тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > ФЗ-152: как выполнить требования к уровню защищённости ИСПДн

By 10.04.2023 Информационная безопасность 0 Comments

ФЗ-152: как выполнить требования к уровню защищённости ИСПДн

К 1 июля 2023 года должен быть исполнен перечень поручений Президента РФ об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных в размере от 1 до 3% и введение персональной ответственности за утечки. Чтобы не попасть под действие санкций, российским организациям важно уделить особое внимание защите персональных данных в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных».

Независимо от выбранного способа реализации мер ФЗ-152 – самостоятельно или с помощью поставщика услуг – необходимо подобрать комплекс организационных и технологических мер по защите ИСПДн. Для этого регуляторами предусмотрены требования к уровням защищённости. 

Разберёмся, о каких уровнях идёт речь, а также как определить и осуществить требования к УЗ для конкретных категорий ПДн.

Согласно Постановлению Правительства «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012г. №1119, существует 4 уровня защищённости ИСПДн, где УЗ-1 требует наиболее серьёзного уровня защиты, а УЗ-4 – наименее.

Чтобы определить УЗ для конкретной ИСПДн, необходимо учитывать 4 параметра:

  1. Категория обрабатываемых ПДн.
  2. Тип угроз.
  3. Форма отношений между организацией и субъектом ПДн, то есть, обрабатываются данные сотрудников или третьих лиц.
  4. Количество субъектов обработки.

Категории обрабатываемых ПДн

Специальные. К категории относится информация о состоянии здоровья, интимной жизни субъекта, а также данные о расовой принадлежности, национальности политических, религиозных и философских убеждениях.

Биометрические. Данные, которые позволяют идентифицировать субъекта по физиологическим и биологическим признакам – отпечатки пальцев, ДНК, группа крови. Фотографии, которые используют для установления личности, также относятся к данной категории.

Общедоступные. Данные, которые размещены в общедоступных источниках с согласия субъекта на размещение. Важно отличать общедоступную информацию, определение которой дано в статье 7, 149-ФЗ и ПДн, опубликованные в общедоступных источниках согласно статье 8, 152-ФЗ. Например, если субъект ПДн дал согласие на размещение информации в справочнике – это общедоступная категория. При этом социальные сети не являются общедоступными источниками, так как при регистрации субъект не даёт письменного согласия на обработку ПДн.

Иные. Сюда относятся данные, не попадающие под перечисленные категории – ФИО, номер телефона, адрес электронной почты и т.д.

Типы угроз

Угрозы безопасности ИСПДн – набор условий и факторов, создающих риск несанкционированного доступа к ИСПДн при обработке.

Постановлением Правительства №1119 определены 3 типа угроз для ИСПДн:

Угрозы первого типа присутствуют, если в системном ПО для обработки ИСПДн есть недокументированные возможности.

Угрозы второго типа присутствуют, если недокументированные возможности есть в прикладном ПО.

Третий тип предполагает наличие угроз, не связанных с недокументированными возможностями в системном и прикладном ПО.

Тип угроз определяет и присваивает оператор обработки ПДн на основании оценки вреда для конкретных ИСПДн на основании:

пункта 5 части 1 статьи 18.1 152-ФЗ 

– нормативных правовых актов из 5 части 19 статьи 152-ФЗ.

Единого способа определить актуальный тип угроз не существует. Если организация использует ПО, сертифицированное ФСТЭК, то первый и второй типы угроз неактуальны. Если нет, то его определяет специалист по информационной безопасности компании.

Как определить требуемый уровень защищённости

На основании вышеприведённых критериев составили таблицу, по которой возможно определить УЗ для ИСПДн.

Определение уровня защищённости ИСПДн

Как выполнить требования УЗ

Для каждого УЗ установлен комплекс технологических и организационных мер на законодательном уровне согласно:
Постановлению Правительства №1119
Приказу ФСТЭК №21, в котором перечислены все меры по обеспечению того или иного уровня защищённости ИСПДн.

При этом, организационные меры, например, назначение ответственного за обеспечение защиты ПДн практически одинаковы для всех уровней. Отличия заключаются в технических мерах — их количество и сложность возрастают по мере увеличения класса.

Например, для реализации четвёртого (а также остальных) уровня защищённости ИСПДн необходимо:

  • обеспечить защиту обратной связи при вводе аутентификационной информации;
  • обеспечить сохранность носителей;
  • обеспечить реализацию антивирусной защиты;
  • обеспечить управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин.
  • и т.д.

Для реализации третьего уровня защищённости:

  • обеспечить четвертый уровень;
  • обеспечить регистрацию событий безопасности в виртуальной инфраструктуре;
  • обеспечить контроль состава технических средств, программного обеспечения и средств защиты информации;
  • и т.д.

Для второго уровня:

  • обеспечить третий уровень;
  • обеспечить идентификацию и аутентификацию устройств, в том числе стационарных, мобильных и портативных;
  • обеспечить управление доступом к машинным носителям персональных данных;
  • организовать мониторинг результатов регистрации событий безопасности и реагирование на них;
  • и т.д.

Для первого уровня:

  • обеспечить второй уровень;
  • обеспечить контроль безотказного функционирования технических средств, обнаружение и локализацию отказов функционирования, принятие мер по восстановлению;
  • устанавливать только разрешенное к использованию ПО и (или) его компоненты;
  • и т.д.

С полным перечнем требований к уровням защищённости ИСПДн можно ознакомиться в Приказе ФСТЭК России от 18 февраля 2013 г. N 21. В сумме он предусматривает 109 мер по обеспечению безопасности персональных данных. Оценить соответствие и внедрить недостающие меры можно как самостоятельно, так и с помощью профильных компаний.

Например, Safe Cloud 152-ФЗ является комплексным решением по реализации всех организационных и технологических требований законодательства по защите информации. В рамках сервиса «под ключ» компании получают возможность:

  • Оформления полного пакета документов для выполнения 152-ФЗ
  • Разделения ответственности за обработку ПДН
  • Получения прямого доступа к экспертизе
  • Легкой бесшовной миграции

Если у вас остались вопросы по выполнению требований законодательства, защите обработки персональных данных или Safe Cloud 152-ФЗ – просто напишите нам.