных о судимостях/нарушениях закона или большой объем специальных категорий ПДн (сведения о расовой, национальной принадлежности, политических, религиозных, философских убеждениях, биометрических и генетических данных, данных о состоянии здоровья);
• оператор обязан в течение 72-х часов уведомить локального представителя регулятора (supervisory authority, который подчиняется Data Protection Authority — регулятору по вопросам защиты данных) об обнаруженных или сообщенных фактах нарушения GDPR-норм обработки ПДн, в т.ч. утечках ПДн, задокументировав выявленные факты, прогнозируемый ущерб субъектам, принятые меры для смягчения последствий.

Процесс определения угроз безопасности персональных данных

Есть огромное количество УБ, но далеко не все из них необходимо принимать во внимание, формируя систему информационной защиты. Алгоритм, предлагаемый ФСТЭК, дает возможность выявить именно те факторы, которые способны привести к НСД именно в вашей ИСПДн. Для этого необходимо проанализировать уровень изначальной защищенности, а также просчитать, с какой вероятность конкретная угроза может возникнуть.

Первый показатель базируется на оценке эксплуатационных и технических свойств системы с помощью указанной в методике таблицы:

• высокий уровень определяется, если больше 70% параметров отвечают высокому уровню, а остальные — среднему;
• если как минимум 70% характеристик отвечают уровню не ниже среднего, а остальные относятся к низкому, то ИСПДн имеет средний уровень;
• при несоблюдении требований высокого и среднего уровня системе присваивают низкий уровень исходной защищенности.

Второй показатель позволяет оценить, как часто может быть реализовано условие, при котором происходит несанкционированный доступ и использование ПДн. Для этого нужно составить перечень УБ и с учетом наличия объективных возможностей для её выполнения обозначить её маловероятность, низкую, среднюю либо высокую вероятность. Для каждой из градаций предусмотрен числовой эквивалент: 0, 2, 5 и 10, соответственно. После этого рассчитывается коэффициент Y = (Y1+Y2)/20 и проводится экспертная оценка с привлечением должностных лиц и сторонних экспертов. Последний этап — выделение из списка тех УБ, которые возможно осуществить в исследуемой системе.

После определения типа актуальных угроз безопасности персональных данных согласно установленному алгоритму, специалисты могут приступать к проработке организационно-технических требований, на основании которых будет потом выстраиваться СЗПДн.

Категории субъектов персональных данных

В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:

• лица, которые не являются штатными или внештатными сотрудниками организации;
• лица, связанные с компанией трудовыми взаимоотношениями.

В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.