ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОРМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОРМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? (требования и комментарии) Сергей ВИХОРЕВ Директор Аналитического Департамента ОАО «ЭЛВИС-ПЛЮС» 2008 год © ОАО «ЭЛВИС-ПЛЮС», 2008 г.,

Материалы, изложенные в данной презентации рассматривают только основные аспекты проблемы безопасности информации и не претендуют на полноту анализа изменений российского законодательства ВНИМАНИЕ!

Пролог В соответствии с Законом «О персональных данных» организация или физическое лицо, осуществляющее и/или организующее обработку персональных данных, является оператором персональных данных и обязано обеспечить их защиту. С 1 января 2008 года деятельность операторов считается легализованной при наличии регистрации этих операторов в реестре. До 1 января 2010 года все операторы обязаны обеспечить защиту персональных данных. По оценкам ФСБ России и ФСТЭК России на сегодняшний день требования Закона касаются около 7 млн. организаций.

Пролог В период годов в соответствии с возложенными полномочиями, ФСТЭК России разработаны и введены в действие ряд нормативных и методических документов в области защиты персональных данных. Нормативные и методические документы по защите персональных данных разработаны во исполнение Закона 2006 г. 152-ФЗ «О персональных данных» и Постановления Правительства РФ от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИС персональных данных»

Понятийный аппарат Федеральный Закон 152-ФЗ «О персональных данных» Персональные данные (ПДн) субъекту ПДн Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация Оператор персональных данных - Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки

обязанприниматьмеры Оператор обязан принимать организационные и технические меры, для защиты ПДн от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий (ФЗ «О персональных данных» ст. 19, ч. 1) «типовые» «специальные» ИС ПДн делятся на «типовые» (защита только конфиденциальности) и «специальные» (защита конфиденциальности + хотя бы 1 характеристика безопасности дополнительно) «Порядок проведения классификации ИС ПДн» (Приказ 55/86/20, п ) Как обеспечить безопасность ПДн Несогласованность классификации ИС ПДн необходимостьдля всех ИС только То есть, Закон устанавливает необходимость обеспечения для всех ИС не только конфиденциальности, но и других характеристик безопасности, а нормативный документ выделяет ИС, в которых защищается только конфиденциальность Проблема: проведение корректной классификации ИС ПДн и, следовательно, определения требований по их защите

Категория информации в ИС Требования к защите ГТ КИ КТ ПДн КС СТРХ СТР-КХХХ РД по АСХХХ РД по СВТХХХ РД по МЭХХХ РД по НДВХХХ Требования к МЭ с СКЗИ (ФСБ России)ХХХ Требования к СКЗИ (ФСБ России)ХХХХ Основные мероприятия по защите ПДнХ Рекомендации по защите ПДнХ Общие требования по защите КСХ Пособие по организации защиты КТХ Какие требования выбрать? Несогласованность требований понятиятребования Новые документы вводят новые понятия и новые требования не всегда учитывают уже действующие Проблема: проведение гармонизации требований по защите с уже используемыми в существующих информационных системах

«чистых» На практике нет «чистых» ИС, только для обработки ПДн. В реальных ИС организаций могут обрабатываться: сведения, относящиеся к коммерческой тайне персональные данные служебная тайна другая информация Для реальных ИС используются требования РД ФСТЭК России по классу 1Г, СТР-К, ГОСТ Р (для операторов связи), новые требования по защите ПДн Какие требования выполнять? Необходимость реализации единого и комплексного подхода к защите ИС Проблема: отсутствие механизма определения совокупных требований к реальным ИС

Класс ИС ПДн Режим обработки Права доступа Требуемые подсистемы защиты ПДн КДIAMСМ СКЗИAVPID&PПЭМИН IVОпределяется Оператором ПДн в зависимости от ущерба от НСД III Однопользов.ХХХХ? Многопользов. РавныеХХХХ? РазныеХХХХ? II Однопользов. = ХХ ?Х Многопользов. Равные = ХХ ?Х Разные= Х ??Х I Однопользов.= Х ? Многопользов. Равные= Х ХХ? Разные= Х ?Х? Какие требования применять? Неопределенность требований Новые документы определяют требования к классам ИС, но для ряда параметров требования не определены Проблема: уточнение требований по защите ПДн с уже используемыми в существующих информационных системах

Какие СЗИ применять? Отсутствие прошедших оценку соответствия (сертифицированных) СЗИ проходят процедуру оценки Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия». Постановление Правительства РФ от г. 781, ст. 5 новыетребования Новые документы вводят новые требования к СЗИ ПДн Проблема: В настоящее время отсутствуют СЗИ, которые формально можно применять для защиты ПДн.

Сухой остаток Или проблемы, требующие решения Как провести корректную классификацию ИС ПДн и, следовательно, определить требования по их защите Как гармонизировать требования по защите ПДн с уже используемыми в существующих ИС Как определить совокупные требования к реальным ИС Какие СЗИ, можно применять для защиты ПДн

Спасибо за внимание ! , МОСКВА, Зеленоград, Центральный проспект, 11 тел , факс