Практическая реализация положений законодательства о персональных данных в деятельности НПФ и УК

2 Особенности НПФ: Общие вопросы защиты КЛЮЧЕВЫЕ ОСОБЕННОСТИ НПФ: Большой объем персональных данных: вкладчиков, страхователей, участников, застрахованных лиц. Небольшая численность собственного персонала. ИТ персонал, как правило, либо на аутсорсинге, либо универсальные специалисты, «закрывающие» все возможные ИТ проблемы. Существенная ограниченность бюджета, выделяемого на защиту информации

3 Особенности НПФ: Общие вопросы защиты КАК СЛЕДСТВИЕ: Вопросами защиты персональных данных занимается персонал не имеющий квалификацию и опыта в данном вопросе. Отсутствие уведомления об обработке ПД (на в реестр операторов, осуществляющих обработку персональных данных, включено только 40 негосударственных пенсионных фондов) Отсутствие согласий субъектов на обработку персональных данных, отсутствие внутренних документов, регламентирующих обработку персональных данных (описаны в стандартах) Сложности при привлечении сотрудников к дисциплинарной ответственности за разглашение и нарушения порядка обработки персональных данных, ввиду отсутствия локальных актов, обеспечивающих защиту персональных данных, а также неустановления обязательств по сохранению конфиденциальности персональных данных сотрудников в должностных инструкциях и трудовом договоре

4 Особенности НПФ: Состояние информационных систем Территориально распределенные системы Относительно небольшое количество серверов и рабочих мест Фактор «бюджет» КАК СЛЕДСТВИЕ: Слабая система защиты Средства защиты, даже когда установлены, некорректно настроены Немотивированность ИТ персонала на создание и поддержку должного уровня защиты Отсутствие контрольных мероприятий, предусмотренных законодательством Высокие риски отказа информационных систем

5 Особенности НПФ: физическая безопасность/места хранения Отсутствие собственной серверной Отсутствие должной охраны помещений/мест хранения документов Документы разных субъектов ПД хранятся совместно Отсутствие порядка хранения/уничтожения документов

6 Особенности НПФ: трудности при построении систем защиты Нехватка денежных средств на закупку сертифицированных средств защиты При проведении аудита приходиться заниматься не только вопросами систем защиты персональных данных, но и реализацией стандартных методов («best practices») при построении ИТ систем. Например: Резервное копирование Отсутствие процедуры восстановления систем в случае сбоев Отсутствие управления рисками Несоблюдение требований пожарной безопасности и условий эксплуатации техники Использование нелицензионного программного обеспечения

7 РЕКОМЕНДАЦИИ Придерживаться стандартов НАПФ!! Повысить квалификацию ИТ персонала в вопросах защиты персональных данных Провести обучение всех сотрудников, участвующих в обработке персональных данных, общим принципам защиты и обработки Уделить особое внимание вопросу ИТ аутсорсинга: передача третьим лицам? прописаны ли гарантии конфиденциальности? Поддерживать систему защиты персональных данных в актуальном состоянии

8 Стандарты СРО (НАПФ, НАУФОР) Являются своеобразным кодексом необходимых требований к обеспечению безопасности и конфиденциальности персональных данных; Включают в себя минимальные рекомендации как по реализации организационных, так и технических мер; Содержат проекты типовых документов; Разъяснены нормативные требования и термины, описаны способы реализации методов обеспечения безопасности персональных данных; Положения Стандартов действуют напрямую путем включения ссылок на них, либо путем включения содержащихся в них норм в локальные документы Компаний; Унифицируют подход к защите персональных данных в рамках конкретной деятельности, вводя единые критерии и процедуры, охватывающие весь жизненный цикл системы защиты персональных данных ; Содержат поэтапные пути внедрения системы защиты персональных данных в деятельность Компании, включая этапы планирования, реализации, контроля и корректировки соответствующих мероприятий.

9 Особенности УК: Общие вопросы защиты КЛЮЧЕВЫЕ ОСОБЕННОСТИ УК: Относительно небольшой объем персональных данных Невысокая численность персонала Большое количество информационных систем Высокие требования к непрерывности процессов: ежедневная отчетность Необходимость в квалифицированном ИТ персонале выше Затраты на построение системы защиты ПД сопоставимы с НПФ (или даже выше), несмотря на меньший объем ПД

Оценка затрат на создание системы защиты персональных данных

Основные этапы работ по обеспечению безопасности персональных данных Этап 1- Проведение внутренних организационно-распорядительных мероприятий Выявление и описание информационных систем персональных данных Анализ актуальности угроз Классификация ИСПД Разработка организационно - распорядительной документации Этап 2 - Создание системы защиты персональных данных определение требований к системе защиты персональных данных; физическая защита технические средства защиты информации программное обеспечение и информационные технологии используемые для защиты персональных данных Этап 3 - Поддержание системы защиты персональных данных в актуальном состоянии (обслуживание, модернизация, управление) внедрение системы защиты персональных данных; отслеживание процессов происходящих в ИС реакция на возникающие угрозы в ИС администрирование ИС, ведение необходимой технологической 11

