Семинар «Информационные системы в строительстве» Москва, теплоход «Феликс Дзержинский»,31 июля-2 августа 2009 г. Актуальность проблемы защиты персональных данных Законодательная основа осуществления деятельности по защите персональных данных Минин Виктор – Сопредседатель комитета по информационной безопасности МОО СОДИТ, член Правления МОО СОДИТ, Советник Председателя МОО Ассоциация защиты информации

С чего все началось Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных личного характера от EST 108 Федеральный закон от ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

Нормативная база по защите ПД Конституция РФ Федеральные законы Постановления Правительства Российской Федерации Документы уполномоченных федеральных органов в виде приказов, положений, требований, методик, руководящих документов и рекомендаций (открытые и ограниченного доступа)

Законодательство о персональных данных ФЗ «Об информации, информационных технологиях и о защите информации» 149-ФЗ от 27 июля 2006 года ФЗ «О персональных данных» 152-ФЗ от 27 июля 2006 года ФЗ «О лицензировании отдельных видов деятельности» 128-ФЗ от 8 августа 2001 года Трудовой кодекс Российской Федерации 197-ФЗ от 30 декабря 2001 года (глава 14) Кодекс Российской Федерации об административных правонарушениях 195-ФЗ от 30 декабря 2001 года (Статья ) ФЗ «О государственной гражданской службе Российской Федерации» 79-ФЗ от 27 июля 2004 года (Глава 7) ФЗ «О муниципальной службе в Российской Федерации» 25-ФЗ от 2 марта 2007 года (Статья 29)

Подзаконные нормативные акты Правительства РФ Постановление Правительства РФ от 17 ноября 2007 г. 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Подзаконные нормативные акты ведомств Приказ Россвязьохранкультуры от 28 марта 2008 г. 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных» Приказ Россвязькомнадзора от 17 июля 2008 г. 08 «Об утверждении образца формы уведомления об обработке персональных данных» Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Методические документы ФСТЭК («ДСП») «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» «Рекомендации по обеспечению безопасности персональных данных при обработке при их обработке в информационных системах персональных данных»

Методические документы ФСБ «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»

Государственные органы, регулирующие вопросы использования и защиты персональных данных Министерство связи и массовых коммуникаций РФ Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ (Роскомнадзор) Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК России) Федеральная служба безопасности РФ (ФСБ России)

ФЗ «О персональных данных» 1)определил понятие ПД, выделил специальные категории ПД 2) установил принципы, условия и особенности обработки ПД 3) установил права субъектов ПД 4) установил обязанности оператора 5) определил уполномоченный орган, порядок контроля и надзора за обработкой ПД 6) предусмотрел ответственность за нарушение ФЗ и переходные положения

ФЗ «О персональных данных» (ст. 3) 1)персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; Таким образом, ПД – это информация, которая может находиться в различных режимах охраны.

ФЗ «О персональных данных» (ст. 3) 10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

Приказ от 13 февраля /86/20 8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы. Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Что будет, если ничего не делать Ответственность: КоАП - Статья 13.12: При систематических нарушениях приостановление деятельности в области защиты информации на срок до 90 суток ФЗ Приостановление действия или аннулирование лицензии по защите конфиденциальной информации при нарушении требований по защите персональных данных УК - Статья 137: Нарушение неприкосновенности частной жизни. Незаконное собирание или распространение сведений касающихся частной жизни… Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности

Проблемы применения Федерального закона «О персональных данных» Соотношение режимов конфиденциальности Перечень персональных данных Согласие субъекта Требование классификации информационных систем Требование лицензирования деятельности по технической защите конфиденциальной информации Требование сертификации средств защиты информации Требование регистрации информационных систем персональных данных

В результате выполнение работ по защите ПДн внедряется решение, которое состоит из следующих компонентов: организационные мероприятия (нетехническая защита ПДн) инженерно-технические мероприятия (техническая защита ПДн) процессы обеспечения системы защиты ПДн

Порядок проведения классификации ИСПД Определяются следующие категории обрабатываемых в информационной системе персональных данных (Хпд): категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные.

Основные мероприятия по обеспечению безопасности ПД Конкретный состав мероприятий по защите ПД определяется в зависимости от класса ИС и характеристик информационных систем. Мероприятия по защите ПД должны быть реализованы в рамках следующих подсистем: «…Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации…» «…должна проводиться сертификация программного обеспечения ИСПДн на отсутствие не декларированных возможностей…»

Порядок действий Шаг 1. Идентифицировать ПД и ИСПДн, подготовить перечень обрабатываемых персональных данных Шаг 2. Сформулировать стратегию (план) работ по защите ПД Шаг 3. Первоочередные организационные действия Шаг 4. Построение модели угроз. Формирование требований к ИСПДн Шаг 5. Классифицировать ИСПДн. Утвердить Акт классификации Шаг 6. Приведение ИС в соответствие нормативной базе, внедрение необходимых мер защиты Шаг 7. Назначить ответственного за защиту ПД Шаг 8. Подготовить и утвердить «Положение о защите ПД при их обработке» Шаг 9. Направить уведомление в Роскомнадзор Шаг 10. Подтверждение соответствия/аттестация/сертификация

