Проблемы практической реализации требований Федерального закона «О персональных данных», оценки уровня защищенности и построения модели угроз для финансовых организаций и пенсионных фондов М.Ю.Емельянников, управляющий партнер

2 Проблемы были и раньше Определение правовых оснований обработки персональных данных Определение состава обрабатываемых персональных данных Определение статуса организации в терминах 152- ФЗ (кредитные и страховые организации, агенты, брокеры, колл-центры, рекламные компании, курьерские службы, организации, осуществляющие доставку и т.д.)

3 Правовые основания обработки персданных

4 Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях: а) договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника; б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании; в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

5 Форма согласия Прокурор разъясняет Информация межрайонной прокуратуры Измайловской межрайонной прокуратурой г. Москвы проведена проверка по обращению руководителя Управления Роскомнадзора по Ивановской области Девочкина В.Н. в связи с заявлением Романенко С.В. о нарушении ЗАО «Банк Русский Стандарт» законодательства о персональных данных. В ходе проверки установлено, что типовая форма согласия на обработку персональных данных в форме Заявки-анкеты для физического лица, размещенная в информационно- телекоммуникационной сети Интернет на официальном сайте ЗАО «Банк Русский Стандарт» не соответствует требованиям ч. 4 ст. 9 Федерального закона от ФЗ «О персональных данных»

6 Установлено, что в детской поликлинике в историях болезни детей хранились копии свидетельств о рождении детей, паспортов родителей и их полюсы обязательного медицинского страхования. Документы, подтверждающие согласие граждан на такую обработку персональных данных, отсутствовали. Кроме того, в двух случаях установлены факты обработки сведений о национальной принадлежности родителей, являющихся избыточными.

7 3. В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки от , ОАО «ОТП Банк» не было представлено письменное согласие гр. А. на обработку его биометрических персональных данных, обработка которых осуществляется ОАО «ОТП Банк» путем предоставления копии паспорта гр. А. при заполнении заявления на получение потребительского кредита, что свидетельствует об его отсутствии и является нарушением требований ч. 1 ст. 11 ФЗ от ФЗ «О персональных данных».

8 В соответствии с перечнем документов, установленным приказом о проведении внеплановой документарной проверки ГБУК ККДБ им. братьев Игнатовых не было представлено письменное согласие гр. П. (законного представителя В., 2004 года рождения) на обработку биометрических персональных данных В., обработка которых осуществляется ГБУК ККДБ им. братьев Игнатовых путем ее фотографирования и последующего создания фото базы читателей для прохода в зал выдачи книг ГБУК ККДБ им. братьев Игнатовых, что свидетельствует о его отсутствии и является нарушением требований ч. 1 ст. 11 Федерального закона от ФЗ «О персональных данных».

9 Постановление Правительства РФ от Требования к защите персональных данных при их обработке в информационных системах персональных данных 1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

10 Что не учитывает Постановление 1119 Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает: 1) уровни защищенности персональных данных; 2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.

11 Определение типа угроз Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18 1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

12 Кто должен определить возможный вред Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним НПА... К таким мерам могут, в частности, относиться: 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим ФЗ. Оператор обязан представить документы и локальные акты … и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.

13 Чья зона ответственности? 3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

14 Типы ИСПДн в Постановлении 1119 ИСПДн, обрабатывающие специальные категории персональных данных (ИСПДн-С) ИСПДн, обрабатывающие биометрические персональные данные и не обрабатывающие сведения, относящиеся к специальным категориям персональных данных (ИСПДн-Б) ИСПДн, обрабатывающие общедоступные персональные данные – полученные только из общедоступных источников, созданных в соответствии со ст.8 ФЗ «О персональных данных» (ИСПДн-О) ИСПДн, обрабатывающие иные категории персональных данных, не указанные выше (ИСПДн-И) ИСПДн, обрабатывающие персональные данные только сотрудников оператора

15 Актуальные угрозы в Постановлении 1119 Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

16 Типы угроз персональным данным Тип угроз Характеристика 1 Связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в ИСПДн 2 Связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе 3 Не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе

17 А какие угрозы актуальны? Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 5. ФОИВ, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов РФ, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персданных, актуальные при обработке персональных данных в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

18 А какие угрозы актуальны? Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

19 Уровни защищенности персональных данных Тип ИСПДн Сотрудники оператора Количество субъектов Тип актуальных угроз 123 ИСПДн-С Нет> УЗ-1 УЗ-2 Нет< УЗ-1УЗ-2УЗ-3 Да ИСПДн-Б УЗ-1УЗ-2УЗ-3 ИСПДн-И Нет> УЗ-1УЗ-2УЗ-3 Нет< УЗ-2УЗ-3УЗ-4 Да ИСПДн-О Нет> УЗ-2 УЗ-4 Нет< УЗ-2УЗ-3УЗ-4 Да

20 Требования, реализуемые для уровней защищенности Требования Уровни защищенности 1234 Режим обеспечения безопасности помещений, где обрабатываются персональные данных ++++ Сохранность носителей персональных данных++++ Перечень лиц, допущенных к персональным данным ++++ СЗИ, прошедшие процедуру оценки соответствия ++++ Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн +++- Ограничение доступа к содержанию электронного журнала сообщений ++-- Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным +--- Структурное подразделение, ответственное за обеспечение безопасности персональных данных +---

21 Выбор средств защиты персональных данных Федеральный закон «О персональных данных» Обеспечение безопасности персональных данных достигается, в частности … применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации. Постановление Правительства РФ от Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

22 Выбор средств защиты персональных данных Постановление Правительства РФ от Настоящее Положение не распространяется на продукцию (работы, услуги), используемую в целях защиты информации конфиденциального характера, не являющейся государственным информационным ресурсом и (или) персональными данными, а также на связанные с ней процессы. Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Объектом обязательной сертификации является продукция. Объектом государственного контроля (надзора) являются продукция (работы, услуги) и процессы.

23 Позиция ФСТЭК России Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (проект ФСТЭК) 5. Для обеспечения безопасности персональных данных при их обработке в информационных системах применяются средства защиты информации, прошедшие в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

24 Компетенция ФСБ России и ФСТЭК России Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности [ФСБ России], и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации [ФСТЭК России], в пределах их полномочий.

25 Проект приказа ФСТЭК России

26 Что надо сделать? Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (проект ФСТЭК) 8. В систему защиты персданных в зависимости от актуальных угроз безопасности персональных данных и структурно- функциональных характеристик ИСПДн включаются следующие меры: обеспечение доверенной загрузки; идентификацию и аутентификацию субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защиту машинных носителей информации; регистрацию событий безопасности; обеспечение целостности информационной системы и информации; защиту среды виртуализации; защиту технических средств; защиту информационной системы, ее средств и систем связи и передачи данных.

27 Что надо сделать? Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (проект ФСТЭК) Выбор мер по обеспечению безопасности персданных, подлежащих реализации в системе защиты, включает: выбор базового набора мер для установленного уровня защищенности; адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам информационной системы, реализуемым информационным технологиям, особенностям функционирования ИСПДн, а также с учетом целей защиты персональных данных; дополнение адаптированного базового набора мер дополнительными мерами по обеспечению безопасности персональных данных, и определение их содержания для обеспечения блокирования (нейтрализации) актуальных угроз безопасности, а также дополнительными мерами, обеспечивающими выполнение требований по обеспечению безопасности, установленными иными нормативными правовыми актами в области защиты информации.

28 Количество базовых мер безопасности Уровень защищенности Количество базовых мер безопасности Общее количество мер по обеспечению безопасности персональных данных – 104 Примеры базовых мер защиты ИАФ.1 Идентификация и аутентификация пользователей, процессов, иных субъектов доступа УПД.1Управление учетными записями пользователей ОПС.3 Запрет установки (инсталляции) запрещенного к использованию программного обеспечения и (или) его компонентов, в том числе средств разработки и отладки

29 Контроль за выполнением требований к защите Постановление Правительства РФ от Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

30 Лицензируемая деятельность Постановление Правительства РФ от «О лицензировании деятельности по технической защите конфиденциальной информации» При осуществлении деятельности по ТЗКИ лицензированию подлежат следующие виды работ и услуг: а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в … средствах и системах информатизации; б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

31 Позиция ФСТЭК России Информационное сообщение ФСТЭК России от /22/2222 «По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации» Получение юридическим лицом лицензии ФСТЭК России на деятельность по ТЗКИ обязательно в случаях, если: эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по ТЗКИ; эта деятельность необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица; это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы.

32 Позиция прокуратуры 05 апреля 2012 года Прокуратурой г. Уфы выявлены нарушения законодательства о защите персональных данных Прокуратурой г. Уфы проведена проверка соблюдения законодательства о защите персональных данных в ООО «Исток-Сервис» и ООО «Инфорсер» при оказании справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа. Установлено, что указанные юридические лица, осуществляли обработку персональных данных … без соответствующей лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера, по защите персональных данных клиентов, что могло повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни. По данному факту, с целью устранения нарушений действующего законодательства прокуратурой г.Уфы в Октябрьский районный суд г.Уфы направлены исковые заявления о приостановлении и признании незаконной деятельности ООО «Исток-Сервис» и ООО «Инфорсер» по обработке и хранению персональных данных, которые находятся на рассмотрении.

Емельянников Михаил Юрьевич Управляющий партнер +7 (495) Спасибо! Вопросы?