Оценка вреда субъектам персональных данных

 Доброго дня, коллеги! 28 ноября в Минюсте России был зарегистрирован Приказ Роскомнадзора от 27.10.2022 N 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных». С текстом можно ознакомиться по ссылке.

1.               Приказ вступает в силу с 01.03.2023 года в соответствии с поправками, которые вносит в ФЗ 152 «О персональных данных» Федеральный закон от 14.07.2022 № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности". 

П. 5 ч. 1 статьи 18.1 ФЗ «О персональных данных» будет излагаться в следующей редакции:

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся:

…

5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом…

2.               Оценка вреда может производиться как лицом ответственным за организацию обработки персональных данных, так и комиссионно.

3.               Степень вреда может быть оценена как высокая (биометрия, специальные категории, несовершеннолетние, обезличивание, иностранные лица), средняя или низкая.

4.               Указаны требования к акту оценки вреда. Их немного и текст все также остается на усмотрение оператора.

 

На что влияет степень вреда?

 В статье 19 ФЗ 152 «О персональных данных» указано:

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

 

В Постановлении Правительства 1119 указано:

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

Таким образом, степень вреда влияет на актуальные угрозы, а, значит, и на уровни защищенности персональных данных и, соответственно, на стоимость системы защиты персональных данных.

С другими изменениями, которые внесены 266 Федеральным законом вы можете ознакомиться в моей статье для журнала «Информационная безопасность» (ссылка, доступ свободный).

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova

telegram: @KseniaShudrova

Персональные данные. Чек-лист на 2022-2023 годы

 Добрый день, коллеги! После долгого перерыва вышла моя 61 ненаучная статья по информационной безопасности (ссылка), статья находится в открытом доступе. Материал посвящен изменениям в законодательстве в сфере персональных данных, которые были внесены 266-ФЗ. Приятного и полезного чтения!

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova

telegram: @KseniaShudrova

Урок 2.2. Моделирование угроз. Актуальные угрозы

Добрый день коллеги! В прошлом уроке мы разобрали, как определить возможные угрозы. Это полдела. Теперь пришло время определить то, ради чего пишется модель угроз - угрозы актуальные. Предложу один из довольно простых способов.

Сценарии реализации угроз безопасности информации информации должны быть определены для соответствующих способов реализации угроз безопасности информации, определенных в соответствии с настоящей Методикой, и применительно к объектам воздействия и видам воздействия на них. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации.

Шаг 1. Привести табличное описание возможных техник и тактик для каждой категории нарушителя отдельно.

Пример. Техники и тактики для хакеров

N	Тактика	Основные техники
Т2	Получение первоначального доступа к компонентам систем и сетей	Т2.1. Использование внешних сервисов организации в сетях публичного доступа (Интернет)
		Т2.7. Использование в системе внешних носителей информации, которые могли подключаться к другим системам и быть заражены вредоносным программным обеспечением. В том числе дарение, подмена или подлог носителей информации и внешних устройств, содержащих вредоносное программное обеспечение или предназначенных для реализации вредоносных функций.

Шаг 2. Примем допущение. Т.к. при наличии хотя бы одного сценария угрозы безопасности информации такая угроза признается актуальной для системы и сети и включается в модель угроз безопасности систем и сетей для обоснования выбора организационных и технических мер по защите информации (обеспечению безопасности), а также выбора средств защиты информации, то нам достаточно предложить для каждой возможной угрозы 1 сценарий. Если такой сценарий найти не можем, то принимаем, что сценария нет и угроза неактуальна.

 Пример. Актуальные угрозы

Наименование УБИ	Сценарий	Актуальность угрозы
УБИ. 001. Угроза автоматического распространения вредоносного кода в грид-системе	Т 2.3; Т 3.4; Т 10.2	Актуальная

 По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova

telegram: @KseniaShudrova

Урок 2.1. Моделирование угроз. Возможные угрозы

 Добрый день, коллеги! После долгого перерыва возвращаюсь к работе над статьями.

Тема этого урока - моделирование угроз по Методике оценки угроз безопасности информации, утвержденной 05.02.2021 ФСТЭК России.

 Шаг 1

Определяем объекты воздействия. Здесь возможна любая степень детализации, на мой взгляд, крупными мазками все-таки лучше, так как в последствии придется меньше переделывать.

Например, объекты могут быть такими:

·        персонал;

·        информационные активы;

·        программное обеспечение:

·        носители информации;

·        АРМы и сервера и т.д.

 Шаг 2

Определяем виды риска (ущерба) У1, У2, У3, для этого можно взять готовые примеры из методики (таблицы 4.1 Методики).

 Шаг 3

Определяем виды воздействия. Можно взять их из таблицы 5.1 Методики.

 Шаг 4

Составляем таблицу, которая объединит объекты воздействия, виды риска и виды воздействия. Это будет Таблица 1 «Виды воздействий».

