Как компании (оператору) разработать проект защиты персональных данных, реализовать его и не нарушать закон?

Хочу поделиться опытом, как мы создавали защиту информационной системы персональных данных первой категории в рамках проекта MedTech. Надеюсь, он будет полезен для тех, кто только начинает в этом разбираться.

Как все уже давно знают, персональные данные в нашей стране находятся под защитой закона (а именно ФЗ-152 от 27.07.2006), и если их обработка проводится вне этого закона, то можно попасть под ответственность. И чем выше категория данных, тем выше ответственность.

Попробуем в этой статье разобраться, кто является оператором персональных данных и как такой оператор должен обеспечить безопасность этих данных.

Защита персональных данных – это и организационный процесс, и решение вопросов технического характера. Поэтому в первой части мы говорим об основных законодательных и организационных вопросах, а во второй какие технические задачи предстоит решить.

Основные законодательные акты, которые необходимо знать:

• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  
• постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  

Полный список законодательных и нормативных актов выложил для удобства у себя в notion.

Давайте разберемся с терминологией.

Что такое персональные данные (далее – ПДн) и что к ним относится?

По ФЗ-152 ПДн – любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных);

Категории обрабатываемых ПДн, подразделяются на 4 группы (по Постановлению Правительства РФ от 1 ноября 2012 г. N 1119):

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например, фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

А кто такой оператор? Это государственное, юридическое или физическое лицо, организующее и /или осуществляющее обработку ПДн, определяющее цели обработки (важно!), состав данных подлежащих обработке.

Обработка же ПДн – это любое действие (операция), совершаемое с ПДн (сбор, запись, систематизация, накопление, хранение, изменение, использование, передачу, обезличивание, блокирование, удаление, уничтожение). Более подробное раскрытие действий можно посмотреть в самом законе.

Итак, на первом этапе компанией должен быть выпущен приказ о назначении:

1. Ответственного за организацию обработки ПДн – обычно это генеральный директор Общества. В нашем случае именно так.

2. Ответственного за обеспечение безопасности ПДн – это компетентный специалист, который эту ответственность может нести. Здесь сложнее, вариантов несколько, ниже рассказываю, как мы решили этот вопрос.

3. Администратора информационной системы ПДн – также компетентный специалист, который обеспечивает работу системы. Здесь все понятно.

Далее готовятся и утверждаются соответствующие инструкции по работе с ПДн по всем перечисленным выше ролям, плюс такая же инструкция для сотрудников.

После Оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн, для включения в реестр операторов ПДн. Для этого на сайте ведомства заполняется специальная электронная форма. После чего распечатывается бумажный экземпляр подписывается руководителем организации и направляется почтой в ведомство. Данный шаг не имеет под собой строгого контроля по срокам. Однако, если в компании комплаенс не на последнем месте, то здесь лучше не экспериментировать.

Проверить актуальный реестр операторов можно здесь.

Далее или параллельно проводятся работы по аудиту информационной системы, разработке модели угроз, подготовке технического проекта по защите информации и реализации его в реальности. Подробнее об этом буду говорить ниже.

Так же не забываем, что оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику по обработке персональных данных. В случае нашей компании, она опубликована на сайте.

Что касается самого сбора ПДн, все мы с вами подписывали так называемые согласия на обработку персональных данных (в бумажном или электронном виде) – это основной документ, который дает вам право обрабатывать данные конкретного лица. В таком документе прописываются цели и условия работы с ПДн. И при обработке оператор по закону не имеет права отклоняться от указанной цели. Наполнение полей такого согласия можно посмотреть в том же ФЗ-152.

Важный момент: обработка может быть поручена оператором другому лицу, с согласия субъекта ПДн, однако оператор продолжит нести ответственность перед субъектом ПДн.

На первом этапе, относящемуся к техническому, проводится аудит Информационной системы персональных данных (далее - ИСПДн) и ИТ-инфраструктуры в разрезе тех ПДн, которые компания собирается обрабатывать и целей обработки. Под аудитом ИС понимается анализ архитектуры ИСПДн и входящее в неё компонент, ПО и тип этого ПО (лицензионное, не лицензионное, собственной разработки, число лиц, имеющих доступ к данным ПО).

