Заместитель генерального директора по информационной безопасности Артём Агеев

Объём рынка киберпреступности в мире (Group IB)– 7 млрд. дол. Из них «российский сегмент» - 1,3 млрд.; «русский» – 2,5 млрд. Объём рынка киберпреступности в мире (Group IB)– 7 млрд. дол. Из них «российский сегмент» - 1,3 млрд.; «русский» – 2,5 млрд. Из 10 крупнейших спаммеров ( - 3 россиянина; 3 украинца; эстонец. Из 10 крупнейших спаммеров ( - 3 россиянина; 3 украинца; эстонец. Рост киберпреступности – 115% за 2010 год (Гос. Деп. США) Рост киберпреступности – 115% за 2010 год (Гос. Деп. США)

Дистанционное банковское обслуживание (ДБО, банк-клиент). DDOS атаки. Шантаж и вымогательство. СМС - мошенничество Социальные сети Кибервойна (Stuxnet) Спам. Ботнеты. Нелегальные медикаменты и ПО.

Покупка вредоносного ПО Покупка траффика (загрузок) Создание ботнета Создание ботнета СПАМ DDOS ДБО 1. Специализация. 2. Упрощение процедур. 3. Эффективность.

1. Не знает о виртуальных серверах, облачных вычислениях, терминалах … ВЫВОД: Отстаёт на 5-10 лет 2. Активно ловит западных шпионов (ПЭМИН) 3. Плодит регуляторов (ФСТЭК, ФСБ, РОСКОМНАДЗОР, МИНСВЯЗИ и т.д.) 4. Любит ГОСТ, сертификацию, аттестацию и лицензирование

Приказы Федеральных Служб Приказы Федеральных Служб Постановления Правительства Постановления Правительства Федеральные Законы 152-ФЗ «О ПДн» 152-ФЗ «О ПДн» ПП781 ИСПДн ПП781 ИСПДн ПП687 ПДн без средств автоматизации ПП687 ПДн без средств автоматизации ФСТЭК ФСБ Минсвязи 55/86/20 Классификация ИСПДн ФСТЭК ФСБ Минсвязи 55/86/20 Классификация ИСПДн ФСБ Криптография ФСБ Криптография ФСТЭК 58 ИБ ПДн ФСТЭК 58 ИБ ПДн ФСБ Регламент проверок ФСБ Регламент проверок ФСТЭК МУ ФСТЭК ЮФО РКН Регламент проверок РКН Регламент проверок ПП512 БиоПДн ПП512 БиоПДн Комплекс БР ИББС СТО БР ИББС-1.х РС БР ИББС-2.х Методические рекомендации ФСБ Криптография ФСБ Криптография ФСТЭК МУ Письмо «шести»

ФСТЭК ФСБРКН ПДн 1.Криптография; 2.Модель угроз ФСБ. 1.Технические вопросы; 2.Аттестация, Сертификация; 3.Модель угроз ФСТЭК. 1.Реестр операторов; 2.Защита прав субъектов ПДн.

Объект Угроза 1Угроза 2Угроза 3 Ущерб: небольшой Ущерб: небольшой Ущерб: средний Ущерб: средний Ущерб: значительный Ущерб: значительный Вероятность: средняя Вероятность: средняя Вероятность: средняя Вероятность: средняя Вероятность: низкая Вероятность: низкая Неактуальная Актуальная

информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. 152-ФЗ «О персональных данных»

< < X < > кат. 3 кат. 2 кат. 1 кат. К4 К3 К2 К1

Часть 1 Статьи 6: Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением… Часть 1 Статьи 10: Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением… Часть 1 Статьи 11: Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением Часть 1 Статьи 8: …В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Часть 3 Статьи 18: …Если персональные данные были получены не от субъекта персональных данных … оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:… СОГЛАСИЕ СУБЪЕКТА ПДн СОГЛАСИЕ на обработку СПЕЦИАЛЬННЫХ категорий ПДн СОГЛАСИЕ на обработку СПЕЦИАЛЬННЫХ категорий ПДн СОГЛАСИЕ на обработку БИОМЕТРИЧЕСКИХ ПДн СОГЛАСИЕ на обработку БИОМЕТРИЧЕСКИХ ПДн Часть 3 Статьи 12: Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях: 1) наличия согласия в письменной форме субъекта персональных данных… СОГЛАСИЕ на публикацию ПДн в общедоступных источниках СОГЛАСИЕ на публикацию ПДн в общедоступных источниках СОГЛАСИЕ на трансграничную передачу ПДн Часть 2 Статьи 16: Решение, порождающее юридические последствия … на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта … СОГЛАСИЕ на передачу ПДн третьим лицам СОГЛАСИЕ на автоматизированную обработку с принятием юридически значимого решения

