Основные подходы решения вопроса защиты персональных данных на предприятии. Руководитель проектов ЗАО «Калуга Астрал» Кухтинов Алексей Анатольевич

Зачем нужно тратить силы и средства на защиту ПДн в организации?

А зачем на самом деле все это нужно? 1) Являюсь ли я оператором персональных данных? Если в Вашей организации более одного сотрудника – то Вы являетесь оператором персональных данных, и Вам необходимо соблюдать требования законодательства РФ в области защиты персональных данных. 2) Да, я оператор персональных данных. Что делать дальше? Необходимо обеспечить защиту персональных данных до 1 июля 2011г., в соответствии с требованиями государственных органов, регулирующих обработку персональных данных. К данным органам относятся: Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; ФСТЭК России – Федеральная служба по техническому и экспортному контролю; ФСБ России – Федеральная Служба Безопасности. Цель Федерального закона «О персональных данных» (ст.2) Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Далее возникают следующие вопросы:

4) Как тогда поступить? Оператор может выбрать один из следующих путей: а) Не делать ничего. В этом случае оператор продолжает обработку персональных данных на свой страх и риск, надеясь на « авось ». б) Отказаться от обработки персональных данных или уйти от автоматизированной обработки персональных данных. Если в Вашей компании более одного сотрудника, то Вам не удастся полностью отказаться от обработки персональных данных. Если перейти к обработке персональных данных без использования средств автоматизации, то Вам придется обрабатывать все персональные данные вручную, но и в этом случае необходимо соблюдать требования Постановления Правительства РФ от N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" в) Выполнить требования. В данном случае Вы успешно пройдете проверки, защитите персональные данные, снизите риски поступления жалоб от граждан и сможете избежать санкций со стороны контролирующих органов. 3) Что будет, если не выполнять данные требования? В данном случае оператор персональных данных может понести гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

5) Как мне защитить персональные данные: самостоятельно или привлечь стороннюю организацию? При самостоятельном подходе Вы сможете уйти от затрат по договору с лицензиатом ФСТЭК, НО: -Появятся дополнительные затраты на обучение собственных сотрудников; -В данном случае есть риск ошибок в выполнении проекта, которые могут привести : - к значительным финансовым потерям для компании при проверке регуляторов; - к неправильной классификации, а как следствие, к увеличению стоимости СЗИ; - к неправильной оценке процессов и ресурсов, обрабатывающих персональные данные и пр….

Если доверимся профессионалам? -СОСТАВЛЕНИЕ ПРЕДВАРИТЕЛЬНОГО КОММЕРЧЕСКОГО ПРЕДЛОЖЕНИЯ На основании первичного опросного листа. БЕСПЛАТНО. Это необходимо для предварительной классификации системы (определения уровней защищенности) и определения ориентировочной стоимости ее защиты. Пример рекламы Яндекса: «ЗАЩИТА ИС ПДн от ….тыс.руб.»- вывод, люди сами НЕ знают как это делать Есть компании, которые это делают за деньги, получив лицензию «ВЧЕРА». Пытаются заработать деньги на популярности вопроса, а не на долгосрочном сотрудничестве с ЗАКАЗЧИКОМ и выполнении требований -ПРАВИЛЬНОЕ ПРОВЕДЕНИЕ ПРЕДПРОЕКТНОГО ОБСЛЕДОВАНИЯ Проведение комплексного аудита ИБ и нормативно-регламентирующей документации. Разработка организационно-технических мероприятий Определения оптимального решения для Заказчика. Согласование разработанной документации во ФСТЭК России и ФСБ России

На основании чего формируется стоимость приведения системы в соответствие? 1. Предварительная классификация, определение уровня защищенности ИСПДн ( Постановление Правительства РФ от N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных») 2. Определение предварительного набора требований ( ПРИКАЗ ФСТЭК РОССИИ ОТ 11 ФЕВРАЛЯ 2013 Г. N 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ» И ПРИКАЗ ФСТЭК РОССИИ ОТ 18 ФЕВРАЛЯ 2013 Г. N 21 «ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ») 3. Определение стоимости обследования ИСПДн 4. Подбор средств защиты информации (СЗИ) удовлетворяющих требования нормативно- методических документов и специфики системы 5. Определение стоимости установки, настройки и ввода в эксплуатацию СЗИ 6. Определение стоимости аттестации ИСПДн

На основании чего формируется стоимость приведения системы в соответствие? 3. Определение стоимости обследования ИСПДн (исходя из количества ПЭВМ в ИС ПДн) 4. Подбор средств защиты информации (СЗИ),удовлетворяющих требования нормативно- методических документов и специфики системы 5. Определение стоимости установки, настройки и ввода в эксплуатацию СЗИ 6. Определение стоимости аттестации ИСПДн ( 3. Определение стоимости обследования ИСПДн (исходя из количества ПЭВМ в ИС ПДн) 4. Подбор средств защиты информации (СЗИ),удовлетворяющих требования нормативно- методических документов и специфики системы 5. Определение стоимости установки, настройки и ввода в эксплуатацию СЗИ 6. Определение стоимости аттестации ИСПДн ( ГОСТ РО и ГОСТ РО «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».) На основании чего формируется стоимость приведения системы в соответствие?

Пути минимизации затрат на создание СЗПДн –максимальное использование возможностей уже имеющихся в ИС СЗИ, а также возможностей ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах сертификации ФСТЭК России или ФСБ России; – сокращение количества персонала (АРМ), обрабатывающих ПДн, разделение функций, снижающих возможность одновременной обработки ПДн из разных систем; – обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.); –разделение ИС сертифицированными межсетевыми экранами на отдельные сегменты, классификация каждого сегмента (ИСПДн) и снижения требований к части из них; – исключение части ПДн, хранение их на бумажных или иных носителях вне ИСПДн;

Этапы построения защиты ИСПДн: 1. Обследование ИСПДн На данном этапе проводятся работы по описанию информационной системы в которой обрабатываются ПДн, так же проводится категорирование и классификация обрабатываемых ПДн, проводится описание и учет объектов защиты, включая состав и характеристики средств обработки ПДн. 2. Разработка организационно-распорядительной документации Основной целью данного этапа работ является разработка комплекта документации, регламентирующих обработку персональных данных. 3. Проектирование и внедрение системы защиты персональных данных (СЗПДн) По результатам обследования информационных систем персональных данных с учетом категории ПДн и установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание (ТЗ) на разработку СЗПДн. Осуществляется установка и настройка средств защиты информации 4. Оценка соответствия ИСПДн Оценка соответствия объектов информатизации по требованиям безопасности информации включает в себя следующие работы: Разработка пакета аттестационных документов (программа и методика аттестационных испытаний, технический паспорт ИСПдн) Проведение аттестационных испытаний (протоколы испытаний, заключение по результатам аттестационных испытаний) Оформление «Аттестата соответствия»

www. genproc.gov.ru

Порядок действий по защите информационной системы персональных данных 1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации; 2) Предпроектное обследование информационной системы - сбор исходных данных; 3) Классификация системы обработки персональных данных; 4) Построение частной модели угроз с целью определения их актуальности для информационной системы; 5) Разработка частного технического задания на систему защиты персональных данных; 6) Проектирование системы защиты персональных данных; 7) Реализация и внедрение системы защиты персональных данных; 8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований; 9) Аттестация (сертификация) по требованиям безопасности информации; 10) Повышение квалификации сотрудников в области защиты персональных данных; 11) Сопровождение (аутсорсинг) системы защиты персональных данных.

В Калужской области в деятельности МУП "Калужский лес" выявлены нарушения закона о персональных данных. Установлено, что "Калужский лес" оказывает услуги по вывозу и утилизации твердых и жидких бытовых отходов на территории района. По данным прокуратуры, предприятием в установленном порядке с потребителями (физическими лицами) заключены соответствующие договоры, согласно которым квитанции по оплате услуг формируются и выпускаются с указанием фамилии, имени, отчества физического лица и иными данными. "При этом квитанции не запечатывались в конверты или иным образом, и доставлялись абонентам в развернутом виде. Данные обстоятельства позволяли идентифицировать гражданина как личность, предоставляли третьим лицам возможность свободного доступа к персональным данным абонента", - пояснили в прокуратуре. В нарушение положений федерального закона "О персональных данных" согласие на обработку персональных данных в установленной форме получателями квитанций не дано. Для устранения выявленных нарушений и.о. прокурора района внес в адрес директора предприятия внесено представление. Акт прокурорского реагирования рассмотрен, должностное лицо предприятия привлечено к дисциплинарной ответственности, нарушений прав граждан в настоящее время не допускается. Работает ли закон?

Проверкой установлено, что в личных делах работников администраций муниципальных образований имеются персональные данные работников, но отсутствуют письменные согласия этих работников на обработку их персональных данных. Кроме этого, в ходе проверки установлено, что до настоящего времени в нарушение ст. 86 Трудового кодекса Российской Федерации работники администраций поселений Холм-Жирковского района не ознакомлены с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. По результатам проверки прокурором Холм-Жирковского района в отношении должностных лиц, осуществляющих кадровую работу в муниципальных образованиях, возбуждены 14 дел об административных правонарушениях по ст КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданине (персональных данных)». По результатам рассмотрения указанных дел об административных правонарушениях к административной ответственности привлечены 14 должностных лиц. Холм-Жирковский район Смоленской области

ЗАО «Калуга Астрал» г. Калуга, пер. ул.Циалковского, 4 тел. (4842) доб Кухтинов Алексей Анатольевич Руководитель проектов СПАСИБО ЗА ВНИМАНИЕ!