Зміни, викликані прийняттям постанови уряду України від 1 листопада 2018 р

Що нового?

Фактично перестають діяти керівні документи ФСБ і ФСТЕК, що базувалися на ПП-781:

Зміна підходу до сертифікації:

Безпека персональних даних

Безпека персональних даних при їх обробці в інформаційній системі забезпечується за допомогою системи захисту персональних даних, що нейтралізує актуальні загрози, визначені відповідно до частини 5 статті 19 Федерального закону «Про персональні дані».

Система захисту персональних даних включає в себе організаційні та (або) технічні заходи, визначені з урахуванням актуальних загроз безпеки персональних даних і інформаційних технологій, що використовуються в інформаційних системах.

5. Федеральні органи виконавчої влади, які здійснюють функції з вироблення державної політики та нормативно-правового регулювання у встановленій сфері діяльності, органи державної влади суб'єктів Укаїни, БанкУкаіни, органи державних позабюджетних фондів, інші державні органи в межах своїх повноважень приймають нормативні правові акти, в яких визначають загрози безпеки персональних даних, актуальні при обробці персональних даних в інформаційних системах персональних даних, екс луатіруемих при здійсненні відповідних видів діяльності, з урахуванням змісту персональних даних, характеру і способів їх обробки.

Вибір засобів захисту ПДН

Вибір засобів захисту інформації для системи захисту персональних даних здійснюється оператором відповідно до нормативних правових актів, прийнятих Федеральною службою безпеки Укаїни і Федеральною службою з технічного та експортного контролю на виконання частини 4 статті 19 Федерального закону «Про персональні дані».

3. Уряд Укаїни з урахуванням можливої ​​шкоди суб'єкту персональних даних, обсягу і змісту оброблюваних персональних даних, виду діяльності, при здійсненні якого обробляються персональні дані, актуальності загроз безпеки персональних даних встановлює:

1) рівні захищеності персональних даних при їх обробці в інформаційних системах персональних даних в залежності від загроз безпеки цих даних;

2) вимоги до захисту персональних даних під час їх обробки в інформаційних системах персональних даних, виконання яких забезпечує встановлені рівні захищеності персональних даних;

3) вимоги до матеріальних носіїв біометричних персональних даних і технологій зберігання таких даних поза інформаційних систем персональних даних.

Нова класифікація ІСПДн

ПО виду оброблюваних ПДН

ПДН стосуються расової, національної приналежності, політичних поглядів, релігійних і філософських переконань, стану здоров'я, інтимного життя суб'єктів

  • ІСПДн обробна біометричні ПДН (ІСПДн-Б)
  • ІСПДн обробна загальнодоступні ПДН (ІСПДн-О)

ПДН отримані тільки із загальнодоступних джерел персональних даних, створених відповідно до статті 8 Федерального закону «Про персональні дані»

якщо не обробляються ПДН, зазначені в абзацах першому - третьому цього пункту

ЗА НАЛЕЖНІСТЮ обробляти ПДН

  • ІСПДн обробна ПДН співробітників оператора

ПДН тільки зазначених співробітників (кадри). В інших випадках інформаційна система персональних даних є інформаційною системою, що обробляє персональні дані суб'єктів персональних даних, які не є співробітниками оператора. Можуть бути спеціальні, загальнодоступні і інші.

Типи загроз безпеки ПДН

Загрози 1-го типу (рівень системи) актуальні для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (декларованих) можливостей в системному програмному забезпеченні, яке в інформаційній системі.

Загрози 2-го типу (рівень додатки) актуальні для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (декларованих) можливостей в прикладному програмному забезпеченні, яке в інформаційній системі.

Загрози 3-го типу (рівень користувача) актуальні для інформаційної системи, якщо для неї актуальні загрози, які пов'язані з наявністю недокументованих (декларованих) можливостей в системному і прикладному програмному забезпеченні, яке в інформаційній системі.

Визначення типу загроз безпеки персональних даних, актуальних для інформаційної системи, проводиться оператором з урахуванням оцінки можливої ​​шкоди, проведеної на виконання пункту 5 частини 1 статті 18 1 Закону України «Про персональні дані», і відповідно до нормативних правових актів, прийнятих на виконання частини 5 статті 19 Федерального закону «Про персональні дані».

