Персональные данные: обзор нормативных документов. Теория и практика защиты персональных данных Грачёв Андрей, InterSystems Пятаков Максим, ЗАО «АСТ»

Обсуждаемые вопросы Формальная сторона вопроса Формальная сторона вопроса Типичная ситуация на практике Типичная ситуация на практике Что делать? Что делать?

Партнер InterSystems Разработка ПО с использованием технологий InterSystems Сертификация продуктов InterSystems - Cache (2007 г.) и Ensemble (в настоящее время) во ФСТЭК России Системный интегратор и разработчик решений в области информационной безопасности: Аудит информационной безопасности Проектирование защищенных информационных систем Аттестация информационных систем Аутсорсинг мероприятий по обеспечению информационной безопасности Лицензиат ФСТЭК и ФСБ Опыт выполнения проектов в области защиты персональных данных АСТ

Законодательство в области ПД ФЗ 152 О персональных данных от Постановление Правительства 781 от Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Постановление Правительства 687 от Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации «Приказ трёх» ФСТЭК, ФСБ, Минсвязи от Порядок проведения классификации информационных систем персональных данных 4 документа ФСТЭК (ДСП) 2 открытых документа ФСБ

Что есть «Персональные данные»? персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация ФИО; ФИО + некоторый id – персональные данные 4 категории… ФИО + и номер, дата выдачи паспорта или номер ИНН - ПД 3 категории… Карточка Т-2 – ПД 2 категории ФИО + сведения о здоровье (причина заболевания, временные факторы) – ПД 1 категории Федеральный закон «О персональных данных» N 152-ФЗ

Что есть «Оператор ПД»? оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных Не попадают в сферу действия 152-ФЗ: обработка персональных данных физическими лицами исключительно для личных и семейных нужд физ.лица со своими адресными книгами обработка ПД, относящихся к гостайне архивный учет Федеральный закон «О персональных данных» N 152-ФЗ

Что есть «Обработка ПД»? обработка ПД - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных Обработка ПД - любое действие с ПД! Федеральный закон «О персональных данных» N 152-ФЗ

Что есть «Информационные системы персональных данных (ИСПДн)»? информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств – –Кадровые ИС – –Медицинские учреждения с МИС, в которой хранятся ПД – –Операторы связи – –ЖЭКи, ДЭЗы и т.п. – –ПФР – –гостиничные системы – –АБС – –CRM Федеральный закон «О персональных данных» N 152-ФЗ

Существующие проблемы Отсутствует единое понимание требований законодательства, регуляторы не дают однозначных комментариев, документы с техническими требованиями – закрытые (ДСП) Сжатые сроки (1 января 2010 г. – вступление требований в силу) Отсутствие универсального решения для ИС, отвечающего всем требованиям регуляторов Высокая затратность работ по тех. защите (обсудим далее) Традиционное построение ИС без учета требований по защите ПД

Как сейчас выглядят ИС ИСПДн не выделены, персональные данные обрабатываются вместе с информацией другого характера (иногда вынужденно, например, требование ЦБ по разовым платежам) нет ТЗ/ТТ в части ПД не используются сертифицированные программные средства нет орг.мер (относится к организации)

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать криптографические средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий – в зависимости от класса ИСПДн. Когда не требуется обеспечение конфиденциальности? – –в случае обезличивания персональных данных – –в отношении общедоступных персональных данных Создание общедоступных справочников, адресных книг - выход для кадровых ИС организации Требования 152-ФЗ Федеральный закон «О персональных данных» N 152-ФЗ

Требования в Постановлениях Правительства Безопасность ПД при их обработке в информационных системах обеспечивается с помощью системы защиты ПД, включающей организационные меры и средства защиты информации (..., средства предотвращения НСД, утечки информации по техническим каналам,... ), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Методы и способы защиты информации устанавливаются ФСТЭК и ФСБ в пределах их полномочий. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признан а осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Требования намного мягче ! – возможность самостоятельно принимать решение о выбираемых мерах защиты 781 – Полностью автоматизированная обработка ПД: 687 – Обработка ПД без использования средств автоматизации:

Количество ПД в системе Категория данных < 1000 субъектов 1000 – субъектов > субъектов категория 4 обезличенные и (или) общедоступные ПД К4 категория 3 ПД, позволяющие идентифицировать субъекта К3 К2 категория 2 категория 3 + дополнительные данные К3К2К1 категория 1 сведения о здоровье, политических, религ. взглядах К1 Наиболее сложные случаи: Медицинские системы (К1) Телекоммуникационные компании Другие ИС с количеством хранимых данных более Приказ трёх - Классификация ИСПДн

Соответствие К2 = 1Г, К1 = 1В по старым РД Требование использования сертифицированных ФСТЭК средств защиты Рассматриваются угрозы утечки по каналу ПЭМИН ИСПДН классов 1,2 и распределенного 3го Требование наличия лицензии на техническую защиту конфиденциальной информации Требование аттестации ИСПДн Документы ФСТЭК и ФСБ – Технические требования

Как должна выглядеть ИС ИСПДн отделена от корпоративной сети межсетевым экраном В ИСПДн используются сертифицированные средства: Разграничения доступа (на уровне ОС, СУБД, прикладных систем) Аудита доступа к ПД (на уровне ОС, СУБД, прикладных систем) Антивирусной защиты Разработан пакет документов по защите ПД – паспорт ИСПДн, модель угроз, инструкции… Орг.меры

Статус продуктов InterSystems Cache' 5.2 (по факту build 329) – –Реестр ФСТЭК: "Система управления базами данных Cache 5.2 – по 4 уровню НДВ (может использоваться для защиты информации в ИСПДн до 2 класса включительно) " Ensemble (идет сертификация, срок - 1й кв. 2010) Сертификацией занимается ЗАО "АСТ" (есть все лицензии на это дело)

Встроенные средства защиты Ensemble и Cache могут использоваться для защиты ПД Сертифицированная версия Cache (Ensemble) перекрывает требования: По обеспечению целостности Управлению доступом Регистрации и учету АСТ – поставщик сертифицированных версий продуктов InterSystems Как InterSystems может помочь своим партнерам и клиентам?