В части инфраструктуры рассматривается "железо", на котором размещается ИСПДн: тип, место нахождения, число и потоки данных внутри и с внешними системами (АРМ сотрудников, АРМ партнеров, клиентов).

По результатам аудита готовится и утверждается генеральным директором отчет.

Результаты аудита сопоставляются с угрозами, которые характерны при защите ПДн. Полный список угроз можно увидеть на сайте ФСТЭК. На основании этого готовится большой подробный документ «Частная модель угроз ИСПДн» (ЧМУ). В ЧМУ описываются схема информационных потоков, структура и схема взаимодействия между компонентами информационный системы, источники угроз информационной безопасности, требования к средствам криптографической защиты.

ЧМУ является основной для создания Технического задания по обеспечению защиты ПДн, по которому разрабатывается Технический проект «Системы защиты информации в ИСПДн». Система защиты разрабатывается на основе модели угроз и с учетом требований нормативных документов, на полный список которых ранее уже ссылался. Технический проект документ содержит в себе части:

1. Защита информации от несанкционированного доступа
2. Антивирусная защита

3. Анализа защищенности сети, обнаружения и предотвращения вторжений

4. Защиты каналов связи
5. Межсетевого экранирования
   
6. Взаимодействие с внешними системами: системой электропитания, кондиционирования серверных помещений, локальной вычислительной сетью, системой резервного копирования

Для защиты ИСПДн могут использоваться только сертифицированные средства защиты информации (список сертифицированных СЗИ ФСТЭК или ФСБ).

Построение организационных процессов, аудит ИСПДн, создание технического проекта системы защиты могут быть проведены как самостоятельно, с привлечением в штат специалиста по информационной безопасности, так и через привлечение внешней организации. Если у вас нет в штате грамотного специалиста по ИБ, а найти такого будет не просто, то могу рекомендовать именно привлечение внешней организации.

Внешняя компания может быть консультантом, которая скажет, что нужно сделать, но не будет отвечать за результат. Мы выбрали другой путь: заключили с внешней компанией договор на аутсорсинг по схеме time&material с полной трансляцией ответственности за обеспечение безопасности ПДн. И важный момент: и в первом, и во втором случае у внешней организации должна быть лицензия ФСТЭК на проведение таких работ (реестр лицензий на деятельность по разработке и производству средств защиты конфиденциальной информации).

Обратите внимание, что если вы решите самостоятельно заниматься защитой ПДн 1 уровня защищенности, то при некоторых условиях потребуется именно вам получение лицензии на деятельность по разработке и производству систем защиты конфиденциальной информации (в каждом частном случае требуется проработка юристов).

И в последней части расскажу о пути нашей компании. Мы планировали обрабатывать ПДн 1 группы - специальная категория ПДн и предоставлять SaaS-решение. Когда мы подошли к решению вопроса информационной безопасности, у нас кроме разработанного ПО ещё не было ничего: ни специалистов по ИБ, ни своего защищенного контура с подходящим помещением, ни средств защиты.

Структурная схема нашей ИСПДн на первом этапе, во время аудита, выглядела следующим образом:

Как писал выше, мы подошли к решению вопросов через подключение внешних компаний, с соответствующей лицензией на деятельность по разработке и производству систем защиты конфиденциальной информации. Таких компаний на рынке много, и дабы избежать рекламы, но чтобы было понятно куда копать, приведу несколько в пример: PointLane, AT Conslting, Б152, Онланта, ИнфоКуб и мн.др.

Особенностью договора было то, что компания-партнер выделяет ответственного представителя из своего штата, который берет на себя ответственность за обеспечение безопасности ПДн в нашей организации. Именно этот представитель был указан ответственным от Оператора в реестре Роскомнадзора.