Рівні захищеності ІСПДн

При обробці персональних даних в інформаційних системах встановлюються 4 рівня захищеності персональних даних.

Необхідність забезпечення певного рівня захищеності визначається типом ІСПДн, типом актуальних загроз і кількістю суб'єктів, ПДН яких обробляються в ІСПДн.

Необхідність забезпечення певного рівня захищеності ПДН встановлюється при наявність хоча б однієї з умов

Вимоги щодо забезпечення рівня захищеності

Для забезпечення 4-го рівня захищеності:

а) організація режиму забезпечення безпеки приміщень, в яких розміщена інформаційна система, що перешкоджає можливості неконтрольованого проникнення або перебування в цих приміщеннях осіб, які не мають права доступу до цих приміщень;

б) забезпечення схоронності носіїв персональних даних;

в) твердження керівником оператора документа, що визначає перелік осіб, доступ яких до персональних даних, оброблюваних в інформаційній системі, необхідний для виконання ними службових (трудових) обов'язків;

г) використання засобів захисту інформації, які пройшли процедуру оцінки відповідності вимогам законодавства Укаїни в області забезпечення безпеки інформації, у разі, коли застосування таких засобів необхідно для нейтралізації актуальних загроз.

Для забезпечення 3-го рівня захищеності:

а) виконання вимог, передбачених для 4-го рівня захищеності;

б) призначення посадової особи (працівника), відповідального за забезпечення безпеки персональних даних

Для забезпечення 2-го рівня захищеності:

а) виконання вимог, передбачених для 3-го рівня захищеності;

б) доступ до змісту електронного журналу повідомлень був можливий виключно для посадових осіб (працівників) оператора або уповноваженої особи, яким відомості, що містяться в зазначеному журналі, необхідні для виконання службових (трудових) обов'язків.

Для забезпечення 1-го рівня захищеності:

а) виконання вимог, передбачених для 2-го рівня захищеності;

б) автоматична реєстрація в електронному журналі безпеки зміни повноважень співробітника оператора з доступу до персональних даних, що містяться в інформаційній системі;

в) створення структурного підрозділу, відповідального за забезпечення безпеки персональних даних в інформаційній системі, або покладання на один із структурних підрозділів функцій щодо забезпечення такої безпеки.

Контроль виконання вимог

Контроль за виконанням вимог організується і проводиться оператором (уповноваженою особою) самостійно і (або) із залученням на договірній основі юридичних осіб та індивідуальних підприємців, які мають ліцензію на здійснення діяльності по ТЗКІ.

Проводиться не рідше 1 разу на 3 роки в строки, що визначаються оператором (уповноваженою особою).

Операторам на даний момент необхідно перевірити себе з наступних питань:

Розробити / Впровадити якщо ще не зробили:

  • Визначити перелік носіїв ПДН і вимоги по їх зберіганню, використанню, транспортуванні та знищення.
  • Забезпечити фізичну безпеку носіїв ПДН і контроль доступу в приміщення обробки ПДН. Доброю практикою є наявність затвердженого списку осіб, допущених в серверне приміщення. Іноді регулятори ще й запитують про перелік осіб, допущених до всіх приміщень, де проводиться обробка ПДН, але, на мій погляд, це зайве.
  • Призначити посадову особу (працівника), відповідального за забезпечення безпеки ПДН в ІСПДн. Треба розрізняти відповідального за обробку і за забезпечення безпеки ПДН.
  • Розробити і затвердити перелік осіб, допущених до обробки ПДН.
  • Для СЗПДн використовувати СЗІ, що пройшли процедуру оцінки відповідності.
  • Визначити процедуру регулярних перевірок виконання вимог до СЗПДн (процедура внутрішнього контролю).

Переглянути / Доопрацювати з урахуванням нових даних:

  • Переглянути протокол можливого збитку суб'єктам ПДН.
  • Переглянути і оновити Акти класифікації ІСПДн з урахуванням рівнів захищеності.

Бути готовим до перегляду і доопрацювання:

  • Бути готовим до перегляду моделі загроз ІСПДн.
  • Бути готовим до перегляду всієї СЗПДн і закупівлю нових СЗІ.
  • Почати думати про електронному журналі (що це і які технології використовуються) і забезпечити його безпеку.