Для крупных операторов ПД (ИСПДн классов 1 и 2) Для организаций, обрабатывающих только данные о своих сотрудников (кадры + бухгалтерия) Действия и возможности в рамках законодательства о защите ПД… Для разработчиков прикладных систем

Нужно: получить письменное согласие на обработку ПД… Оператор обязан предоставить ДОКАЗАТЕЛЬСТВО получения согласия субъекта персональных данных на обработку его персональных данных Когда можно не получать согласие? – –обработка персональных данных осуществляется на основании федерального закона – –обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных Например: Прием на работу … Персональные данные в ПФР: ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» Сведения об уплате налогов на доходы физических лиц - работников компании (форма 2-НДФЛ) - в соответствии со ст. 230 НК РФ Сведения, подаваемые для оформления полиса ОМС - постановление Правительства РФ от передача в страховую компанию, обработка на время действия договора ОМС Для крупных операторов ПД (ИСПДн классов 1 и 2)…

Нужно: отправить уведомление в Роскомнадзор о намерении осуществлять обработку ПД… Кто не обязан регистрироваться как оператор – –относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; – –полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам; – –являющихся общедоступными персональными данными ; – –включающих в себя только ФИО субъектов персональных данных; – –необходимых в целях однократного пропуска на территорию или в иных аналогичных целях; т.е. – –Любая компания, где просто есть ПД на сотрудников – –Организаторы семинаров и выставок (при условии однократного использования ПД) Для крупных операторов ПД (ИСПДн классов 1 и 2)…

Нужно: провести мероприятия по обеспечению безопасности персональных данных : – –определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз – –разработку на основе модели угроз системы защиты персональных данных – –установку и ввод в эксплуатацию средств защиты информации – –обучение лиц, использующих средства защиты информации правилам работы с ними; – –учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных – –учет лиц, допущенных к работе с персональными данными в информационной системе – –контроль за соблюдением требований и условий – –описание системы защиты персональных данных Для крупных операторов ПД (ИСПДн классов 1 и 2)…

Типовой состав проекта по защите персональных данных: Обследование ИС – анализ особенностей обработки ПД, выделение ИС, обрабатывающих ПД, выявление информационных потоков, определение необходимости обработки ПД и их перечня Формирование модели угроз и согласование модели с ФСТЭК, классификация ИСПДн Регламентация работы с ПДн – разработка необходимой внутренней документации оператора Проектирование и внедрение системы защиты для ИС, обрабатывающих ПД Аттестация ИС по требованиям безопасности информации (ФСТЭК России) Организация эксплуатации ИС, обрабатывающей ПД, и контроля за безопасностью

Возможности снижения затрат на этапах проекта Анализ особенностей обработки ПД Формирование модели угроз Регламентация работы с ПДн Понизить категорию ПД - убрать ПД, оставив id Сделать ПД общедоступными Разделить ИС на несколько более низких классов В некоторых случаях, отказаться от полностью автоматизированной обработки ПД или перейти на бумажные носители Выделить ИСПДн в отдельный сегмент сети Обосновать неактуальность части угроз (ПЭМИН, другие технические каналы утечки) Выполнить часть требований мерами организационного характера Возможности:

Проектирование и внедрение системы защиты ПД Аттестация по требованиям ФСТЭК Организация эксплуатации ИСПДн Максимально использовать уже имеющиеся в ИС сертифицированные средства защиты Использовать встроенные средства защиты ОС и СУБД Согласовать выбранное решение со ФСТЭК на этапе техпроектирования для исключения неожиданностей Передать работы по ЗИ на аутсорсинг лицензиату ФСТЭК для исключения необходимости получения лицензии на техническую защиту конфиденциальной информации Возможности: Возможности снижения затрат на этапах проекта

Что делать операторам, не обрабатывающим большие объемы ПД? Выявить наличие ИСПДн, определить основания для их обработки и передачи 3-м лицам (налоговой). Классифицировать ИСПДн, попадающие под п.781 (кадры – по 3 классу) Определить и оформить состав данных для ИСПДн Определить пользователей и оформить их приказом Если Вы просто юр.лицо, с бухгалтерией и кадрами, то надо:

Сертифицированная версия Cache (Ensemble) + сертифицированное прикладное ПО При сертификации встроенных в ПО механизмов защиты По идентификации/аутентификации пользователей Регистрации их действий в системе Разграничения прав доступа и пр. с клиентов снимается необходимость в приобретении и установке дополнительных средств защиты, что значительно удешевляет стоимость проекта по защите ПД! При принятии решения о сертификации нужно: Определить критерии сертификации Составить техническую документацию на ПО – описание механизмов защиты, инструкции пользователю и администратору… Что делать разработчикам?

Вопросы? Пятаков Максим Руководитель Управления систем информационной безопасности ЗАО «АСТ» Телефон: (495) URL: Грачёв Андрей Руководитель отдела консалтинга, InterSystems/Россия Телефон: (495) URL: