Группа компаний Информзащита 2009 год Группа компаний Информзащита НИП «Информзащита» Учебный центр «Информзащита» Национальный аттестационный центр SafeLine TrustVerse Код безопасности 2009 год

Основные направления деятельности Проектирование защищенных информационных систем Консалтинг в области информационной безопасности Поставка, внедрение и поддержка защищенных решений Аттестация объектов информатизации Разработка систем защиты информации Профессиональная подготовка сотрудников служб информационной безопасности

Наши партнеры - вендоры PREMIUM PARTNER TrustedWorld Partner A u t h o r i z e d R e s e l l e r P r e m i e r P a r t n e r PartnerWorld Developer

Последние исследования показали чрезвычайную важность и растущую актуальность защиты персональных данных. Сегодня российские компании обрабатывают огромное количество информации такого рода. В большинстве случаев доступ к ней не контролируется, что приводит к высоким рискам утечки. Задумываться о защите персональных данных необходимо было вчера, внедрять защиту сегодня, а завтра спокойно наблюдать за схваткой государства и менее дальновидных компаний. Состояние на сегодня

Группа компаний «ИНФОРМЗАЩИТА» Персональные данные: зачем, что, и как защищать

Статья 25. Заключительные положения 2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом. 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. 1 января 2010 года

Конвенции и иные международные договора Директивы Евросоюза / Европарламента Рекомендации ОЭСР Законы ФЗ 152 от ФЗ 160 от Постановления Правительства 781 от от от Распоряжение Правительства 1055-р от Приказы и иные документы «Приказ трех» от «закрытых» документа ФСТЭК 2 открытых документа ФСБ Проект регламента осуществления контроля и надзора Планируются изменения в законодательстве, связанные с ФЗ-152 Иерархия документов по ПД

Типовая программа повышения квалификации специалистов по информационной безопасности «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»2008 год Рекомендации Ассоциации российских банков по реализации Федерального закона от года 152-ФЗ «О персональных данных» для кредитных организаций Вступление в силу с 1 января 2010 года недавно принятого федерального закона 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», помимо определения механизма для реализации конституционного права граждан на получение информации о работе органов власти, имеет еще одно, достаточно интересное побочное следствие. Другие нормативные акты

Статья Тип НПА Максимальное наказание КоАП руб КоАП руб КоАП руб.+ конфискация + приостановление деятельности на срок до 90 суток КоАП руб.+ конфискация 5.27 КоАП руб.+ приостановление деятельности на срок до 90 суток + дисквалификация должностного лица до 3-х лет 5.39 КоАП руб КоАП руб КоАП 500 руб КоАП руб. + дисквалификация должностного лица до 3-х лет 19.7 КоАП руб КоАП руб. + приостановление деятельности на срок до 90 суток 137 УК руб. + исправительные работы на срок до 240 часов + арест до 6-ти месяцев 171 УК руб. + обязательные работы на срок до 1-го года + арест до 6-ти месяцев + лишение права занимать должность на срок до 5-ти лет 90 ТК увольнение 81 ТК увольнение О наказании за нарушение

13.11КоАП Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) руб КоАП Нарушение правил защиты информации, а также Использование несертифицированных средств защиты информации, если они подлежат обязательной сертификации, а также Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации руб. + конфискация несертифицированных средств + приостановление деятельности на срок до 90 суток Чего бояться?

19.4 КоАП Невыполнение законных требований должностного лица органа, уполномоченного в области экспортного контроля, а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей руб КоАП Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства, а также Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля руб. + дисквалификаци я должностного лица до 3-х лет Чего бояться?

Средства защиты информации от несанкционированного доступа (РД СВТ и РД НДВ) Средства межсетевого экранирования (РД МЭ) Средства антивирусной защиты (РД НДВ, ТУ) Средства криптографической защиты информации (по требованиям ФСБ) Системы обнаружения и предотвращения вторжений (РД НДВ, ТУ) Средства от утечки информации по техническим каналам (ФСТЭК) Состав СЗИ в ИСПДн

Антивирусная защита Защита от НСД Анализ защищенност и и выявление уязвимостей Подсистема обнаружения вторжения Подсистема маршрутизац ии, коммутации и межсетевого экранировани я Подсистема криптограф. защиты информации ИСПДн 1 (распред.) ИСПДн 1 (локальн.) ИСПДн 2 (распред.) ИСПДн 2 (локальн.) ИСПДн 3 (распред.) ИСПДн 3 (локальн.) Средства защиты по классам

Необходимость применения сертифицированных СЗИ для защиты персональных данных определена Постановлением Правительства 781 (пункт 5) и «Основными мероприятиями…» (пункт 3.3). Регулярно обновляемые реестры всех этих средств доступны на официальных сайтах ФСТЭК и ФСБ. Государственный реестр сертифицированных средств защиты информации РОСС RU БИ00: Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну: Какие средства защиты использовать

Если удастся снизить класс системы ПДн, то требования будут значительно скромнее. При этом начать надо с возможного сужения сегмента сети организации, в которой ведется обработка ПДн. Снизили класс системы ПДн, ограничили область обращения ПДн, выбрали оптимальный состав сертифицированных средств для защиты только данной области – и затраты станут значительно ниже. Как экономить?

