Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 1 СТАНДАРТ СТАНДАРТ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРАМИ – ПРОФЕССИОНАЛЬНЫМИ УЧАСТНИКАМИ РЫНКА ЦЕННЫХ БУМАГ © «Инфосекьюрити Сервис», 2011, Москва

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 2 Предпосылки Неопределённости и коллизии в нормативно-методическом регулировании деятельности в области защиты персональных данных; потребность в «отраслевом толковании» и «отраслевой адаптации» требований по обеспечению безопасности ПДн; ожидания организаций – членов НАУФОР Пример Банка России (Комплекс СТО БР ИББС ред.2010 года) Статья 17 (Стандарты организаций) ФЗ «О техническом регулировании»

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 3 Ретроспектива Наименование этапа Разработка и утверждение ТЗ на работы, в том числе сбор исходных данных, оценка обстановки и построение типовых моделей ИСПДн ކ Разработка проекта (рабочей версии) Стандарта ކ Обсуждение и согласование рабочей версии ކ Разработка Стандарта ކ Утверждение Стандарта ކ ЯНВАРЬ – МАРТ Согласование с Регуляторами Отзывы: РОСКОМНАДЗОР – полож_но; ФСТЭК – 9 замечаний; ФСБ – 5 замечаний МАЙ Вторая редакция ИЮНЬ Согласование с Регуляторами ИЮЛЬ «новая редакция» 152-ФЗ АВГУСТ Третья редакция СЕНТЯБРЬ Согласован Регуляторами

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 4 Структура и Содержание4. Концептуальная модель обеспечения безопасности персональных данных в информационных системах персональных данных5. Общие рекомендации по обработке персональных данных 6. Классификация информационных систем персональных данных 7. Рекомендации по обеспечению безопасности персональных данных в информационных системах персональных данных 8. Компенсационные меры 9. Оценка и подтверждение соответствия обработки персональных данных в Организации Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике обработки и защиты ПДн и локальным актам Организации 10 Обеспечение безопасности персональных данных с использованием средств криптографической защиты 5. Общий подход к составлению Отраслевой частной модели угроз6. Исходные данные Отраслевой частной модели угроз 7. Таблицы. Анализ угроз безопасности персональных данных исходя из режимов обработки ПДн и структур ИСПДн

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 5 Общий подход Классифицировать ИСПДн Реализовать технические меры исходя из класса Реализовать «общие» меры Подтвердить соответствие На основании анализа исходных данных, в т.ч. анализа актуальных угроз и оценки вреда для субъекта ПДн Допускается внедрение компенсационных мер Анализировать угрозы, оценить вред для субъекта ПДн Исходя из типа ИСПДн В соответствии со ст ФЗ производится оценка ущерба (вреда), возникшего в результате нарушения прав и свобод человека и гражданина (субъекта ПДн), в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 6 Особенности Классификация ИСПДн Приказ от 13 февраля 2008 года ФСТЭК России 55, ФСБ России 86, Мин. ИТ и связи РФ 20 «Об утверждении порядка проведения классификации информационных систем персональных данных» В Стандарте НАУФОР категории обрабатываемых персональных данных объем обрабатываемых персональных данных структура информационной системы персональных данных наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена характеристики взаимодействия ИСПДн с другими сетями режимы обработки ПДн – мн.п. / о.п.все мн.п. – с различными правами режим разграничения прав доступа пользователей ИСПДн местонахождение технических средств ИСПДн перечень актуальных угроз безопасности ПДн, оценка ущ_ба ИСПДн Организаций, как правило, относятся к специальным информационным системам персональных данных

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 7 Особенности Классификация ИСПДн категории персональных данных: категория 1 (специальная категория) - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные. Определение класса специальной ИСПДн следует из частной модели угроз «К1С»; «К2С»; «К3С»; «К4С» национальность (от лат. natio племя) – в значении слов «народ, народность, этнос» и им подобных понятий, но исключая понятие «гражданство» под дополнительной информацией понимаются: сведения об имуществе, доходах субъекта ПДн, сведения о его профессии, трудовой деятельности, образовании и другие данные

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 8 Термины Оценка риска нарушения безопасности персональных данных: процесс выявления и анализа информации, позволяющей максимально точно определить характер и размер риска нарушения безопасности персональных данных. В контексте отраслевой частной модели угроз и в контексте Стандарта НАУФОР (книга 1), понятия «оценка риска» и «оценка вреда» тождественны. Риск нарушения безопасности персональных данных: имеющий обоснование и/или подтверждение ущерб (вред), возникший в связи с нарушением прав и свобод человека и гражданина (субъекта персональных данных) и являющийся следствием реализации угрозы. С использованием составленного перечня актуальных угроз С использованием данных о категории персональных данных производится оценка вреда, который может быть причинён субъектам ПДн в случае нарушения законодательства в области персональных данных Особенности Классификация ИСПДн

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 9 Особенности Оценка угроз Применительно к Организациям – членам НАУФОР определены следующие типы ИСПДн: автономное рабочее место, не имеющее подключения к сетям связи общего пользования и (или) сетям международного информационного обмена; автономное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям международного информационного обмена; локальная ИСПДн с разграничением прав доступа и не имеющая подключения к сетям связи общего пользования и (или) сетям международного информационного обмена; локальная ИСПДн с разграничением прав доступа и имеющая подключение к сетям связи общего пользования и (или) сетям международного информационного обмена; распределенная ИСПДн с разграничением прав доступа и имеющая подключение к сетям связи общего пользования и (или) сетям международного информационного обмена.

