О ПДн и сертификации

О  целесообразности сертификации системы автоматизации учебного процесса согласно требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК) в сфере защиты персональных данных

Ввиду того, что очень многими клиентами и потенциальными клиентами задаются вопросы, касательно соответствия АСУ «ProCollege» требованиям Федерального закона №152-ФЗ от 27.06.2006 г. хотим внести ясность по вопросу необходимости и целесообразности сертификации систем автоматизации учебного процесса в целом, и системы «ProCollege», в частности, на соответствие требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК) в сфере защиты персональных данных.

Согласно Федерального закона №152-ФЗ от 27.06.2006г. «О персональных данных», ст.3, и Постановления Правительства РФ №781 от 17.11.2007г. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.1. информационная система персональных данных (далее ИСПДн) включает в себя следующие компоненты:

  1. Персональные данные (ПДн), содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;
  2. Информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;
  3. Технические средства, осуществляющие обработку ПДн, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн;
  4.  Программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение и т.п.);
  5. Средства защиты информации (СЗИ);
  6.  Вспомогательные технические средства и системы, к которым относятся средства и системы коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн;

 Из вышеизложенного можно сделать вывод о том, что система автоматизации учебного процесса (далее по тексту АСУ), будучи прикладным программным обеспечением, является лишь одним из многих элементов ИСПДн и не является средством защиты информации, поэтому наличие у АСУ сертификата соответствия требованиям ФСТЭК не обеспечивает и не облегчает сертификацию ИСПДн в учебном заведении в целом.

В  соответствии с совместным приказом ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008 г. «Об утверждении порядка проведения классификации информационных    систем    персональных    данных»    выделяют 4 категории ПДн:

  • Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • Категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  • Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
  • Категория 4 - обезличенные и (или) общедоступные персональные данные.

Персональные данные категории 4, как правило, представляют собой обезличенные статистические данные. Защищать их нет никакой необходимости.

Также довольно редко встречаются информационные системы, в которых обрабатываются персональные данные категории 3. Это связано с тем, что для реальных задач автоматизации (в том числе учебного процесса) нужны не только данные, идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате ).

Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные категории 2. В частности, к таким системам относятся все АСУ.

Персональные данные категории 1 встречаются крайне редко, и зачастую только в учреждениях здравоохранения (не образовательных учреждениях).

В  соответствии с совместным приказом ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008г. выделяют несколько классов ИСПДн. При этом класс ИСПДн определяется на основании категории обрабатываемых ПДн и объема обрабатываемых ПДн в соответствии с таблицей приведенной ниже:

Категория ПДн \ Объем обрабатываемых

меньше 1000

от 1000 до

свыше

ПДн

 

100 000

100 000

Категория 4 (обезличенные ПДн)

К4

К4

К4

 

 

 

 

Категория 3 (ПДн позволяющие только

К3

К3

К2

идентифицировать)

 

 

 

 

 

 

 

Категория 2 (ПДн позволяющие

 

 

 

идентифицировать + дополнительные

К3

К2

К1

сведения)

 

 

 

 

 

 

 

Категория 1

 

 

 

(ПДн касающиеся здоровья, национальности,

К1

К1

К1

интимной жизни и т.д.)

 

 

 

 

 

 

 

Из приведённой таблицы следует, что учебные заведения, использующие АСУ должны обеспечить ИСПДн второго класса (К2), т.к. категория обрабатываемых в АСУ ПДн не превышает второй, а их объём не превышает 100 000 носителей субъектов ПДн (физических лиц).

В  соответствии с приложением к Приказу Федеральной службы по техническому и экспортному контролю (ФСТЭК России) №58 от 5 февраля 2010г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»: 

  • Для ИСПДн 1 класса (К1) применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия не декларированных возможностей. Таким образом, данные системы должны быть в обязательном порядке сертифицированы на наличие не декларированных возможностей.
  • Для ИСПДн 2 класса (К2) данное требование (об обязательной сертификации на наличие не декларируемых возможностей) не применяется.

В  соответствии с тем же приказом (ФСТЭК России № 58 от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных») для сертификации ИСПДн (в целом, а не отдельных элементов, перечисленных выше) до уровня К2 предъявляются следующие основные (полный перечень требований содержится в приложении к обозначенному выше документу) требования (для систем с многопользовательским режимом доступа с разными правами доступа):

  • В распределенной ИСПДн должно применяться межсетевое экранирование (МЭ), при котором МЭ должно обеспечивать принятие решения по фильтрации для каждого сетевого пакета независимо, идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ, возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия, регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова и т.д.
  • Должна обеспечиваться защита программного аппаратного комплекса от действий вредоносных программ — использование сертифицированного Антивирусного ПО.
  • Должна осуществляться физическая охрана ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации, особенно в нерабочее время.

Таким образом, опираясь на содержание Федерального закона №152-ФЗ от 27.06.2006 г., совместного приказа ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008 г., а также приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) №58 от 5 февраля 2010г. можно заключить, что АСУ, будучи компонентом ИСПДн второго класса (К2) не требует обязательной сертификации на наличие не декларированных возможностей при условии хранения в ней ПДн не выше категории 2. Из этого можно также заключить, что наличие у системы автоматизации учебного процесса сертификата ФСТЭК, подтверждающего отсутствие не декларированных возможностей никоим образом не влияет на процесс сертификации ИСПДн в учебном заведении на соответствие требованиям Федерального закона №152-ФЗ от 27.06.2006 г.

Подводя итог проведённому анализу нормативных документов, сведём все сделанные выше выводы в таблицу:

Наличие у АСУ сертификата соответствия

АСУ без

АСУ с

требованиям ФСТЭК

сертификата

сертификатом

 

 

ФСТЭК

ФСТЭК

Возможности применения АСУ

 

 

 

 

 

Применение в составе ИСПДн в учебном заведении

+

+

 

 

 

Хранение ПДн до категории 2 включительно

+

+

 

 

 

Использование в составе распределённой ИСПДн

+

+

 

 

 

Упрощение процедуры сертификации ИСПДн в

-

-

учебном заведении

 

 

 

 

 

Возможность использования как СЗИ, или элемента

-

-

СЗИ

 

 

 

 

 

В  заключении также хочется отметить, что АСУ «ProCollege», в функционале которой имеются процедуры по обработке и консолидации ПДн категории 2, не является средством защиты информации, а представляет собой лишь часть ИСПДн. В связи с вышеизложенным сертификация АСУ «ProCollege»  лишена достаточных оснований, поскольку не решает задачи защиты персональных данных согласно Федерального закона №152-ФЗ от 27.06.2006 г. «О персональных данных», а также никак не влияет на процедуру сертификации ИСПДн в учебном заведении.

Last modified: Tuesday, 17 November 2020, 1:23 PM