Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Проведение периодического уничтожения персональных данных

Цель: соблюдение требований законодательства
Перед запуском процедуры она должна быть описана, как самостоятельный документ или в составе другого документа, например, в Положении об обработке персональных данных.
По результатам проведения процедуры должны сохраняться свидетельства. В частности, Акты об уничтожении персональных данных.
Уничтожение ПДн может проводиться как периодически так и по наступлению событий, например, поступлению запроса от субъекта ПДн.
Процедура может проводиться в составе иных периодических процедур, например, контроля соответствия или актуализации анкет на ИСПДн.

Рекомендации к заполнению карточки:
- Создать задачу (ежегодную, ежеквартальную) на проведение работ по уничтожению ПДн
- Прикладывать в заметки к карточке скан-копии актов об уничтожении ПДн
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Ежеквартально
Ответственный
Не определено
Инструменты
Не определено

Цепочка мер

Проведение периодического уничтожения персональных данных
Предшествующие меры
Этап -1
1 Утверждение формы Акта об уничтожении персональных данных

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.28
ЖЦ.28 Реализация контроля уничтожения защищаемой информации в случаях, когда указанная информация больше не используется, в том числе содержащейся в архивах, с применением мер ПУИ.23-ПУИ.26
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 10 п.п. 9
7.10.9. При работе с материальными носителями ПДн должно быть обеспечено:
  • обособление ПДн от иной информации, в частности, путем фиксации их на отдельных съемных носителях ПДн, в специальных разделах или на полях форм документов (при обработке ПДн на бумажных носителях);
  • учет съемных носителей ПДн;
  • установление, выполнение и контроль выполнения порядка хранения съемных, в том числе машинных, носителей ПДн и доступа к ним;
  • хранение ПДн, цели обработки которых заведомо несовместимы, на отдельных съемных носителях;
  • регистрация и учет мест хранения материальных носителей ПДн с фиксацией категории обрабатываемых персональных данных (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн) включая раздельное хранение ресурсов ПДн, обработка которых осуществляется с различными целями;
  • назначение работников, ответственных за организацию хранения материальных носителей ПДн;
  • установление и выполнение порядка уничтожения (стирания) информации с машинных носителей ПДн. 
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. 
Р. 7 п. 10 п.п. 4 п.п.п. 2
7.10.4.2. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры прекращения обработки ПДн и их уничтожения либо обезличивания в сроки, установленные Федеральным законом "О персональных данных", в следующих случаях:
  • по достижении цели обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
  • отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
  • если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • выявления неправомерной обработки ПДн, осуществляемой организацией БС РФ или обработчиком, действующим по ее поручению, если обеспечить правомерность обработки ПДн невозможно;
  • выявления неправомерной обработки ПДн без согласия субъекта ПДн.
Р. 7 п. 10 п.п. 4 п.п.п. 1
7.10.4.1. Для каждого ресурса ПДн должно быть обеспечено:
  • установление цели обработки ПДн;
  • установление и соблюдение сроков хранения ПДн и условий прекращения их обработки;
  • определение перечня и категорий обрабатываемых ПДн (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн);
  • выполнение процедур учета количества субъектов ПДн, в том числе субъектов ПДн, не являющихся работниками организации БС РФ;
  • выполнение ограничения обработки ПДн достижением цели обработки ПДн;
  • соответствие содержания и объема обрабатываемых ПДн установленным целям обработки;
  • точность, достаточность и актуальность ПДн, в том числе по отношению к целям обработки ПДн;
  • выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона "О персональных данных";
  • выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона "О персональных данных";
  • прекращение обработки ПДн и уничтожение либо обезличивание ПДн по достижении целей обработки, по требованию субъекта ПДн в случаях, предусмотренных Федеральным законом "О персональных данных", в том числе при отзыве субъектом ПДн согласия на обработку его ПДн.
Р. 7 п. 10 п.п. 4 п.п.п. 3
7.10.4.3. В случае отсутствия возможности уничтожения ПДн либо обезличивания ПДн в течение срока, установленного Федеральным законом "О персональных данных", организация БС РФ обеспечивает их блокирование с последующим обеспечением уничтожения ПДн. Уничтожение ПДн производится не позднее шести месяцев со дня их блокирования.
Приказ Роскомнадзора № 179 от 28.10.2022 "Об утверждении Требований к подтверждению уничтожения персональных данных":
Пункт 8
8. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
Пункт 5
5. Выгрузка из журнала должна содержать:
  • фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
  • перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Пункт 1
1. В случае если обработка персональных данных осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.
Пункт 3
3. Акт об уничтожении персональных данных должен содержать:
  • наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
  • наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
  • фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
  • фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
  • перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
  • наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
  • наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
  • способ уничтожения персональных данных;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Пункт 7
7. В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, установленным пунктами 3 и 4 настоящих Требований, и выгрузка из журнала, соответствующая требованиям, установленным пунктом 5 настоящих Требований.
Пункт 6
6. В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом 5 настоящих Требований, недостающие сведения вносятся в акт об уничтожении персональных данных.
Пункт 2
2. В случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, содержащимся в пунктах 3 и 4 настоящих Требований, и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).
NIST Cybersecurity Framework (RU):
PR.IP-6
PR.IP-6: Уничтожение данных производиться в соответствии с политикой 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗНИ.8 ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.6
9.4.6
Определенные Требования к Подходу:
Печатные материалы с данными о держателях карт уничтожаются, когда они больше не нужны по деловым или юридическим причинам, следующим образом:
  • Материалы разрезаются поперек, измельчаются, сжигаются или измельчаются в порошок, так что данные о владельцах карт не могут быть восстановлены.
  • Материалы хранятся в безопасных контейнерах для хранения перед уничтожением.
Цель Индивидуального подхода:
Данные о владельце карты не могут быть восстановлены с носителя, который был уничтожен или который ожидает уничтожения.