Максимально упрощенная классификация всех систем под 3-й класс Решение по принципу выделенной сети: –Континент –Secret Net / Security Studio –ПМЭ –Антивирус –Без выхода в интернет Решение «Минимум»

ЭтапСодержание работ 1Инвентаризация информационных систем, обрабатывающих персональные данные 2Оценка законности обработки персональных данных и наличия согласий субъектов на такую обработку 3Корректировка договоров с субъектами, заключение при необходимости дополнительных соглашений 4Формирование перечней персональных данных 5Определение предельных сроков и условий прекращения обработки персональных данных 6Ограничение доступа работников предприятия и пользователей информационной системы к персональным данным 7Документальное регламентирование работы с персональными данными 8Формирование модели угроз персональным данным 9Классификация информационных систем персональных данных 10Уведомление уполномоченного органа по защите прав субъектов об обработке персональных данных 11Приведение системы защиты персональных данных в соответствие с требованиями регуляторов 12Лицензирование деятельности по технической защите конфиденциальной информации 13Аттестация (сертификация) информационной системы персональных данных 14Эксплуатация информационной системы персональных данных, мониторинг, выявление и реагирования не инциденты информационной безопасности Типовой план

Проанализировать все эксплуатируемые информационные системы и традиционные хранилища данных, выявить все, где присутствуют и обрабатываются персданные. ШАГ 1: ИНВЕНТАРИЗАЦИЯ РЕСУРСОВ

Оценить наличие предусмотренных законом оснований для обработки персональных данных, в случаях, когда они отсутствуют – получить согласие субъекта. Отдельный вопрос – передача персональных данных ШАГ 2: СОГЛАСИЕ СУБЪЕКТОВ НА ОБРАБОТКУ

Пересмотреть договора с работниками и клиентами в части обработки персональных данных и, особенно, их распространения (передачи) ШАГ 3: ПЕРЕСМОТР ДОГОВОРОВ С СУБЪЕКТАМИ

ШАГ 4: СФОРМИРОВАТЬ ПЕРЕЧЕНЬ ПЕРСДАННЫХ И УСТАНОВИТЬ СРОКИ ИХ ОБРАБОТКИ ФЗ «О персональных данных» Статья 9. Письменное согласие субъекта персданных на обработку своих персональных данных должно включать в себя …перечень персональных данных, на обработку которых дается согласие субъекта Статья 14. Субъект персданных имеет право на получение … информации, касающейся обработки его персданных, в том числе содержащей … перечень обрабатываемых персданных и источник их получения

ШАГ 5: ОГРАНИЧИТЬ ДОСТУП СВОИХ СОТРУДНИКОВ К ПЕРСДАННЫМ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя … учет лиц, допущенных к работе с персональными данными в информационной системе 14. Лица, доступ которых к персданным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персданным на основании списка, утвержденного оператором или уполномоченным лицом.

ШАГ 6: СФОРМИРОВАТЬ МОДЕЛЬ УГРОЗ ПЕРСДАННЫМ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИС включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз г. Заместителем директора ФСТЭК России утверждены: Базовая модель угроз безопасности ПД при их обработке в ИСПД Методика определения актуальных угроз безопасности ПД при их обработке в ИСПД

ШАГ 7: КЛАССИФИЦИРОВАТЬ ИСПДн Приказ ФСТЭК/ФСБ/Мининформсвязи от /86/20 «Об утверждении порядка проведения классификации ИСПДн» Классификация ИСПДн проводится госорганами, …, юридическими и физическими лицами, организующими и осуществляющими обработку ПДн, а также определяющими цели и содержание такой обработки Х ПДН Х ПД 321 категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1

ШАГ 8: СОСТАВИТЬ И НАПРАВИТЬ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЕ

ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персданных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персданных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персданных, а также от иных неправомерных действий. ШАГ 9: ПРИВЕСТИ СИСТЕМУ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ

ШАГ 10: ПОЛУЧИТЬ ЛИЦЕНЗИЮ НА ТЕХНИЧЕСКУЮ ЗАЩИТУ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПД Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальная информация) при их обработке в ИСПДн 1 и 2 классов и распределенных ИС 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации

ШАГ 11: СОЗДАТЬ ПОДСИСТЕМУ ИБ ИСПДн И АТТЕСТОВАТЬ (СЕРТИФИЦИРОВАТЬ) ЕЕ Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПД Оценка соответствия ИСПДн по требованиям безопасности ПДн производится: Для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации

ШАГ 12: ОРГАНИЗОВАТЬ ЭКСПЛУАТАЦИЮ ИСПДн И КОНТРОЛЬ ЗА БЕЗОПАСНОСТЬЮ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: з) контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн…

Приглашать консультанта или делать самим? Достаточно ли у сотрудников организации квалификации, чтоб выполнить требования закона 152-ФЗ? Есть ли у них понимание того, сколько времени займет и каких ресурсов потребует решение задачи по обеспечению соответствия закону 152-ФЗ? Кто из руководителей департаментов готов взять на себя ответственность за эффективный ход проекта по построению системы защиты ПДн? Какие действия должны быть предприняты для подачи уведомления от оператора ПДн? Как выполнить требования по защите ПДн, определенные в руководящих документах регулирующих органов, и не нарушить бизнес-процессы организации? Как минимизировать затраты на решение задач по обеспечению соответствия закону?

Вывод Как показывает практика, государство не изменило своих намерений добиться реализации положений закона "О персональных данных" – это наглядно демонстрируют массовые проверки, которые уже начали проводить территориальные подразделения Роскомнадзора. В этой ситуации можно обратиться к специализированным ИБ-компаниям, предлагающим услуги по построению информационных систем ПДн. Но следует помнить, что и их ресурс ограничен. Предпринимать конкретные шаги в соответствии с требованиями 152-ФЗ необходимо как можно скорее, не дожидаясь, когда в дверь постучит проверка".

Спасибо за внимание. Вопросы? Ревизцев Николай региональный представитель (343)