Разработка автоматизированной системы категорирования и выбора средств защиты информационных систем персональных данных В.И.Аверченков, М.Ю.Рытов, О.М.Голембиовская, Е.В.Лексиков

2 Постановка проблемы В 2007 году в силу вступил федеральный закон «О персональных данных». Не готовность операторов персональных данных привела к отсрочке выполнения требований закона до 1 января 2011 года. Причины неподготовленности: 1.Объемная законодательная база в области защиты персональных данных, требующая изучения. 2. Дорогостоящая процедура защиты информационных систем персональных данных.

3 Законодательство в области ПДн Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.); Уголовный кодекс Российской Федерации от 13 июня 1996 г. 63–ФЗ ( Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. 195–ФЗ Трудовой кодекс Российской Федерации от 30 декабря 2001 г. 197–ФЗ Основы законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 г. Федеральный закон от 8 августа 2001 г. 129–ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» Федеральный закон от 27 мая 2003 г. 58–ФЗ «О системе государственной службы Российской Федерации» Федеральный закон от 27 июля 2004 г. 79–ФЗ «О государственной гражданской службе Российской Федерации» Федеральный закон от 22 октября 2004 г. 125–ФЗ «Об архивном деле в Российской Федерации» Федеральный закон 160–ФЗ от 19 декабря 2005 г. «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»; Федеральный закон от 27 июля 2006 г. 149–ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральный закон от 27 июля 2006 г. 152–ФЗ «О персональных данных» Федеральный закон от 29 декабря 2006 г. 256–ФЗ «О дополнительных мерах государственной поддержки семей, имеющих детей» (с изменениями от 23 июля, 25 декабря 2008 г.); Федеральный закон от 2 марта 2007 г. 25–ФЗ «О муниципальной службе в Российской Федерации». Статья 29. Персональные данные муниципального служащего (с изменениями от 23 июля, 27 октября, 25 ноября, 22, 25 декабря 2008 г., 17 июля 2009 г.); Федеральный закон Российской Федерации от 3 декабря 2008 г. 242–ФЗ «О Государственной геномной регистрации в Российской Федерации» (с изменениями от 17 декабря 2009 г.); Указ Президента Российской Федерации от 06 марта 1997 г. 188 «Об утверждении Перечня сведений конфиденциального характера» (с изменениями от 23 сентября ); Указ Президента Российской Федерации от 12 мая «Вопросы системы и структуры федеральных органов исполнительной власти» (с изменениями от 30 мая, 24 июля, 6 сентября, 7, 14 октября, 3, 25, 31 декабря 2008 г., 11 сентября, 5 октября 2009 г.);

На территории Российской Федерации более 7 миллионов юридических лиц и предпринимателей. Дорогостоящую и длительную процедуру по приведении ИСПДн в соответствие ФЗ 152 «О персональных данных» может позволить себе небольшой процент из этих 7 миллионов. Разработанная автоматизированная система позволит снизить трудоемкость работ и уменьшить материальные затраты. Актуальность и необходимость разработки 4

Схема работы автоматизированной системы Информация, позволяющая дать оценку ИСПДн Категорирование ПДн Выявление угроз ПДн Конкретный перечень мер и средств, необходимых для должной защиты выявленной категории ИСПДн Оценка состояния обработки ПДн На входеНа выходе 5 Обработка данных

6 jДанные об ИНН гражданина kДанные страхового свидетельства lДанные о составе семьи mДанные о льготах nДанные о здоровье oДанные о расовой принадлежности pДанные о национальной принадлежности qДанные о политических взглядах rДанные о религиозных убеждениях sДанные об интимной жизни Элемент множеств а Наименование элемента aФамилия Имя Отчество bПаспортные данные сДанные свидетельства о рождении dДанные водительского удостоверения eДанные об образовании fДанные о повышении квалификации gДанные о прохождении профессиональной переподготовке hДанные о воинском учете iДанные о доходах Формализация процесса категорирования

7 Групповой показатель GP1 - Обеспечение защиты ИСПДн от угроз утечки видовой информации,п/п,п/п Частный показательВесВаж ност ь Ch 2.1 С помощью каких средств в учреждении введен контроль доступа в контролируемую зону? 0,4 Система контроля доступа 1 Пропускной пункт с охраной0,5 Не используется0 Ch 2.2 АРМ пользователей на которых производится обработка ПДн расположены так, что практически исключен визуальный доступ к мониторам? 0,3 Да1 Нет0 Номер частного показателяChkαkαk , , ,80, ,20,1 GP20,58 GP i =α 1 Ch 1 +α 2 Ch 2 +…+α k Ch k, Шкала защищенности ИСПДн: 1 – высокий достаточный уровень защиты [0,8;1) – высокий недостаточный уровень защиты [0,5;0,8) – средний недостаточный уровень защиты [0;0,2) – низкий недостаточный уровень защиты 0– система не защищена Расчет оценки защищенности ИСПДн

8 Класс ИСПДн Анализ защищенности и выбор средств защиты ИСПДн БД программных средств защиты ИСПДн Объем ПДн Перечень ПДн Данные об установленных средствах защиты Данные об утвержденных организационно- распорядительных документах Данные о системе обработки ПДн Модель угроз Оценка защищенности ИСПДн Рекомендации по внедрению необходимых средств защиты ИСПДн Рекомендации по утверждению организационно- распорядительной документации БД технических средств защиты ИСПДн БД организационно- распорядительной документации Представление процедуры анализа защищенности и выбора средств защиты ИСПДн

7 Заполнение опросной электронной анкеты ОПРОСНЫЕ БЛОКИ Блок организационной документации (вопросы о наличии тех или иных организационно- распорядительных документов в области защиты ПДн) Программно-аппаратное оснащение (вопросы об оснащенности теми или иными программными средствами защиты ПДн) Техническое оснащение (вопросы об оснащенности техническими средствами защиты ПДн) Общий блок (вопросы о численности штата, квалификации работников)

9 Формирование отчета по принципу «как есть» и «как должно быть» Общее состояние защиты информационной системы персональных данных «КАК ЕСТЬ» Общее состояние защиты информационной системы персональных данных «КАК ДОЛЖНО БЫТЬ» 1.Общий блок 2.Блок организационной- распорядительной документации 3. Блок программно-аппаратного оснащения 4. Блок технической оснащенности 1.Общий блок 2.Блок организационной- распорядительной документации 3. Блок программно-аппаратного оснащения 4. Блок технической оснащенности Основа - законодательная база:

Определение диапазона цен, приемлемых для клиента 10 Система защиты 1 Система защиты 2 Система защиты 3 Система защиты 4 Система защиты будет соответствовать выявленной категории ИСПДн

11 Перечень средств и методов, необходимых для защиты информационной системы персональных данных Организационные меры: Для соответствующей системы защиты персональных данных, вам необходимо дополнить вашу базу организационно-распорядительных документов следующими:…………………………………… В соответствии с выбранным диапазоном стоимости оборудования Вам необходимо установить следующие программно-аппаратные и технические средства защиты персональных данных:….

Применение автоматизированной системы выбора средств и методов защиты персональных данных Частные и государственные организации различных форм собственности 12

ОБЗОР УЧРЕЖДЕНИЙ ГОРОДА БРЯНСКА, ОБРАБАТЫВЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СОТРУДНИКОВ Жилищно-коммунальное хозяйство Учреждения культуры и искусства - 42 Учреждения здравоохранения Заводы, фабрики в том числе ИП Муниципальные учреждения Учреждения образования и науки Общественные организации Оптовая торговля, склады, магазины Розничная торговля, магазины Развлекательные учреждения Спортивные учреждения - 74 Средства массовой информации - 64 Строительные организации Транспортные организации Организации, оказывающие различные виды услуг Банковские и финансовые организации, казначейства Данные представлены, в соответствии со сведениями сайта Брянских организаций Примерно:

АНАЛОГИ Сторонние аудиторские компании: - Информзащита; - ООО «Анкад»; -ЗАО «Калуга Астрал»; -НТЦ «Сфера»; -ЗАО «Орбита»; -ОАО «ЭЛВИС-ПЛЮС» 13

Структура решаемых задач в автоматизированной системе анализа и выбора средств защиты ИСПДн 16

Категорирование ПДн 17

Оценка защищенности ИСПДн 18

Разработка автоматизированной системы категорирования и выбора средств защиты информационных систем персональных данных