Этап 1. Проведение внутренних организационно- распорядительных мероприятий Проведение обследования всех информационных систем персональных данных, используемых в пенсионном фонде, инвентаризация всех хранилищ, отчуждаемых носителей информации и содержащихся в них персональных данных. Производится описание конфигурации, физического расположения и структуры информационной системы в целом и ее отдельных компонентов, путем составления перечней: Для минимизации расходов, данный этап имеет смысл проводить собственными силами не привлекая сторонних исполнителей. Разработка необходимых документов таких как Акт категорирования, модели угроз, технического задания, и организационно распорядительных документов. При разработке Модели угроз следует стремиться (по возможности) к понижению класса обрабатываемых ПДн. (Обезличивание, выделение в отдельный сегмент, разделение БД) Позволяет понизить требования к средствам защиты 12

Этап 2. Создание системы защиты персональных данных; На этом этапе, исходя из разработанного Технического задания производится закупка, установка, настройка средств защиты информации. Количество и тип используемых средств в прямую зависит от конфигурации информационной сети компании, 13

Этап 3. Поддержание системы защиты персональных данных в актуальном состоянии (обслуживание, модернизация, управление) Исходя из требований нормативных документов для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных; Привлечении квалифицированной поддержки у сторонних организаций в части оказания услуг по технической защите конфиденциальной информации. 14

Задачи выполняемые системой защиты (подсистемы защиты приказ 58 ФСТЭК) Подсистема управления доступом Подсистема регистрации и учета Подсистема обеспечения целостности Подсистема антивирусной защиты Подсистема межсетевого взаимодействия Подсистема обнаружения вторжений Подсистема анализа защищенности Подсистема криптозащиты 15

ПодсистемаПрограммно-аппаратные решения управления доступомПанцирь, Страж NT, Аккорд-NT/2000, Secret Net, Dallas Lock, Windows XP/2003 (не обеспечивает целостности), электронные ключи eToken (только регистрация и учет) регистрации и учета обеспечения целостности антивирусной защитыАнтивирус Dr.Web, Kaspersky –сертифицированы серийно межсетевого взаимодействияАПКШ Континент, WatchGuard Firebox, Межсетевые экраны Cisco (довольно широкий список), ФПСУ-IP обнаружения вторженийНет сертифицированных средств, бесплатное решение Snort анализа защищенностиРевизор сети, XSpider криптозащитыАПКШ Континент, VipNet, модули RVPN для Cisco Возможные решения 16

Приблизительная стоимость предлагаемых СЗИ Межсетевой экран АПШК «Континент»От р VipNet Office Firewall32000 р Средства антивирусной защиты Dr.Web1200р (1 лицензия) Средства антивирусной защиты Kaspersky Work Space Security 1200р (1 лицензия) ПАК СЗИ от НСД АККОРД-NT/ р СЗИ от НСД Страж NT р (рабочее место) СЗИ от НСД «Панцирь-К»5000р. (рабочее место) СЗИ Dallas Lock6000р (рабочее место) Сетевой сканер Ревизор Сети5700 р Межсетевой экран АПШК «Континент»От р VipNet Office Firewall32000 р Средства антивирусной защиты Dr.Web1200р (1 лицензия) Средства антивирусной защиты Kaspersky Work Space Security 1200р (1 лицензия) ПАК СЗИ от НСД АККОРД-NT/ р СЗИ от НСД Страж NT р (рабочее место) СЗИ от НСД «Панцирь-К»5000р. (рабочее место) СЗИ Dallas Lock6000р (рабочее место) Сетевой сканер Ревизор Сети5700 р 17

Возможности минимизации затрат ЭтапСодерджаниеСредняя стоимость услуг на рынке Возможность минимизации расходов 1Проведение обследования всех информационных систем персональных данных, используемых в пенсионном фонде, инвентаризация всех хранилищ, отчуждаемых носителей информации и содержащихся в них персональных данных От рДля минимизации расходов, данный этап имеет смысл проводить собственными силами не привлекая сторонних исполнителей. Разработка необходимых документов: Акт классификации, Модели угроз, ТЗ и ОРД. От рПри разработке модели угроз следует учитывать возможности понижения класса ИСПДн 2Закупка, установка, настройка средств защиты информации. См. вышеКоличество и тип используемых средств зависит от конфигурации информационной сети компании 3Поддержание системы защиты персональных данных в актуальном состоянии (обслуживание, модернизация, управление) Аутсорсинг От р/месяц (в зависимости от сложности инфраструктуры) Наличие обученного сотрудника в штате (только для средних и крупных компаний) 18

19 ЗАКЛЮЧЕНИЕ СПАСИБО ЗА ВНИМАНИЕ!!! Презентацию для Вас подготовили: Круглова Елена +7 (495) Валентин Семисчастнов +7 (495)