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 10 Процедура оценки вреда – экспертная оценка, производимая работниками Организации (Уполномоченным лицом) с привлечением специалистов в области юриспруденции, защиты информации, риск-менеджмента и т.п. Оценка вреда состоит из двух основных этапов: Определение размера ущерба (вреда) Соотнесение размера ущерба (вреда) с критериями, приведёнными в кодексах РФ …. Пример подхода к оценке: В соответствии со сложившейся практикой, степень тяжести ущерба, для субъекта ПДн допустимо определить по аналогии с методикой определения риска: Риск = вероятность реализации угрозы * размерность и величина вреда (R=P*L), где R – риск; P – вероятность реализации угрозы; L – вред, выраженный в стоимостной и/или не стоимостной величине. P = Y По аналогии с приведённой выше формулой расчёта риска, определение негативных последствий для субъекта ПДн допустимо провести по формуле: E(n)=P*L(d+m), где En - Effects (negative) – негативные последствия; L(d+m) - Loss (direct+mediated) – непосредственный и опосредованный вред (ущерб); P – вероятность реализации угрозы. При расчётах допустимо принять P = Y ; где Y - коэффициент реализуемости угрозы. Из того, что в ИСПДн обрабатываются ПДн совокупности субъектов, и для каждого конкретного субъекта ущерб, может значительно отличаться от непосредственного ущерба любого другого (субъекта), явно следует, что L может находиться в диапазоне от 0 до +. Особенности Классификация ИСПДн

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 11 Категории ПДн Объём ПДн Класс ИСПДн > от 1000 до < значительный вред [1] К1С 2 значительный вред К1С вред [2] К2С вред К3С незначительный вред [3] К3С 3 значительный вред К2С вред К3С незначительный вредК3С 4 отсутствие вреда [4] К4С Результаты оценки вреда, который может быть причинён субъектам ПДн [1] [1] Нарушение заданных характеристик безопасности ПДн может привести к значительным негативным последствиям для субъектов ПДн. [2] [2] Нарушение заданных характеристик безопасности ПДн может привести к негативным последствиям для субъектов ПДн. [3] [3] Нарушение заданных характеристик безопасности ПДн может привести к незначительным негативным последствиям для субъектов ПДн. [4] [4] Нарушение заданных характеристик безопасности ПДн не приводит к негативным последствиям для субъектов ПДн. Особенности Классификация ИСПДн

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 12 Компенсационные меры могут применяться, если Организация не может исполнить определенное положение Стандарта в явном виде, в конкретное время и в отношении конкретного ресурса (элемента, компонента) ИСПДн по причине технических, или бизнес - ограничений, однако риск, связанный с невыполнением этого требования, может быть снижен до необходимого уровня путем принятия других (компенсационных) мер. Компенсационные меры должны соответствовать цели исходного положения Стандарта и предоставлять уровень защиты относительно рассматриваемой угрозы, соответствующий тому, который обеспечивает исходное положение Стандарта. Основным принципом в реализации компенсационной меры является – разнесение по времени и месту (элементу, компоненте ИСПДн) того, или иного положения Стандарта. Организационные процедуры, приведённые в настоящем Стандарте не могут быть заменены компенсационными мерами. Эффективность компенсационной меры зависит от конкретной ИСПДн, в которой реализуется эта мера и взаимодействия мер защиты между собою. Организация должна осознавать, что какая-то конкретная компенсационная мера не может быть эффективной во всех ИСПДн. При каждой оценке соответствия требованиям Стандарта необходимо тщательно оценивать компенсационные меры, чтобы убедиться, что каждая мера позволяет адекватно минимизировать угрозу безопасности персональных данных, которую должно снижать исходное требование Стандарта. Особенности Компенсационные меры

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 13 Согласование

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 14 Внедрение … профессиональные участники рынка ценных бумаг должны привести свои системы, в которых обрабатываются данные, в соответствие с законодательством. В целях выполнения профессиональными участниками требований законодательства, НАУФОР, совместно с ООО «Инфосекьюрити Сервис» разработала Стандарт …. Правила членства Саморегулируемой (некоммерческой) организации «Национальная ассоциация участников фондового рынка» 29. Члены НАУФОР обязаны: соблюдать принятые НАУФОР правила и стандарты …

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 15 Внедрение Проблемные вопросы

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 16 Продвижение для комплаенс-контролеров "Практика реализации"

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 17 Неразрешённые вопросы НАУФОР считает необходимым упорядочить нормативную базу в области средств защиты конфиденциальной информации Национальная ассоциация участников фондового рынка считает необходимым провести редактирование и уточнение нормативной базы в области средств защиты конфиденциальной информации, в связи с чем направила письмо в Федеральную службу по техническому и экспортному контролю (ФСТЭК России), в котором указала на проблемы в области подтверждения соответствия средств защиты информации, вызванные несовершенством существующей системы подтверждения их соответствия. Как говорится в письме, проблемы вызваны несовершенством системы подтверждения соответствия средств защиты информации требованиям нормативных правовых актов РФ, и порождают существенные риски для операторов персональных данных и других организаций. В письме НАУФОР также содержится просьба о подтверждении возможности оценки соответствия средств защиты информации, предназначенных для защиты персональных данных, в системах добровольной сертификации.

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 18 Письмо НАУФОР в ФСТЭК России

Стандарт НАУФОР © «Инфосекьюрити Сервис», 2011, Москва 19 Адрес: г. Москва, Протопоповский пер., д.40 Тел.: Факс: Контактное лицо: Калганов Игорь Моб. тел. +7 (916)