Часть 4 статьи 9: Согласие субъекта должно включать собственноручную подпись, либо ЭЦП. Часть 1 статьи 7: Обеспечение конфиденциальности передаваемых данных. Часть 1 статьи 8: согласие на публикацию в общедоступных источниках. Часть 2 статьи 7: не требуется обеспечивать конфиденциальность общедоступных данных. Часть 2 статьи 22: уведомление не требуется, если обрабатываются общедоступные ПДн. Часть 1 статьи 5: Принцип достоверности при обработке ПДн

ОБЕЗЛИЧИВАНИЕ СНИЖЕНИЕ КЛАССА ОТКАЗ ОТ ЗАЩИТЫ ОБЪЕДИНЕНИЕ ИСПДн Статья 23 Конституции РФ: 1.Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну… Статья 86 ТК РФ: 9) работники не должны отказываться от своих прав на сохранение и защиту тайны. Статья 23 Конституции РФ: 1.Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну… Статья 86 ТК РФ: 9) работники не должны отказываться от своих прав на сохранение и защиту тайны. Адрес, телефон, практически однозначно определяют человека. К2=К3 Ст ФЗ. Принципы обработки ПДн: 5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. Ст ФЗ. Принципы обработки ПДн: 5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. НЕСЕРТИФИЦИРОВАННЫЕ СЗИ Статья КоАП: Использование несертифицированных средств защиты информации … Штраф до 20 тыс. руб. и конфискация СЗИ. Статья КоАП: Использование несертифицированных средств защиты информации … Штраф до 20 тыс. руб. и конфискация СЗИ.

Серия (производство) ПартияЭкземпляр Кем? Что? Срок действия сертификата? ФСТЭК ФСБ Как? МЭ СВТ ОУД НДВ ТУ КЛАСС АС КЛАСС ИСПДн КС1(2,3) МЭ АВ СОКА ВЕРСИЯ КОМПЛЕКТ ПОСТАВКИ ОБНОВЛЕНИЯ ПЕРЕСЕРТИФИКАЦИЯ

Федеральный Закон 152-ФЗ «О персональных данных» Часть 3 статьи 22: Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения: ….. Пример: изменились реквизиты организации, а уведомление не обновили. КоАП, ст. 19.7: Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объёме или в искажённом виде.. Прокуратура. Предупреждение или штраф.

Часть 1 статьи 6: Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. Пример: сбор сведений о близких родственниках, супругах, хранение сведений об уволенных сотрудниках (кроме бухгалтерской отчетности) без согласий. КоАП, ст : Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.

Часть 4 статьи 6: В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Пример: охрана периметра другой организацией, корпоративный спортзал, негосударственный пенсионный фонд, «зарплатный» банк. В договорах с ними отсутствует обязательное условие обеспечения конфиденциальности. КоАП, ст : Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф. 1 1

Часть 3 статьи 9: В случае обработки общедоступных персональных данных, обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора. Пример: публикация ПДн на сайте, в телефонном справочнике. КоАП, ст : Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.

Часть 1 статьи 10: Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи (имеется письменное согласие). Пример: графа «национальность» в анкете, сбор сведений о здоровье. КоАП, ст : Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.

Часть 3 статьи 10: Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами. Пример: графа «судимость» в анкете КоАП, ст : Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф. 3 3

Часть 1 статьи 11: Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Пример: Фотография сотрудника (на пропуске, в личном деле, в справочнике Outlook; рост, вес). КоАП, ст : Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.

Часть 3 статьи 18: Если персональные данные были получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию о наименовании, адресе, целях обработки, пользователях, правах субъекта персональных данных Пример: УК провела конкурс на «лучшего клиента», получив от филиала информацию о клиентах. КоАП, ст : Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.

Часть 4 статьи 21: В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных, уничтожить соответствующие персональные данные и уведомить об этом субъекта персональных данных. Пример: - КоАП, ст : Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.

Часть 1 статьи 5: Обработка персональных данных должна осуществляться на основе принципов: … недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; Пример: -

Постановления Правительства РФ 687 (неавтоматизированная обработка ПДн) Пункт 6: Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки. Пункт 8: Устанавливает особенности ведения журналов учёта посетителей. Пункт 13: Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Пункт 15: При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. 2 2

(861)