Порядок действий по созданию системы защиты ПДн Инвентаризация ИС, обрабатывающих ПДн Оценка законности обработки ПДн и наличие согласия субъектов на обработку Контроль и корректировка договорных отношений с субъектами Формирование перечня ПДн и проведение категорирования Определение сроков и условий прекращения обработки ПДн Разграничение доступа пользователей к ПДн в ИСПДн Формирование документов регламентирующих работу с ПДн Формирование модели угроз, содержащей актуальные угрозы информационной безопасности персональным данным при их обработке в информационной системе Классификация ИСПДн При, необходимости определенной в 152-ФЗ, направить уведомление об обработке ПД в уполномоченный орган по защите прав субъектов персональных данных Приведение системы защиты ПДн в соответствие требованиям регуляторов При необходимости, определенной методическими документами ФСТЭК России и ФСБ России получить необходимые лицензии Аттестация ИСПДн Эксплуатация ИС – мониторинг, выявление и реагирование на инциденты ИБ

Рекомендации СоДИТ ИТ-директорам России по защите персональных данных, выработанные на заседании экспертов 6 февраля 2009 г. при участии МОО АЗИ и Института Современного Развития. Москва 2009 г.

Ключевые даты Федеральный закон от 27 июля 2006 г. 152-ФЗ: После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом. Не позднее 1 января 2010 года информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона. Не позднее 1 января 2008 года операторы … обязаны направить в уполномоченный орган по защите прав субъектов персональных данных … уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона Закон вступил в силу 26 января 2007 года

Куда обращаться по текущим вопросам За помощью в организации защиты Для получения квалифицированной помощи, в случае возникновения вопросов по созданию системы защиты персональных данных, желательно обратиться в комитет по информационной безопасности МОО СОДИТ. За пояснениями и разъяснениями Россвязькомнадзор, Управление по защите прав субъектов персональных данных , г. Москва, Китайгородский пр., д.7, стр.2. Справочно-информационный центр. По рабочим дням 9:00-18:00 телефоны: (495) (тел), (факс) Территориальные органы ФСБ России и ФСТЭК России

Для чего Вам все ЭТО? Заниматься работой по защите ПД необходимо ФЗ 152 – средство защиты бюджетов на ИБ перед руководством организации Фактическая защищенность и реализация требований регуляторов не одно и тоже Ключевой момент минимизации расходов на защиту ПД – правильная классификация и очерчивание границ ИСПДн

Минин Виктор Сопредседатель комитета по информационной безопасности МОО СОДИТ, член Правления МОО СОДИТ, Советник Председателя Ассоциация защиты информации, Председатель Общественного консультативного совета по научно- технологическим вопросам информационной безопасности Комиссии по информационной безопасности при Координационном совете государств-участников СНГ по информатизации при РСС СПАСИБО ЗА ВНИМАНИЕ Вопросы можно задать по электронной почте СоДИТ -

Перечень внутренних документов компании Приказ о создании комиссии по защите ПД с наделением ее полномочий по проведению всех мероприятий, касающихся организации защиты; Положение о персональных данных и их защите; Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные; Приказы о возложении персональной ответственности за защиту ПД; Договор с субъектом персональных данных, который может содержать отдельное письменное согласие субъекта ПД на их обработку; Нормативный документ (перечень), аккумулирующий информацию о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения) Перечень информационных систем, обрабатывающих персональные данные Регламент допуска сотрудников к обработке персональных данных Перечень допущенных сотрудников к обработке персональных данных Должностные инструкции сотрудников, имеющих отношение к обработке ПД

Ответственность за нарушение закона Ответственность при невыполнении требований закона, увы, достаточно серьезна, чтобы, по крайней мере, принять ее к сведению. Проанализировав КоАП РФ и УК РФ, можно выделить ряд статей, в соответствии с которыми будет определяться ответственность за нарушение требований по защите ПДн. КоАП Статья 5.39 – отказ в предоставлении гражданину информации. Ответственность – штраф до руб., но также это может явиться основанием для ответственности по статье 3.12 (Административное приостановление деятельности). КоАП Статья – нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Ответственность – штраф до руб. КоАП Статья – нарушение правил защиты данных. Ответственность – штраф от до руб. с конфискацией несертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток. УК Статья 137 – нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев. УК Статья 140 –отказ в предоставлении гражданину информации. Ответственность – штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью. УК Статья 171 – незаконное предпринимательство. Ответственность – до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.