Министерство образования и науки Российской Федерации
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ПИСЬМО
от 22 октября 2009 года N 17-187
Об обеспечении защиты персональных данных
____________________________________________________________________
В дополнение к настоящему документу см. письмо Рособразования от 15 февраля 2010 года N 17-50.
____________________________________________________________________
Федеральное агентство по образованию напоминает, что все действующие информационные системы, обрабатывающие персональные данные, должны быть до 1 января 2010 года приведены в соответствие с требованиями Федерального закона Российской Федерации от 26.07.2006* N 152-ФЗ "О персональных данных".
________________
* Вероятно, ошибка оригинала. Следует читать "от 27.07.2006". - Примечание изготовителя базы данных.
В дополнение к письму Федерального агентства по образованию от 29.07.2009 N 17-110 "Об обеспечении защиты персональных данных" (www.ed.gov.ru/files/materials/10432/pi17-110.pdf) направляем вам рекомендации по проведению работ в подведомственных Рособразованию учреждениях по обеспечению защиты информационных систем персональных данных (приложение 1), в том числе по обследованию и классификации информационных систем, а также уменьшению затрат на защиту информации. Основные нормативные и инструктивные документы размещены на специализированном портале персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) pd.rsoc.ru и официальном сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК России) www.fstec.ru.
В первоочередном порядке следует привести в соответствие с требованиями законодательства, Роскомнадзора и ФСТЭК России внутренние регламенты и ознакомить с ними сотрудников учреждения, работающих с персональными данными. Рекомендации по подготовке документов, регламентирующих обработку персональных данных в подведомственных Рособразованию учреждениях, приведены в приложении 2.
Данные рекомендации являются примерными и должны быть адаптированы учреждением с учетом конкретных условий обработки персональных данных.
В целях актуализации базы данных, сформированной в соответствии с письмом Рособразования от 28.04.2008 N ФАО-6748/52/17-02-09/72, просим вас в срок до 15 ноября 2009 года направить в Административно-правовое управление Рособразования по уточненной форме (приложение 3) сведения о характеристиках информационных систем, обрабатывающих персональные данные в подведомственных Рособразованию учреждениях, на бумажном и электронном носителях (e-mail: ispd@ministry.ru).
В соответствии с Федеральным законом Российской Федерации от 26.07.2006* N 152-ФЗ "О персональных данных" об изменениях в составе и классификации информационных систем персональных данных необходимо в установленном порядке уведомить территориальный орган Роскомнадзора в течение десяти рабочих дней с даты возникновения изменений.
________________
* Вероятно, ошибка оригинала. Следует читать "от 27.07.2006". - Примечание изготовителя базы данных.
Н.И.Булаев
Приложение 1
РЕКОМЕНДАЦИИ
по проведению работ в подведомственных Рособразованию учреждениях по обеспечению защиты информационных систем персональных данных
В соответствии с рекомендациями ФСТЭК России обеспечение защиты информационных систем персональных данных (ПДн) включает следующие стадии:
1 Предпроектная стадия
- Обследование информационных систем ПДн
- Разработка Плана мероприятий по обеспечению защиты ПДн
- Разработка Технического задания
2 Стадия проектирования и реализации
- Разработка Технического проекта
- Внедрение технических средств защиты ПДн
- Разработка нормативной и регламентирующей документации
3 Стадия ввода в действие
- Опытная эксплуатация системы защиты ПДн
- Приемо-сдаточные испытания
- Оценка соответствия требованиям по безопасности информации
- Обучение персонала
- Подача уведомления о начале обработки персональных данных
Для типовых систем обработки персональных данных реализация перечисленных работ, особенно в части проектирования систем защиты, существенно упрощается.
1. Проведение обследования
На этапе обследования информационных систем ПДн выполняются следующие работы:
- формируется перечень ПДн, информационных систем и технических средств, используемых для их обработки;
- определяются подразделения и сотрудники, обрабатывающие ПДн;
- определяются категории ПДн;
- разрабатывается описание объекта защиты, включая состав и характеристики средств обработки данных;
- проводится предварительная классификация информационных систем ПДн;
- в соответствии с рекомендациями ФСТЭК России и (или) ФСБ России определяются и уточняются типовые модели угроз и соответствующие им типовые требования к системам защиты ПДн;
- осуществляется оценка необходимых мероприятий и затрат по приведению информационных систем ПДн в соответствие с предъявляемыми требованиями.
Результатами работ на этапе обследования являются:
- перечень и категории ПДн,
- перечни информационных систем и технических средств используемых для обработки ПДн и анализ их состояния,
- состав имеющихся в наличии мер и средств защиты ПДн;
- подразделения и сотрудники, обрабатывающие ПДн;
- предварительная классификация информационных систем, обрабатывающих ПДн на типовые (1-4 классов) и специальные;
- описание объектов защиты;
- уточненные типовые модели угроз и требования к системам защиты ПДн;
- оценка необходимых мероприятий и затрат по приведению информационных систем ПДн в соответствие с предъявляемыми требованиями.
Если затраты времени и средств на приведение информационных систем персональных данных (ИСПДн) в соответствие с предъявляемыми требованиями окажутся слишком высокими, то следует оценить возможность обезличивания или понижения классов информационных систем и провести необходимые работы повторно.
Наиболее эффективным способом по приведению ИСПДн в соответствие с предъявляемыми требованиями является их обезличивание. Оно позволяет классифицировать ИСПДн по низшему классу К4 и самостоятельно определить необходимость и способы их защиты.
Если обезличивание невозможно, то понизить требования по защите персональных данных можно путем сегментирования ИСПДн, отключения от сетей общего пользования, обеспечения обмена между ИСПДн с помощью сменных носителей, создания автономных ИСПДн на выделенных АРМ.
После определения способов понижения требований по защите персональных данных и необходимого повторного обследования оформляются акты классификации ИСПДн, осуществляются определение и анализ типовых моделей угроз и требований, определение необходимых мер и средств защиты ПДн, а также внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн.
Завершается предпроектная стадия формированием Плана выполнения работ по обеспечению защиты персональных данных.
Предпроектная стадия является важнейшим этапом работ по обеспечению защиты персональных данных, во многом определяющим состав и эффективность реализации мероприятий и необходимые затраты. Поэтому на данном этапе целесообразно привлекать для анализа результатов обследования и консультаций специалистов в области защиты персональных данных.
2. Классификация информационных систем персональных данных и определение актуальных угроз их безопасности
Для проведения классификации ИСПДн, определения категорий персональных данных и экспертной оценки угроз их безопасности целесообразно сформировать комиссию с привлечением специалистов в области информационной безопасности, в том числе по защите государственной тайны.
Перечень типовых ИСПДн определен приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" http://www.pd.rsoc.ru/low. Классификация ИСПДн осуществляется в зависимости от категории персональных данных (ПДн), не содержащих сведения, относящиеся к государственной тайне:
категория 1 - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;
категория 3 - ПДн, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.
Целесообразно отдельно определять категории ПДн, обрабатываемых в ИСПДн в электронном и в бумажном виде. В последнем случае следует руководствоваться постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687.
Типовые ИСПДн, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных, относятся к классу 1 (К1), - к негативным последствиям - к классу 2 (К2), к незначительным негативным последствиям - к классу 3 (К3), для субъектов персональных данных, не приводит к негативным последствиям для субъектов персональных данных - к классу 4 (К4).
Кроме того, при классификации учитываются объем и территория охвата субъектов персональных данных в порядке, приведенном в приказе ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года N 55/86/20.
Количество субъектов ПДн в системе | Более 100 тыс. | В объеме | От 1000 до | В объеме | До 1000 ПДн | ||||
Категория ПДн, обрабатываемых в электронном виде | ПДн | РФ | субъ- | 100000 ПДн | отрасли | органа власти | муници- | органи- | |
1. Расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь | 1 класс (К1) | 1 класс (К1) | 1 класс (К1) | ||||||
2. Позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1 | 1 класс (К1) | 2 класс (К2) | 3 класс (К3) | ||||||
3. Позволяющие идентифицировать субъекта персональных данных | 2 класс (К2) | 3 класс (К3) | 3 класс (К3) | ||||||
4. Обезличенные и (или) общедоступные персональные данные | 4 класс (К4) | 4 класс (К4) | 4 класс (К4) | ||||||
ИСПДн, обрабатывающие обезличенные или общедоступные персональные данные класса (категории 4) относятся к классу К4. В этом случае обязательные требования по защите ПДн не устанавливаются.
Постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" определены необходимые мероприятия по защите персональных данных. В их число входят определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; разработка на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем, и другие мероприятия.
При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации (прежде всего, регламентирование доступа сотрудников к обработке персональных данных, парольная и антивирусная защита);
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным (прежде всего, регламентирование использования и регулярное обновление антивирусных средств);
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование (охрана и регламентирование использования технических средств);
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (прежде всего, путем хранения резервных копий на съемных маркированных носителях);
д) постоянный контроль за обеспечением уровня защищенности персональных данных (осуществляемый, в основном, администраторами ИСПДн и иным персоналом).