 

Обозначения вида риска	Негативные последствия	АРМ1	АРМ2	сервер
Из таблицы 5.1 Методики	Из таблицы 5.1 Методики	Определяет эксперт на Шаге 1
У1	Нарушение прав и свобод	Утечка	Утечка	Неактуально

 Шаг 5

Определяем виды нарушителя и их цели. Используем таблицу 6.1 Методики. Это будет наша Таблица 2 «Виды нарушителей».

 

Вид нарушителя	Категория	Возможные цели
Из таблицы 6.1 Методики	Из таблицы 6.1 Методики	Из таблицы 6.1 Методики
Отдельные физические лица (хакеры)	Внешний	Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации (подтверждение статуса)

Шаг 6

Определяем цели реализации угроз, используем таблицу 7.1. Это будет наша Таблица 3 «Цели реализации угроз».

 

№	Виды нарушителей	Возможные цели реализации угроз безопасности информации			Соответствие целей видам риска (ущерба) и возможным негативным последствиям
		Нанесение ущерба физическому лицу	Нанесение ущерба юридическому лицу, индивидуальному предпринимателю	Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
	Из таблицы 7.1 Методики	Из Таблицы 2			Из Таблицы 1
3	Преступные группы (криминальные структуры)	+	+(получение финансовой выгоды за счет использования вычислительных мощностей серверов государственной информационной системы для майнинга криптовалюты)	+(желание самореализоваться)	У1(нарушение конфиденциальности персональных данных граждан);У2(нарушение деловой репутации);У3(доступ к системам и сетям с целью незаконного использования вычислительных мощностей)

Шаг 7

Определяем уровни возможностей нарушителей. Это будет Таблица 4 «Возможности нарушителей».

 

Уровень возможностей нарушителя		Возможности нарушителя	Виды нарушителя
Из Таблицы 8.1 Методики		Из Таблицы 8.1 Методики	Из Таблицы 3 (берем из таблицы 8.1 и вычеркиваем те, что остались без цели)
Н1	Нарушитель, обладающий базовыми возможностями	Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости, скрипты и инструменты.	Физическое лицо (хакер)
		Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети "Интернет" и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов.
		Обладает базовыми компьютерными знаниями и навыками на уровне пользователя.
		Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним.	Авторизованные пользователи систем и сетей
		Таким образом, нарушители с базовыми возможностями имеют возможность реализовывать только известные угрозы, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов	Бывшие работники (пользователи)

 

Шаг 8

Сопоставляем виды риска и виды нарушителей. Таблица 5 «Актуальные нарушители».

 

Виды риска (ущерба) и возможные негативные последствия	Виды актуального нарушителя	Категория нарушителя	Уровень возможностей нарушителя
Из таблицы 9.1 Методики	Из Таблицы 4	Из Таблицы 2	Из Таблицы 4
У1:нарушение конфиденциальности персональных данных граждан;нарушение личной, семейной тайны, утрата чести и доброго имени;финансовый, иной материальный ущерб физических лиц	Преступные группы (криминальные структуры)	Внешний	Н2
	Отдельные физические лица (хакеры)	Внешний	Н1
	Авторизованные пользователи систем и сетей	Внутренний	Н1
	Системные администраторы и администраторы безопасности	Внутренний	Н3
	Бывшие (уволенные) работники (пользователи)	Внешний	Н1

 

Шаг 9

Определяем способы реализации. Таблица 6 «Способы реализации».

 

Виды нарушителей	Категории нарушителей	Объект воздействия	Доступные интерфейс	Способы реализации
Из Таблицы 4	Из Таблицы 2	Из Таблицы 1	Из таблицы 10.1 Методики	Из таблицы 10.1 Методики
Физическое лицо (хакер)	Внешний	Персонал ИС	Нет	Нет
Физическое лицо (хакер)	Внешний	Информационные активы ИС	Веб-интерфейс удаленного администрирования	Использование недекларированных возможностей программного обеспечения

 

Шаг 10

Составляем итоговую таблицу. Таблица 7 «Возможные угрозы».

 

Угроза безопасности информации		Источник угрозы	Нарушитель по БДУ	Актуальный нарушитель	Объекты воздействия	Способы реализации	Возможные угрозы
Угроза	Описание
Из БДУ	Из БДУ	Из БДУ	Из БДУ внешний/внутренний нарушитель+потенциал	Таблица 4 (столько столбцов, сколько актуальных нарушителей. В ячейках отмечаем  для каждого нарушителя да/нет)	Таблица 1 (столько столбцов, сколько объектов. В ячейках отмечаем для каждого объекта да/нет)	Таблица 6 (столько столбцов, сколько актуальных способов. В ячейках отмечаем для каждого способа да/нет)	Итоговое значение (Угроза возможна/невозможна)*

 

*Из Методики:

Угроза безопасности информации возможна, если имеются нарушитель или иной источник угрозы, объект, на который осуществляются воздействия, способы реализации угрозы безопасности информации, а реализация угрозы может привести к негативным последствиям:

 

УБИ_i = [нарушитель (источник угрозы); объекты воздействия; способы реализации угроз; негативные последствия].

