М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ 03 июня 2008 г., Москва

Проанализировать все эксплуатируемые информационные системы и традиционные хранилища данных, выявить все, где присутствуют и обрабатываются персданные. Защита персональных данных ШАГ 1: ИНВЕНТАРИЗАЦИЯ РЕСУРСОВ

Оценить наличие предусмотренных законом оснований для обработки персональных данных, в случаях, когда они отсутствуют – получить согласие субъекта. Отдельный вопрос – передача персональных данных ШАГ 2: СОГЛАСИЕ СУБЪЕКТОВ НА ОБРАБОТКУ

Пересмотреть договора с работниками и клиентами в части обработки персональных данных и, особенно, их распространения (передачи) ШАГ 3: ПЕРЕСМОТР ДОГОВОРОВ С СУБЪЕКТАМИ

ШАГ 4: СФОРМИРОВАТЬ ПЕРЕЧЕНЬ ПЕРСДАННЫХ ФЗ «О персональных данных» Статья 9. Письменное согласие субъекта персданных на обработку своих персональных данных должно включать в себя …перечень персональных данных, на обработку которых дается согласие субъекта Статья 14. Субъект персданных имеет право на получение … информации, касающейся обработки его персданных, в том числе содержащей … перечень обрабатываемых персданных и источник их получения

Определить и зафиксировать документально предельные сроки хранения персональных данных после расторжения (прекращения) договора с работником, клиентом, абонентом (физическими лицами), исходя из сроков: требований законодательства: гражданского трудового пенсионного о безопасности и правоохранительной деятельности … исковой давности взаимных претензий банка и клиента ШАГ 5: УСТАНОВИТЬ СРОКИ ОБОРАБОТКИ ПЕРСДАННЫХ

ШАГ 6: ОГРАНИЧИТЬ ДОСТУП РАБОТНИКОВ БАНКА К ПЕРСДАННЫМ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя … учет лиц, допущенных к работе с персональными данными в информационной системе 14. Лица, доступ которых к персданным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персданным на основании списка, утвержденного оператором или уполномоченным лицом.

ШАГ 7: ДОКУМЕНТАЛЬНО РЕГЛАМЕНТИРОВАТЬ РАБОТУ С ПЕРСДАННЫМИ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

ШАГ 8: СФОРМИРОВАТЬ МОДЕЛЬ УГРОЗ ПЕРСДАННЫМ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИС включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз г. Заместителем директора ФСТЭК России утверждены: Базовая модель угроз безопасности ПД при их обработке в ИСПД Методика определения актуальных угроз безопасности ПД при их обработке в ИСПД

ШАГ 9: КЛАССИФИЦИРОВАТЬ ИСПДн Приказ ФСТЭК/ФСБ/Мининформсвязи от /86/20 «Об утверждении порядка проведения классификации ИСПДн» Классификация ИСПДн проводится госорганами, …, юридическими и физическими лицами, организующими и осуществляющими обработку ПДн, а также определяющими цели и содержание такой обработки Определяются следующие категории обрабатываемых в информационной системе персональных данных (Х ПД ): - категория 2 – ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию; Коэффициент ХПДН может принимать следующие значения: - 1 – в ИСПДн одновременно обрабатываются ПДн более чем субъектов ПДн…; - 2 – в ИСПДн одновременно обрабатываются ПДн от до субъектов ПДн;

ШАГ 10: СОСТАВИТЬ И НАПРАВИТЬ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЕ

ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персданных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персданных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персданных, а также от иных неправомерных действий. ШАГ 11: ПРИВЕСТИ СИСТЕМУ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ

ШАГ 12: ПОЛУЧИТЬ ЛИЦЕНЗИЮ НА ТЕХНИЧЕСКУЮ ЗАЩИТУ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПД Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальная информация) при их обработке в ИСПДн 1 и 2 классов и распределенных ИС 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации

ШАГ 13: СОЗДАТЬ ПОДСИСТЕМУ ИБ ИСПДн И АТТЕСТОВАТЬ (СЕРТИФИЦИРОВАТЬ) ЕЕ Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПД Оценка соответствия ИСПДн по требованиям безопасности ПДн производится: Для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации

ШАГ 14: ОРГАНИЗОВАТЬ ЭКСПЛУАТАЦИЮ ИСПДн И КОНТРОЛЬ ЗА БЕЗОПАНОСТЬЮ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: з) контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн…

(495) ВОПРОСЫ? М.Ю.Емельянников ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ 03 июня 2008 г., Москва