Совместно с партнером были разработаны ЧМУ, ТЗ и технический проект системы защиты. Были приняты следующие решения:

1. Вынести ИСПДн в защищенный контур центра обработки данных (далее - ЦОД).
2. Установить системы межсетевого экранирования (физического, не программного - согласно требованиям законодательства).
   
3. Внедрить программный комплекс модуля доверенной загрузки, устанавливаемый в UEFI BIOS различных производителей. Он предназначен для защиты АРМ и серверов (в том числе и серверов виртуализации) от различных угроз несанкционированного доступа (НСД) на этапе загрузки и от атак на BIOS.
   
4. Установить программное обеспечение системы защиты информации от несанкционированного доступа (выполняет защиту информации от несанкционированного доступа на АРМ, разграничение доступа к информационным ресурсам, контроль отчуждаемых и подключения носителей, регистрация событий, контроль целостности всех компонент, аудит действий пользователей).
   
5. Система антивирусной защиты уже шла в составе СЗИ от НСД.
   
6. Установить подсистему анализа защищенности сети, которая предназначена для: выявления, анализа уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей.
   
7. Установить подсистему защиты каналов связи – система криптографической защиты информации.
   
8. Система предотвращения вторжений входила в состав МС экрана.
   

9. Модуль системы обнаружения вторжений в составе СЗИ от НСД реализует обнаружение и блокирование внешних и внутренних вторжений, направленных на защищаемый АРМ.

По результатам работы была получена следующая структурная схема защищенной ИСПДн:

Проблемой первого этапа было помещение, к которому в нашем случае предъявлялись очень серьезные требования по тем же нормативным и законодательным актам (строгая система и организация доступа персонала, видеонаблюдение, отсутствие окон, гидроизоляция, требования по уровню вибрации, уровню электромагнитных помех).

В связи с этими сложностями также было принято решение о использование внешнего поставщика услуг ЦОД, у которого есть лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации (реестр ФСТЭК). К тому же база ПДн должна размещаться на территории Российской Федерации, что тоже легко решалось через выбор поставщика. Здесь также приведу несколько примеров, без упоминания, с кем работаем мы: Selectel, КРОК, Ай-Теко, Cloud4Y и другие.

Поставку СЗИ выполнил поставщик услуг ЦОД, а настройку и их администрирование у нас проводил партнер аутсорсер ИБ.

После приведения ИСПДн в соответствие техническому проекту, а что более важно, законодательству, может запускаться процедура аттестации ИСПДн и получения аттестата соответствия (если это требуют условия вашей деятельности). Важно понимать, что любые изменения в архитектуре ИСПДн, или инфраструктуры системы приводят к необходимости актуализации частной модели угроз и технического проекта.

Эта статья написана, чтобы помочь специалисту на первых этапах разобраться, что делать с защитой персональных данных и из каких шагов состоит эта процедура.

Прошел только по верхам, но под каждым пунктом кроется отдельная проектная работа, которая будет сильно отличаться от одних начальных условий к другим. Но первый толчок дан и, я надеюсь, эффективный. Спасибо за внимание.

И в заключении опишу по срокам, сколько времени заняла процедура разработки и внедрения проекта системы защиты информации:

1. Подбор партнера по обеспечению безопасности – внутренний конкурс и заключение договора – 1 месяц.
2. Аудит системы и подготовка отчета – 1 месяц.
   
3. Разработка частной модели угроз и написание ТЗ на систему защиты – 2 месяца.
   
4. Разработка технического проекта защиты информации – 1 месяц.
   
5. Поиск поставщика услуги центра обработки данных и заключение договора – 1 месяц (параллельно с предыдущим пунктом).
   
6. Поставка средств защиты информации (СЗИ) и установка – 3 недели.
   
7. Настройка СЗИ – 1 неделя.
   
8. Выбор компании для проведения аттестации – 2 недели.
   
9. Аттестация ИСПДн – 1,5 месяца.
   

Итого 8 месяцев слаженной работы от задумки до претворения планов в жизнь.

#selectel_инструкция