 

 

В уроке 2.2. из возможных угроз мы будем определять актуальные. Продолжение следует…

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova

telegram: @KseniaShudrova

Урок 1. Что такое персональные данные?

Добрый день, коллеги! Сегодняшним постом я бы хотела начать серию заметок по практической защите персональных данных. Темы будут максимально обобщенные. Я думаю, что пора уже переходить от частностей и деталей к принципам и идеям.

 Итак, начнем.

Темой сегодняшнего урока будет определение персональных данных. С самого начала ведения этого блога, а именно с 2011 года, я регулярно получаю вопросы о том, является ли некий набор данных персональными данными. Вопросы эти выглядят простыми только на первый взгляд.

Так что же относится к персональным данным?

В федеральном законе «О персональных данных» № 152-ФЗ от 27.07.2006 определение дано следующее:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Из старой редакции закона информации можно было почерпнуть чуть больше:

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

 Так, что и на сегодняшний день можно сделать допущение, что: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия и доходы можно отнести к персональным данным.

 Что еще можно добыть из 152-ФЗ?

 Специальные категории персональных данных - это данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.

 Ранее существовало разъяснение Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», которое проливало свет на вопросы отнесения к биометрии. С 19 ноября 2021 года это разъяснение отменено (Письмо Роскомнадзора от 19.11.2021 N 09-78548 "О неактуальности разъяснений Роскомнадзора").

 Остальные персональные данные согласно Постановлению Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» относятся к иным. Также не забывайте, что общедоступные персональные данные исчезли в связи с появлением персональных данных, разрешенных субъектом персональных данных для распространения (ссылка). А вот общедоступные источники персональных данных остались (не путаем одно с другим).

 Также искать ответ на вопрос: «что такое персональные данные?» можно в других федеральных законах и подзаконных актах. 

 Например в Указе Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» определено, что под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с настоящим Положением. 

Интересную информацию можно почерпнуть из судебных решений. Во многих решениях по статье 13.11 КоАП решается вопрос о признании определенного набора данных персональными данными. Встречаются ситуации забавные, когда субъект сам не знает, что относится к его персональных данным:

 В городскую прокуратуру обратился X с заявлением об оскорблении его Y. В своих пояснениях X помимо заявления о его оскорблении указал факт распространения работниками бухгалтерии сведении о его личной жизни при этом не конкретизировал каких именно, а указал, что у него имеются лишь предположения. Определением городского прокурора по обращению X отказано в возбуждении дела об административном правонарушении о распространении работниками бухгалтерии сведений о частной жизни заявителя за отсутствием события административного правонарушения, предусмотренного ст.13.11 КоАП РФ. Как следует из текста обжалуемого определения, прокурорской проверкой установлено, что сам заявитель не указывает какие именно сведения были распространены.... (12-87/2021, https://bsr.sudrf.ru/bigs/portal.html).

Но есть и действительно полезные выводы:

Довод заявителя о том, что адрес электронной почты не является персональными данными, суд не может принять во внимание, в связи с тем, что согласно Постановлению Правительства РФ от 13.09.2019 № 1197 «О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных» правительством принято: дополнить состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, утвержденный постановлением Правительства Российской Федерации от от 30 июня 2018 г. № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации», пунктом «д» следующего содержания: контактные данные физического лица: номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты)" (12-1070/2021, https://bsr.sudrf.ru/bigs/portal.html).

 Ну и еще один ответ на вопрос, что же такое персональные данные можно найти в интервью главы Роскомнадзора от 2015 года.

 Так как же понять, являются ли конкретные сведения персональными данными? Поделюсь своими мыслями, в качестве примера рассмотрим некую Лебедеву К.Е.

1.     Если можно определить личность человека, то это точно персональные данные (например, Лебедева Ксения Евгеньевна, 1987 г.р., кандидат технических наук, г. Красноярск).

2.     Если можно косвенно отнести информацию к конкретному человеку, то это персональные данные (например, Лебедева Ксения Евгеньевна, навык слепой десятипальцевой печати, знание технического английского языка);

3.     Диагнозы - это спец категория (например, Лебедева Ксения Евгеньевна, близорукость);

4.     Данные об успешном прохождении медосмотра - не персональные данные (Лебедева Ксения Евгеньевна, Пр № 1 от 01.01.2022, ограничений не выявлено).

5.     Безличные характеристики - не персональные данные (В нашем НИИ работает 13 кандидатов наук и 1 доктор наук).

6.     Данные животных - не персональные данные (Пушок, Шарик).

7.     Если нельзя установить субъекта, имея дополнительную информацию - это обезличенные персональные данные (кандидат технических наук, г. Красноярск).

И.Э. Грабарь. Февральская лазурь. 1904. Источник

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova