ОРГАНИЗАЦИЯ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ – МЕТОДОЛОГИЯ УСПЕХА Докладчик: Статьев В.Ю. – советник Председателя Совета МОО «АЗИ» Межрегиональная общественная организация «Ассоциация защиты информации»

Драйверы рынка информационной безопасности Источник : Ernst&Young

Сдерживающие факторы индустрии ИБ

152-ФЗ «О персональных данных» имеет цель – обеспечить конфиденциальность частной жизни, сохранность личной, семейной и других видов тайн, обязывает руководителей организаций и учреждений независимо от формы собственности четко организовать работу по реализации требований этого закона. Персональные данные – гуманитарная проблема

За последние 30 лет более чем в 20 европейских государствах были приняты нормативные акты по защите персональных данных, в которых были закреплены механизмы правового регулирования оборота персональных данных. За последние 30 лет более чем в 20 европейских государствах были приняты нормативные акты по защите персональных данных, в которых были закреплены механизмы правового регулирования оборота персональных данных. Персональные данные – гуманитарная проблема

Принципы обработки ПД Законность целей и способов обработки ПДн, добросовестность оператора; Соответствие целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям оператора; Соответствие объема и характера обрабатываемых ПДн, способов обработки ПДн целям их обработки; Достоверность ПДн, их достаточность для целей обработки, недопустимость обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн; Недопустимость объединения созданных для несовместимых между собой целей ИСПДн. Персональные данные – гуманитарная проблема

ФЗ от 27 июля 2006 года 152-ФЗ «О персональных данных» Постановление Правительства РФ от 17 ноября 2007 года 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Документы ФСТЭК: «Базовая модель………. …» «Методика ………….……….» «Основные мероприятия …» «Рекомендации …………….» Документы ФСБ: «Типовые требования……….. …» «Методические рекомендации...» Совместный приказ от 13 февраля 2008 г. 55/86/20 ФСТЭК, ФСБ, Мининформсвязь, утверждающий «Порядок проведения классификации информационных систем персональных данных» Законодательство РФ Нормативная база

Порядок классификации

Порядок классификации систем обработки персональных данных с использованием средств автоматизации

Характеристики ИСПДн Характеристики системы персональных данных Категория обрабатываемых в информационной системе персональных данных; Объем обрабатываемых персональных данных; Заданные оператором характеристики безопасности персональных данных; Структура информационной системы; Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена; Режим обработки персональных данных; Режим разграничения прав доступа пользователей информационной системы; Местонахождение технических средств информационной системы.

Характеристики ИСПДн Категории персональных данных Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; Категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; Категория 4 - обезличенные и (или) общедоступные персональные данные

Характеристики ИСПДн Объем персональных данных В информационной системе одновременно обрабатываются персональные данные более чем субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; В информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Характеристики безопасности ОСНОВНЫЕ: Конфиденциальность (обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания» Целостность (способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения)) Доступность (обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости)ДОПОЛНИТЕЛЬНЫЕ: Неотказуемость (способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут ) Учетность (обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту ) Аутентичность (идентичность объекта тому, что заявлено ) Адекватность (свойство соответствия преднамеренному поведению и результатам ) Характеристики ИСПДн

Типовая ИСПДн класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Типовая ИСПДн Таблица классификации 123 Категория 4К4К4К4 Категория 3К3К3К2 Категория 2К3К2К1 Категория 1К1К1К1

Специальная ИСПДн Конфиденциальность + ……………. Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья объектов персональных данных; Информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

123 Категория 4К4-1.3К4-1.3К4-1.3 Категория 3К3К3К2 Категория 2К3К2К1 Категория 1К1К1К1 123 Категория 4К4-2К4-2К4-2 Категория 3К3-2К3-2К2-2 Категория 2К3-2К2-2К1-2 Категория 1К1-2К1-2К1-2 Специальная ИСПДн Классификация 123 Категория 4К4-1К4-1К4-1 Категория 3К3-1К3-1К2-1 Категория 2К3-1К2-1К1-1 Категория 1К1-1К1-1К Целостность 2. Доступность…………………..

Типовые отраслевые методические рекомендации Решение НТС Министерства связи и массовых коммуникаций РФ от 26 августа 2009 года «…………………. 5. Считать целесообразным подготовку типовых отраслевых методических рекомендаций по защите информационных систем персональных данных. ……………….…»

Необходимость типовых методических рекомендаций выполнить требования Необходимо выполнить требования Федерального законодательства и регуляторов (ФСБ, ФСТЭК, РКСН) в области защиты персональных данных; наличие единой нормативной базы Необходимо наличие единой для компаний отрасли и согласованной с регуляторами отраслевой нормативной базы в области защиты персональных данных; наличие единых регламентов взаимодействия Необходимо наличие единых для компаний отрасли и согласованных регламентов взаимодействия с внешними организациями в процессе циркуляции персональных данных.

Отраслевые методические материалы Состав персональных данных; Предметные риски; Классы специальных информационных систем персональных данных. Отраслевая легитимность; Снижение ресурсных затрат; Унификация технических решений.

Рекомендации по формату и содержанию типовой отраслевой модели угроз Общие положения Характеристика объекта информатизации Состав, категории и объем ПДн, обрабатываемых с использованием средств автоматизации Характеристики безопасности ПДн, обрабатываемых в ИСПДн организации Классификация ИСПДн 6. Угрозы безопасности ПДн для субъекта персональных данных 7. Угрозы безопасности ПДн, при их обработке в ИСПДн 8. Модель нарушителя безопасности ПДн 9. Требуемый уровень криптографической защиты 10. Заключение

Методология организации работы с персональными данными I.Выявление наличия/отсутствия признаков организации работы с персональными данными; II.Формирование перечня информации, относимой к персональным данным; III.Формирование перечня информационных систем персональных данных; IV.Разработка или совершенствование существующей нормативной правовой базы, регламентирующей обработку персональных данных Организационно-правовое направление V.Выявление уязвимых звеньев и возможных угроз безопасности персональным данным в информационной системе персональных данных VI.Разработка концептуальных документов обеспечения безопасности персональных данных предприятия и в его информационных системах персональных данных VII.Разработка новой или совершенствование существующей нормативной правовой базы, регламентирующей обеспечение безопасности в информационной системе персональных данных предприятия VIII.Организация работы с персональными данными в рамках разработки (модернизации) информационной системы персональных данных предприятия в соответствии с утвержденными концептуальными документами обеспечения безопасности персональных данных Организационно-правовое направление Техническое направление

Комплексная методика по решению вопросов защиты персональных данных Создание модели защиты ИСПДн Обеспечение защиты ИСПДн Подготовка объекта информатизации Проведение специальных работ Обеспечение эксплуатации ИСПДн Соответствие требованиям по защите ИСПДн Разработка документального описания модели защиты ИСПДн Определение объекта защиты (архитектура, процессы, ПДн) Модель нарушителя Модель угроз Политика информационной безопасности Требования по реализации защиты ПДн Реализация функций защиты ПДн Идентификация и аутентификация Разграничение доступа к функциям и данным Регистрация событий безопасности Контроль целостности Криптографическая защита Антивирусная защита Управление защитой Тематические исследования СЗИ: - функции защиты от НСД; - анализ наличия НДВ. Проведение спецпроверок и специсследований Проведение сертификационных (аттестационных) испытаний ИСПДн Исследования и проверки в интересах ИСПДн Инженерно- техническая защита Защита технических каналов: - ПЭМИН; - акустический и вибро- акустический; - визуально-оптический. Реализация функций защиты на объектах ИСПДн Положение о режиме защиты ПДн Должностные инструкции Конструкторская и эксплуатационная документация Аттестат соответствия Обучение специалистов Аудит и актуализация нормативной базы Организация эксплуатации ИСПДн

Возможные подходы к снижению уровня угроз персональным данным Снижение категории и объема персональных данных, обрабатываемых в информационных системах персональных данных; Обезличивание персональных данных; Сегментирование ИСПДн; Объединение различных подсистем ИСПДн; Типизация ИСПДн; Разделение баз данных; Минимизация мест хранения ПДн в ИТ- инфраструктуре предприятия; Сокращение числа АРМ, необходимых для обработки персональных данных; Перевод обработки персональных данных в ИСПДн с автоматизированной на неавтоматизированную.

Обучение специалистов по организации работы с персональными данными Решение НТС Министерства связи и массовых коммуникаций РФ от 26 августа 2009 года «…………………. 8. Одобрить Программу учебного курса «Организация работы с персональными данными», разработанную МТУСИ совместно с представителями ЗАО «РНТ» и ООО «ИнфоТехноПроект» и предложения МТУСИ об организации повышения квалификации специалистов, осуществляющих обработку персональных данных. 9. Поручить МТУСИ подготовить предложения по внедрению Программы учебного курса «Организация работы с персональными данными» в других вузах и учебных центрах России. ……………….…» По окончании обучения слушателям выдается свидетельство о повышении квалификации государственного образца

Программа учебного курса «Организация работы с персональными данными»

Методология успеха Осознание гуманитарности проблемы – защищается не информация организации, а конституционные права граждан; Документальное оформление перечня и процесса обработки ПДн; Следование основным принципам обработки ПДн; Организация работы с ПДн в рамках отраслевой методики; Снижение уровня угроз персональным данным; Равнопрочная реализация функциональности и безопасности; Документальное оформление режима защиты ПДн; Обучение специалистов методам организации работы с ПДн.

ФУНКЦИОНАЛЬНОСТЬ И БЕЗОПАСНОСТЬ ИНФОРМАЦИИ – РАВНОПРОЧНАЯ РЕАЛИЗАЦИЯ Тел.: +7(495)