FAQ по соответствию требованиям 152-ФЗ

На этой странице будут публиковаться или обновляться практические аспекты по соответствию требованиям 152-ФЗ в формате вопрос-ответ. 

Подразумевает ли статус оператора ПДн (персональных данных) соответствие 152-ФЗ всех процессов в организации, в том числе внутрихозяйственных? 

До регистрации статуса Оператора ПДн компания должна определить и указать типы обрабатываемых ПДн. Они классифицируются на:

• ПДн Клиентов
• ПДн Контрагентов
• ПДн Сотрудников
• ПДн членов семей сотрудников
• Специальные категории ПДн (раса, национальность, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни)
• Биометрические ПДн
• Общедоступные ПДн (есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом)

В отношении к каждому типу обозначить:

• Да есть, обрабатываются
• Нет, не обрабатываются (либо не указывать этот тип ПДн вообще)

Мы не рекомендуем излишне детализировать процессы и системы, в которых происходит обработка.

Также для каждого типа ПДн указываются общие сведения о наличииотсутствии ИСПДн (Информационной Системы Персональных данных), наличииотсутствии СУБД ПДн (т.к. бывают процессы «на бумаге», например кадровый архив). Важно понимать, что регулятор вправе запросить детализацию по предоставленной информации (в случае уведомления о проверке), либо отклонить заявление на регистрацию при недостаточности сведений.

Для соответствия требованиям 152-ФЗ оператор ПНд не должен использовать ПО с отрытым кодом (OSD)?

Если ИСПДн находится у юридического лица, не относящегося к государственной структуре или не ведет обмена данными с госструктурами, то  такое юридическое лицо вправе самостоятельно выбирать компоненты своей ИСПДн и нет жесткого требования по отказу от использования ПО с открытым кодом. Но для каждой ИСПДн и СУБД ПДн, внутренней документацией (например Приказы) должны быть назначены Администратор(-ы), Оператор(-ы), Пользователь(-и).

При этом регулятор ищет возможность рассмотреть систему именно с Оператором или Пользователем ИСПДн при очном визите. Рекомендуется сформировать рабочую команду с ответственным по каждой системе, чтобы при проверке не передали ложной информации (банально по непониманию).

Затрагиваются ли технические средства при составлении Модели Угроз?

Модель угроз и сканирование в основном предполагает не угрозы информационной безопасности, а угрозы при обработке, хранении и передаче ПДн. Они, несомненно, связаны с используемыми тех. средствами, но при подготовке документации Модели Угроз технические средства могут не указываться, процессы описываются схематично, модель составляется также.

Угрозы подразумевают классификацию по группам от 1 до 3, где:

• 1 – Угрозы системного уровня (системного ПО). Возникают при недекларированном (отсутствие тех. документации, договоров внедрения, перечня авторизованных администраторов и т.п.) использовании ИСПДн;
• 2 – Угрозы прикладного ПО, используемого для работы с ИСПДн (аналогично 1-му, только на уровне Пользователяоператора ИСПДн).
• 3 – Не связаны с декларированием возможностей ПО в ИСПДн.

Нужен ли аттестат ФСТЭК на ПО, с которым работает оператор ПНд?

Обычно этого не требуется. Сертифицированное ФСТЭК ПО обязательно к использованию в государственных организациях, организациях военного назначения и др. специфических видах деятельности. В случае если компания не входит в этот перечень, то нет жестких требований к сертификации ПО. Более того, сертификация – процесс времени, и версия сертифицированного ПО зачастую отстает от актуальной версии. Следовательно, если сертифицированное ПО не обязательно, то лучше его не использовать.

Какое ПО должен использовать оператор ПНд для защиты рабочих мест, внешнего периметра и каналов передачи данных для соответствия требованиям 152-ФЗ

В соответствии с законодательством Российской Федерации о персональных данных в ИСПДн для защиты ПДн необходимо применять средства защиты информации, прошедшие процедуру оценки соответствия в любой из предусмотренных законодательством о техническом регулировании форм.

Только для обеспечения безопасности персональных данных, обрабатываемых в государственных информационных системах, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации. Это означает, что для информационных систем персональных данных, не имеющих статуса государственных, обязательная сертификация средств защиты по требованиям безопасности является необязательной.

Согласно законодательству о техническом регулировании, существует множество форм оценки соответствия, среди которых можно назвать ввод в эксплуатацию, испытания, декларирование соответствия, государственный контроль и надзор, добровольная сертификация и т.п. В случае отсутствия явного указания, установленного Указом Президента, Федеральным законом или Постановлением Правительства, на форму оценки соответствия, ее форму оператор персональных данных выбирает самостоятельно. В том случае, если оператор персональных данных принимает решение о применении средств защиты информации, прошедших процедуру оценки соответствия в форме обязательной сертификации, то должны применяться средства защиты информации, соответствующие требованиям Приказа ФСТЭК №21.

Для негосударственных и невоенных предприятий достаточно подтверждения в документации Модели угроз и методов защиты, наличия средств защиты, с указанием типов или методов:

• Антивирусная защита.
• Защищенный канал связи с шифрованием (например, VPN), но нужно быть осторожным на предмет используемых устройств шифрования, например устройства Cisco с суффиксом K9 подразумевают обязательное требование к сертификации устройств на территории РФ при их импорте, в них предусмотрены расширенные методы шифрования.
• Парольная защита и система контроля учетных записей.
• и т.п.

При этом при очной проверке Регулятор запрашивает справки с описанием конкретных систем, их администраторов, просит скриншоты приложений.

Когда можно использовать обезличивание ПДн?

Обезличивание ПДн необходимо при трансграничной передаче ПДн, а также при допуске к обработке ПДн операторовконтрагентов и т.п., не декларированных как авторизованные к этой обработке. В остальном случае этого не требуется при наличии должной документации.

Обезличивание ПДн достаточно комплексный техпроцесс (либо ручной и рутинный) и редко может быть актуален для оператора ПДн.

Какие требования 152-ФЗ к СУБД, АРМ (автоматизированным рабочим местам) и каналам связи?

Технические требования описываются в приказе ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».  Но описанные требования очень обтекаемые: конкретные модели оборудования, технологий и протоколов не описаны.

Информация по теме

• Статья о защите персональных данных в РФ с 1 июля 2017 года.
• Услуга по подготовки документов под требования закона о персональных данных (ФЗ 152)
• Статья о защите персональных данных граждан ЕС (GDPR)
• Услуга по внедрению системы обработки персональных данных в соответствии требованиями Регламента (ЕС) N 2016/679 (GDPR)