Часто встречающиеся вопросы по работе с персональными данными

Часто встречающиеся вопросы по работе с персональными данными.

Возможная тематика дискуссии:

Вопрос: Рассмотрим типовую компанию, предприятие или организацию. Где в ней могут быть персональные данные? Как сгруппировать эти персональные данные?

Ответ: Обычно это кадровая служба, бухгалтерия, клиенты, контрагенты.

Вопрос: Какие различия в классификации ИСПДн муниципальных органов и физическими лицами, осуществляющими обработку персональных данных?

Ответ: Никаких, поскольку приказ о классификации устанавливает единый порядок для всех операторов, прямо выполняя статью 1 ФЗ-152: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами…»

Вопрос: Какие персональные данные могут быть отнесены к первой категории?

Ответ: согласно Приказу ФСБ/ФСТЭК/Минсвязи от 01.01.01 года № 55/86/20 «категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни»

Вопрос: Относятся ли данные о группе инвалидности, заключение о результатах профосмотра (годен, годен с какими-либо ограничениями) к сведениям о состоянии здоровья? А, следовательно, и ИСПДн, обрабатывающие их к первому классу?

Ответ: Четкого определения понятию «состояние здоровья» закон не дает. Поэтому можно говорить только об экспертном мнении.

Например, по мнению одного из экспертов по защите ПДн: сведения об инвалидности, годности к работам и т. п. не могут быть отнесены к данным о состоянии здоровья, поскольку не раскрывают диагноза, который и характеризует состояние здоровья. Причиной инвалидности может быть состояние зрения, слуха, опорно-двигательной системы, последствия заболевания и т. д. Запись «инвалид 2-1 группы этой информации не дает. Подобные сведения являются сведениями об ограничении трудоспособности, а не состоянии здоровья.

Вопрос: На основании чего персональные данные относятся к 2 или 3 категории? Какие данные позволяют получить дополнительную информацию о субъекте, а какие просто его идентифицировать?

Ответ: Разница определена в приказе ФСБ/ФСТЭК/Минсвязи от 01.01.01 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Весь вопрос в трактовке тем человеком, который проводит классификацию. Рассмотрим, к примеру, любую анкету. Идентифицировать субъекта можно по его ФИО + паспортные данные, или по ФИО+ адрес и год рождения (тогда это категория 3 ПДн). Все остальное, сведения об образовании, о местах работы, о размерах заработка, номера телефонов, других документов – все это дополнительная информация о субъекте (категория 2 ПДн). Иными словами мы подходим к вопросу категоризации данных с точки зрения необходимости и достаточности. Если каких-то данных достаточно для идентификации субъекта и они остро необходимы для такой идентификации = категория 3. Всё, что идет сверху – дополнительная информация и категория 2.

Вопрос: К какой категории данных относятся поля ФИО и ИНН (или вместо ИНН № пенсионного полиса, или серия-номер паспорта, или номер водительского удостоверения, или т. п.)? Смущает то, что любой из этих номеров уникален и идентифицирует личность даже без ФИО.

Ответ: Любую комбинацию типа ФИО + номер одного из указанных документов, следует отнести к категории 3, поскольку такая комбинация, во-первых - уникальна, а во-вторых – однозначно идентифицирует субъекта. Любой из этих номеров, конечно же, уникален, но без ФИО никак человека не идентифицирует. Для идентификации понадобится база данных, содержащая список таких номеров и привязанные к ним ФИО.

Вопрос: К какому классу будет отнесена ИС «Корпоративный телефонный справочник», содержащая следующую информацию: ФИО, должность, номер телефона (городской рабочий) и адрес электронной почты?

Ответ: Если данные касаются работников одного предприятия (организации), систему можно относить к типовым класса К3, поскольку целями обработки является идентификация работников и никакой дополнительной информации, кроме той, позволяющей определить нужное лицо и вступить с ним в контакт, в корпоративном телефонном справочнике нет.

Вопрос: Требуются ли какие-либо специальные мероприятия, если ПДн в нашей организации являются только данные работников (менее 10 человек). Все эти данные обрабатываются в целях ТК РФ (зарплата и налоги) на домашнем компьютере руководителя?

