О ПДн и сертификации
О целесообразности сертификации системы автоматизации учебного процесса согласно требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК) в сфере защиты персональных данных
Ввиду того, что очень многими клиентами и потенциальными клиентами задаются вопросы, касательно соответствия АСУ «ProCollege» требованиям Федерального закона №152-ФЗ от 27.06.2006 г. хотим внести ясность по вопросу необходимости и целесообразности сертификации систем автоматизации учебного процесса в целом, и системы «ProCollege», в частности, на соответствие требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК) в сфере защиты персональных данных.
Согласно Федерального закона №152-ФЗ от 27.06.2006г. «О персональных данных», ст.3, и Постановления Правительства РФ №781 от 17.11.2007г. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.1. информационная система персональных данных (далее ИСПДн) включает в себя следующие компоненты:
- Персональные данные (ПДн), содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;
- Информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;
- Технические средства, осуществляющие обработку ПДн, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн;
- Программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение и т.п.);
- Средства защиты информации (СЗИ);
- Вспомогательные технические средства и системы, к которым относятся средства и системы коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн;
Из вышеизложенного можно сделать вывод о том, что система автоматизации учебного процесса (далее по тексту АСУ), будучи прикладным программным обеспечением, является лишь одним из многих элементов ИСПДн и не является средством защиты информации, поэтому наличие у АСУ сертификата соответствия требованиям ФСТЭК не обеспечивает и не облегчает сертификацию ИСПДн в учебном заведении в целом.
В соответствии с совместным приказом ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных» выделяют 4 категории ПДн:
- Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- Категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
- Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
- Категория 4 - обезличенные и (или) общедоступные персональные данные.
Персональные данные категории 4, как правило, представляют собой обезличенные статистические данные. Защищать их нет никакой необходимости.
Также довольно редко встречаются информационные системы, в которых обрабатываются персональные данные категории 3. Это связано с тем, что для реальных задач автоматизации (в том числе учебного процесса) нужны не только данные, идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате ).
Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные категории 2. В частности, к таким системам относятся все АСУ.
Персональные данные категории 1 встречаются крайне редко, и зачастую только в учреждениях здравоохранения (не образовательных учреждениях).
В соответствии с совместным приказом ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008г. выделяют несколько классов ИСПДн. При этом класс ИСПДн определяется на основании категории обрабатываемых ПДн и объема обрабатываемых ПДн в соответствии с таблицей приведенной ниже:
Категория ПДн \ Объем обрабатываемых |
меньше 1000 |
от 1000 до |
свыше |
|
ПДн |
|
100 000 |
100 000 |
|
Категория 4 (обезличенные ПДн) |
К4 |
К4 |
К4 |
|
|
|
|
|
|
Категория 3 (ПДн позволяющие только |
К3 |
К3 |
К2 |
|
идентифицировать) |
||||
|
|
|
||
|
|
|
|
|
Категория 2 (ПДн позволяющие |
|
|
|
|
идентифицировать + дополнительные |
К3 |
К2 |
К1 |
|
сведения) |
|
|
|
|
|
|
|
|
|
Категория 1 |
|
|
|
|
(ПДн касающиеся здоровья, национальности, |
К1 |
К1 |
К1 |
|
интимной жизни и т.д.) |
|
|
|
|
|
|
|
|
Из приведённой таблицы следует, что учебные заведения, использующие АСУ должны обеспечить ИСПДн второго класса (К2), т.к. категория обрабатываемых в АСУ ПДн не превышает второй, а их объём не превышает 100 000 носителей субъектов ПДн (физических лиц).
В соответствии с приложением к Приказу Федеральной службы по техническому и экспортному контролю (ФСТЭК России) №58 от 5 февраля 2010г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»:
- Для ИСПДн 1 класса (К1) применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия не декларированных возможностей. Таким образом, данные системы должны быть в обязательном порядке сертифицированы на наличие не декларированных возможностей.
- Для ИСПДн 2 класса (К2) данное требование (об обязательной сертификации на наличие не декларируемых возможностей) не применяется.
В соответствии с тем же приказом (ФСТЭК России № 58 от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных») для сертификации ИСПДн (в целом, а не отдельных элементов, перечисленных выше) до уровня К2 предъявляются следующие основные (полный перечень требований содержится в приложении к обозначенному выше документу) требования (для систем с многопользовательским режимом доступа с разными правами доступа):
- В распределенной ИСПДн должно применяться межсетевое экранирование (МЭ), при котором МЭ должно обеспечивать принятие решения по фильтрации для каждого сетевого пакета независимо, идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ, возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия, регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова и т.д.
- Должна обеспечиваться защита программного аппаратного комплекса от действий вредоносных программ — использование сертифицированного Антивирусного ПО.
- Должна осуществляться физическая охрана ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации, особенно в нерабочее время.
Таким образом, опираясь на содержание Федерального закона №152-ФЗ от 27.06.2006 г., совместного приказа ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008 г., а также приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) №58 от 5 февраля 2010г. можно заключить, что АСУ, будучи компонентом ИСПДн второго класса (К2) не требует обязательной сертификации на наличие не декларированных возможностей при условии хранения в ней ПДн не выше категории 2. Из этого можно также заключить, что наличие у системы автоматизации учебного процесса сертификата ФСТЭК, подтверждающего отсутствие не декларированных возможностей никоим образом не влияет на процесс сертификации ИСПДн в учебном заведении на соответствие требованиям Федерального закона №152-ФЗ от 27.06.2006 г.
Подводя итог проведённому анализу нормативных документов, сведём все сделанные выше выводы в таблицу:
Наличие у АСУ сертификата соответствия |
АСУ без |
АСУ с |
|
требованиям ФСТЭК |
|||
сертификата |
сертификатом |
||
|
|||
|
ФСТЭК |
ФСТЭК |
|
Возможности применения АСУ |
|||
|
|
||
|
|
|
|
Применение в составе ИСПДн в учебном заведении |
+ |
+ |
|
|
|
|
|
Хранение ПДн до категории 2 включительно |
+ |
+ |
|
|
|
|
|
Использование в составе распределённой ИСПДн |
+ |
+ |
|
|
|
|
Упрощение процедуры сертификации ИСПДн в |
- |
- |
|
учебном заведении |
|||
|
|
||
|
|
|
|
Возможность использования как СЗИ, или элемента |
- |
- |
|
СЗИ |
|||
|
|
||
|
|
|
В заключении также хочется отметить, что АСУ «ProCollege», в функционале которой имеются процедуры по обработке и консолидации ПДн категории 2, не является средством защиты информации, а представляет собой лишь часть ИСПДн. В связи с вышеизложенным сертификация АСУ «ProCollege» лишена достаточных оснований, поскольку не решает задачи защиты персональных данных согласно Федерального закона №152-ФЗ от 27.06.2006 г. «О персональных данных», а также никак не влияет на процедуру сертификации ИСПДн в учебном заведении.