Примечания по применению:
Эти требования к уничтожению носителей, когда они больше не нужны по деловым или юридическим причинам, являются отдельными и отличными от требования PCI DSS 3.2.1, которое предназначено для безопасного удаления данных о держателях карт, когда они больше не нужны, в соответствии с политикой хранения данных о держателях карт организации.

Определенные Процедуры Тестирования Подхода:
  • 9.4.6.a Изучите политику периодического уничтожения носителей, чтобы убедиться, что определены процедуры уничтожения печатных носителей с данными о держателях карт, когда они больше не нужны по деловым или юридическим причинам, в соответствии со всеми элементами, указанными в этом требовании.
  • 9.4.6.b Наблюдайте за процессами и опрашивайте персонал, чтобы убедиться, что печатные материалы разрезаны поперек, измельчены, сожжены или измельчены таким образом, что данные о держателях карт не могут быть восстановлены.
  • 9.4.6.c Наблюдайте за контейнерами для хранения, используемыми для материалов, содержащих информацию, подлежащую уничтожению, чтобы убедиться в безопасности контейнеров.
Цель:
Если перед утилизацией не будут приняты меры для уничтожения информации, содержащейся на бумажных носителях, злоумышленники могут извлечь информацию с утилизированных носителей, что приведет к компрометации данных. Например, злоумышленники могут использовать технику, известную как “погружение в мусорный контейнер”, когда они просматривают мусорные баки и мусорные баки в поисках печатных материалов с информацией, которую они могут использовать для запуска атаки.
Защита контейнеров для хранения, используемых для материалов, которые будут уничтожены, предотвращает захват конфиденциальной информации во время сбора материалов.

Надлежащая практика:
Рассмотрите контейнеры ”для измельчения" с замком, который предотвращает доступ к его содержимому, или которые физически препятствуют доступу к внутренней части контейнера.

Дополнительная информация:
См. В Специальной публикации NIST 800-88, Редакция 1: Руководство по санитарной обработке носителей.
Requirement 9.4.7
9.4.7
Определенные Требования к Подходу:
Электронный носитель с данными о держателе карты уничтожается, когда он больше не нужен по деловым или юридическим причинам, одним из следующих способов:
  • Электронные носители информации уничтожены.
  • Данные о владельце карты становятся невосстановимыми, так что их невозможно восстановить.
Цель Индивидуального подхода:
Данные о владельце карты не могут быть восстановлены с носителя, который был стерт или уничтожен.

Примечания по применению:
Эти требования к уничтожению носителей, когда они больше не нужны по деловым или юридическим причинам, являются отдельными и отличными от требования PCI DSS 3.2.1, которое предназначено для
безопасного удаления данных о держателях карт, когда они больше не нужны, в соответствии с политикой хранения данных о держателях карт организации.

Определенные Процедуры Тестирования Подхода:
  • 9.4.7.a Изучите политику периодического уничтожения носителей, чтобы убедиться, что определены процедуры уничтожения электронных носителей, когда они больше не нужны по деловым или юридическим причинам, в соответствии со всеми элементами, указанными в этом требовании.
  • 9.4.7.b Наблюдайте за процессом уничтожения носителей и опросите ответственный персонал, чтобы убедиться, что электронные носители с данными о держателях карт уничтожены одним из способов, указанных в этом требовании.
Цель:
Если не будут приняты меры для уничтожения информации, содержащейся на электронных носителях, когда она больше не нужна, злоумышленники могут извлечь информацию с утилизированных носителей, что приведет к компрометации данных. Например, злоумышленники могут использовать технику, известную как “погружение в мусорный контейнер”, когда они просматривают мусорные баки и мусорные баки в поисках информации, которую они могут использовать для запуска атаки.

Надлежащая практика:
Функция удаления в большинстве операционных систем позволяет восстановить удаленные данные, поэтому вместо этого следует использовать специальную функцию безопасного удаления или приложение, чтобы сделать данные невосстановимыми.

Примеры:
Способы безопасного уничтожения электронных носителей включают безопасную очистку в соответствии с принятыми в отрасли стандартами для безопасного удаления, размагничивания или физического уничтожения (например, измельчения или измельчения жестких дисков).

Дополнительная информация:
См. Специальную публикацию NIST 800-88, Редакция 1: Руководство по санитарной обработке носителей
Федеральный Закон № 152 от 27.07.2006 "О персональных данных":
Статья 14. Пункт 1.
1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Статья 21. Пункт 4.
4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
Статья 21. Пункт 5.
5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
Статья 21. Пункт 6.
6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3-5.1 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Статья 5. Пункт 7.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Статья 21. Пункт 3.
3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Нарушение требований законодательства по персональным данным из-за отсутствия требуемых законодательством форм и документов в информационной системе персональных данных
Право
Нарушение требований законодательства по персональным данным
Право
Отсутствие требуемых законодательством форм и документов Информационная система персональных данных 5
Нарушение требований законодательства по персональным данным из-за отсутствия документирования в информационной системе персональных данных
Право
Нарушение требований законодательства по персональным данным
Право
Отсутствие документирования Информационная система персональных данных 1
Нарушение требований законодательства по персональным данным из-за обработки персональных данных без согласия субъекта персональных данных в информационной системе персональных данных
Право
Нарушение требований законодательства по персональным данным
Право
Обработка персональных данных без согласия субъекта персональных данных Информационная система персональных данных 1
Нарушение требований законодательства по персональным данным из-за обработки персональных данных без согласия субъекта персональных данных в контрольно-пропускном пункте
Право
Нарушение требований законодательства по персональным данным
Право
Обработка персональных данных без согласия субъекта персональных данных Контрольно-пропускной пункт 1