Ответ: Такая система относится к ИСПДн класса К3 и требует точно такого же обращения, как и все остальные. Необходимо будет разработать нормативные документы, а также выполнить требования ФСТЭК по защите однопользовательской ИСПДн класса К3. Плюс, домашний компьютер директора наверняка имеет выход в Интернет, что требует также дополнительной защиты. Стоит обдумать вариант с бумажным ведением кадрового учета (хотя бы декларативно).

Вопрос: Относятся ли к ПДн база клиентов нашей организации, в которой хранится информация о клиентах, заказах, ФИО представителей заказчиков и их рабочие телефоны (исходные данные взяты с сайтов компаний и общедоступных телефонных справочников). Если да, то, к какому классу надо относить такую базу?

Ответ: Такие данные можно отнести к персональным данным, если кроме ФИО представителя есть еще хоть какие-нибудь данные, облегчающие его идентификацию. Если Вы сможете доказать, что данные общедоступные (а обязанность доказывать это лежит на операторе ПД), то такая система будет классифицироваться как К4.

Вопрос: В организации используется ИС, в которой содержатся № телефона, ФИО лица, подавшего заявку на выяснение технической возможности подключения в Интернет. Объем обрабатываем ПД от 1000 до 100.000. К какой категории обрабатываемых ПДн отнесение данной ИС считается соответствующим?

Ответ: Ответ – К3. Это классическая типовая система, где категория (Хпд) =3, поскольку данные только идентифицируют личность, а объем (Хнпд)=2, т. к. количество обрабатываемых записей – от 1000 до 100000. Согласно таблице из пункта 15 приказа о классификации получается К3.

Тема 7.2

Классификация информационных систем персональных данных – тренинг

Возможная тематика тренинга:

Вопрос: Что обычно входит в состав информационной системы:

Ответ: Информационная система (ИС) состоит из баз данных, в которых накапливается информация, источника информации, аппаратной части ИС, программной части ИС, потребителя информации. ИС может включать в себя персонал, её эксплуатирующий, а может и не включать.

Вопрос: Дать определение, что такое информационная система.

Ответ: Информационная система – совокупность содержащейся в базах данных информации (сведения/сообщения/данные независимо от формы их представления) и обеспечивающих ее обработку информационных технологий (процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов) и технических средств. (Формулировка из 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 01.01.2001)

Рассмотрим определение, приведенное в «Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», (утв. постановлением Правительства РФ от 01.01.01 г. № 000):

«ИСПДн, представляет собой совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации».

Здесь под техническими средствами, позволяющими осуществлять обработку ПДн, понимаются СВТ, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео - и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах.

Вопрос: Как можно классифицировать информационные системы по степени автоматизации.

Ответ:

·  Информационные системы без использования средств автоматизации характеризуются отсутствием современных технических средств переработки информации и выполнением всех операций человеком. Например, о деятельности менеджера в фирме, где отсутствуют компьютеры, можно говорить, что он работает с неавтоматизированной ИС.

·  Автоматизированные информационные системы (АИС) — наиболее популярный класс ИС. Предполагают участие в процессе накопления, обработки информации баз данных, программного обеспечения, людей и технических средств.

·  Автоматические информационные системы выполняют все операции по переработке информации без участия человека, различные роботы. Примером автоматических информационных систем являются некоторые поисковые машины Интернет, например, Google, где сбор информации о сайтах осуществляется автоматически поисковым роботом и человеческий фактор не влияет на ранжирование результатов поиска.

Обычно термином ИС в наше время называют АИС. Ручные ИС тоже попадают под определение ИСПДн, поскольку это прямо написано в статье 1 ФЗ-152 «О персональных данных»: «…лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».

Вопрос: Отчего зависит класс ИСПДн?

Ответ: Согласно документу: Приказ ФСБ/ФСТЭК/Минсвязи от 01.01.01 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных», при проведении классификации информационной системы учитываются следующие исходные данные:

·  категория обрабатываемых в информационной системе персональных данных - Хпд;

·  объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Хнпд;

·  заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе.

Вопрос: Как влияет параметр «наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена», упомянутый выше на класс ИСПДн?

Ответ: Никак не влияет, поскольку этот параметр влияет на выбор методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных при построении системы защиты персональных данных.

Вопрос: Где взять необходимую для классификации информацию об ИСПДн?

Ответ: сбор и анализ исходных данных по информационной системе проводится либо лицом, отвечающим за организацию безопасности ПДн в компании, либо специализированной организацией, проводящей обследование компании с целью выявления признаков обработки ПДн. Как правило, обследование проводится по следующим направлениям: анкетирование сотрудников организации, интервьюирование сотрудников, у которых выявлена работа с ПДн, а также визуальный осмотр компонентов ИС.

Вопрос: Чем типовая ИСПДн отличается от специальной ИСПДн?

Ответ: Статья 7 ФЗ -152 гласит: «Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных…», то есть ко всем ИСПДн предъявляется требование конфиденциальности.

Если к ИСПДн не предъявляется требования по обеспечению никаких дополнительных характеристик безопасности кроме конфиденциальности, требуемой по закону, то это типовая ИСПДн. А специальные ИСПДн - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Вопрос: В организации используется ИС, в которой содержатся № телефона, ФИО лица, подавшего заявку на выяснение технической возможности подключения к Интернет. Объем обрабатываем ПД от 1000 до 100.000. К какой категории обрабатываемых ПДн правильно отнести данную ИС?

Ответ: Ответ – К3. Это классическая типовая система, где категория (Хпд) =3, поскольку данные только идентифицируют личность, а объем (Хнпд)=2, т. к. количество обрабатываемых записей – от 1000 до 100000. Согласно таблице из пункта 15 приказа о классификации получается К3.

Вопрос: Как определить границы ИСПДн? Если в учреждении имеется много различных баз данных, то будет ли каждая база данных - ИСПДн или можно все базы данных в учреждении считать как единую ИСПДн учреждения? Соответственно если ИСПДн в учреждении много как определить границы (сетевое оборудование, сервера будут находиться одновременно в нескольких ИСПДн)

Ответ: В требованиях по обеспечению безопасности ПД при их обработке в ИСПДн есть четкий регламент – разные ИСПДн должны быть отделены друг от друга межсетевыми экранами. В случае если все базы данных находятся в одном сегменте сети, то они все будут являться подсистемами единой ИСПДн. И будут классифицироваться по максимальному классу ИСПДн, входящей в состав общей. Другими словами, если две базы данных (подсистемы), классифицированных по классу К2 ИСПДн, и одна – классифицированная по классу К1 ИСПДн, то и вся общая единая ИСПДн будет соответствовать классу К1 с соответствующими требованиями по защите.

Вопрос: По предыдущему примеру - если ИСПДн в организации много, аттестовывать придется каждую в отдельности?

Ответ: В любом случае необходимо аттестовывать информационную систему. Если в организации будет много ИСПДн, то и аттестовывать придется их все. Если же они будут признаны подсистемами одной единой ИСПДн, то аттестовать необходимо ее одну. В первом случае работы по классификации, написанию необходимых организационно-распорядительных документов, по описанию каждой системы, подготовке комплекта документов для аттестации, мероприятий по получению аттестата соответствия и затрат на проведение аттестации будет по количеству ИСПДн. При этом необходимо не забывать про средства разграничения друг от друга различных ИСПДн, что влечет закупку и установку дополнительных средств разграничения. А во втором случае не будет необходимости разделения различных ИСПДн внутри организации, а также работы по аттестации будут выполнены только один раз.

Вопрос: Что делать при необходимости внесения изменения в аттестованную систему?

Ответ: Обратившись к предыдущему примеру можно сказать, что в случае аттестации всех ИСПДн компании как единой системы, при необходимости внесения изменений нужно произвести мероприятия по доаттестации вносимых изменений. В случае аттестации всех ИСПДн компании по отдельности – необходимо произвести мероприятия по доаттестации вносимых изменений лишь в ту ИСПДн, которой эти изменения касаются. Как показала практика, крупные операторы предпочитают аттестацию всех ИСПДн компании по отдельности, поскольку их системы очень динамичны и постоянно изменяются под воздействием требований бизнеса.

Вопрос: Когда необходимо переаттестовывать систему?

Ответ: Для функционирующих ИСПДн доработка (модернизация) СЗПДн должна проводиться в случае, если:

·  изменился состав или структура самой ИСПДн или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ИСПДн);

·  изменился состав угроз безопасности ПДн в ИСПДн;

·  изменился класс ИСПДн.

Вопрос: Какой документ описывает порядок оценки актуальности угроз безопасности персональных данных при их обработке в информационных системах персональных данных?

Ответ: Оценка актуальности угроз безопасности персональных данных при их обработке в ИСПДн проводится с использованием «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной ФСТЭК 14.02.08г.;

Вопрос: Зачем необходима оценка актуальности угроз?

Ответ: С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

Вопрос: Чтобы актуализировать угрозы в конкретной ИСПДн, необходим исходный общий (предварительный) список угроз безопасности. В каком документе он определен?

Ответ: «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн», утвержденная ФСТЭК 15.02.08г. Здесь в пункте 6 указано, что: «Применительно к основным типам ИСПДн составляются типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации УБПДн. Модели угроз безопасности ПДн составляются операторами применительно к конкретным ИСПДн на этапах их создания и (или) эксплуатации».

Вопрос: Что такое актуальная угроза?

Ответ: Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.

Вопрос: Как оценить возможности реализации угрозы?

Ответ: Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Вопрос: Что такое уровень исходной защищенности ИСПДн?

Ответ: Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (территориальное размещение, наличие соединения с сетями общего пользования, набор встроенных операций с записями баз ПДн, разграничение доступа к ПДн, наличие соединений с другими базами ПДн иных ИСПДн, уровень обобщения (обезличивания) ПДн, объем ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки), и имеет три уровня: низкий, средний и высокий.

Вопрос: Как рассчитать степень защищенности ИСПДн?

Ответ: Исходная степень защищенности определяется следующим образом.

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по второму столбцу).

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «среднего» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.

Вопрос: Что такое числовой коэффициент степени исходной защищенности ИСПДн?

Ответ: При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент, а именно:

·  0 - для высокой степени исходной защищенности;

·  5 - для средней степени исходной защищенности;

·  10 - для низкой степени исходной защищенности.

Вопрос: Что такое частота (вероятность) реализации угрозы? Какие степени ее градации существуют?

Ответ: Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько экспертное оценивание в складывающихся условиях обстановки для данной ИСПДн является конкретной угрозой реализации безопасности ПДн. Вводятся четыре вербальных градации этого показателя:

·  маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

·  низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

·  средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

·  высокая вероятность - объективные предпосылки для реализации угрозы существуют, и меры по обеспечению безопасности ПДн не приняты.

При составлении перечня актуальных угроз безопасности ПДн экспертное оценивание возможности возникновения угрозы определяется с учетом каждой градации в соответствии со следующим числовым коэффициентом, а именно:

·  0 - для маловероятной угрозы;

·  2 - для низкой вероятности угрозы;

·  5 - для средней вероятности угрозы;

·  10 - для высокой вероятности угрозы.

Вопрос: Как рассчитать коэффициент реализуемости угрозы?

Ответ: Коэффициент реализуемости угрозы равен сумме числового коэффициента степени исходной защищенности ИСПДн и числового коэффициента возможности возникновения угрозы, разделенной на 20.

Вопрос: Как интерпретировать полученное значение коэффициента реализуемости угрозы?

Ответ: По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

·  если 0 < Y < 0,3, то возможность реализации угрозы признается низкой;

·  если 0,3 < Y < 0,6, то возможность реализации угрозы признается средней;

·  если 0,6 <Y< 0,8, то возможность реализации угрозы признается высокой;

·  если Y > 0,8, то возможность реализации угрозы признается очень высокой.

Вопрос: Как оценить опасность каждой угрозы?

Ответ: При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

·  низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов ПДн;

·  средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов ПДн;

·  высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов ПДн.

Вопрос: Как осуществить выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн?

Ответ: Выбор осуществляется из общего (предварительного) перечня актуальных угроз безопасности, относимых к данной ИСПДн, в соответствии с рекомендациями табл. 7.3.

«Правила отнесения угрозы безопасности ПДн к актуальным угрозам»

Табл. 7.3

Тема 7.4

Делопроизводство. Взаимодействие с Уполномоченным органом по защите прав субъектов персональных данных – деловая игра

Практическая работа со средствами защиты информации в компьютерном классе УНЦ ИПК МТУСИ

Итог: Разработка слушателем проекта системы организации работы с ПДн для конкретной сферы деятельности (самостоятельная работа).