Максим Эмм, MBA, CISA, CISSP, QSA Директор департамента аудита ЗАО НИП «Информзащита» Приведение в соответствие ФЗ 152: Компромисс между затратами, безопасностью и соответствием законодательству
Основные законодательные и нормативные правовые акты Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28 января 1981 г. EST 108 Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28 января 1981 г. EST 108 Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе
Принципы обработки персональных данных: 1) законность целей и способов обработки персональных данных и добросовестность; 2) соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; 3) соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; 4) достоверность персональных данных, их достаточность для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. Нормативные правовые акты Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных»
Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Постановление Правительства от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных » Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных » Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Постановление Правительства от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных » Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных » 4 Нормативные правовые акты
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (прошел государственную регистрацию 28 января 2010 г ) Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (прошел государственную регистрацию 28 января 2010 г ) Приказ Министерства связи и массовых коммуникаций РФ от 30 января 2010 г. 18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (прошел государственную регистрацию 24 марта 2010 г ) Приказ Министерства связи и массовых коммуникаций РФ от 30 января 2010 г. 18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (прошел государственную регистрацию 24 марта 2010 г ) 5 Нормативные правовые акты
Организация взаимодействия при защите прав субъектов персональных данных ФСБ России ФСТЭК России МВД России Роскомнадзор права и законные интересы граждан Генеральная прокуратура РФ
ОСНОВНЫЕ ИТОГИ ДЕЯТЕЛЬНОСТИ (РОСКОМНАДЗОР) С момента возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных проведено 1327 проверок в области персональных данных, из них: плановые проверки – 886 плановые проверки – 886 внеплановые проверки – 441 внеплановые проверки – 441 Результат: устранено свыше 3000 нарушений в области персональных данных выдано предписаний составлено протокола об АП взыскано штрафов на сумму более 2,1 млн. руб.
Динамика поступления обращений в Уполномоченный орган Жалобы на действия операторов Поступило обращений
360 (28 %) даны разъяснения даны разъяснения положений ФЗ положений ФЗ 936 (72 %) – жалобы, из них: 456 (48 %) факт нарушений не установлен не установлен 338 (36%) материалы направлены в прокуратуру 142 (16 %) находятся на рассмотрении находятся на рассмотрении в 2010 году в Уполномоченный орган поступило обращений от физических и юридических лиц, из них: Результаты рассмотрения обращений
Насколько это серьезно?
Контроль и надзор
12 Последствия Роскомнадзор вправе (часть 3 статьи 23 федерального закона «О персональных данных»): принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований закона; направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке. Роскомнадзор обязан принимать в установленном законодательством порядке по представлению ФСБ или ФСТЭК меры по приостановлению или прекращению обработки персональных данных (часть 5 статьи 23 федерального закона «О персональных данных»).
Проанализировать все эксплуатируемые информационные системы и традиционные хранилища данных, выявить все, где присутствуют и обрабатываются персданные. ШАГ 1: ИНВЕНТАРИЗАЦИЯ РЕСУРСОВ
ШАГ 2: ФОРМИРОВАНИЕ ПЕРЕЧНЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ФЗ «О персональных данных» Статья 9. Письменное согласие субъекта персданных на обработку своих персональных данных должно включать в себя …перечень персональных данных, на обработку которых дается согласие субъекта Статья 14. Субъект персданных имеет право на получение … информации, касающейся обработки его персданных, в том числе содержащей … перечень обрабатываемых персданных и источник их получения
Личная карточка работника УФ Т-2 Утверждена Постановлением Госкомстата России от Фамилия, имя, отчество Дата и место рождения Гражданство ИНН Номер свидетельства государственного пенсионного страхования Пол Знание иностранного языка Образование Профессия Состояние в браке Состав семьи Номер паспорта, дата и место его выдачи Место жительства и дата регистрации Сведения о воинском учете Дополнительные сведения
Определить и зафиксировать документально предельные сроки хранения персональных данных после расторжения (прекращения) договора с работником, контрагентом, исходя из сроков, определенных требованиями законодательства: гражданского трудового пенсионного о безопасности и правоохранительной деятельности ШАГ 3: УСТАНОВЛЕНИЕ СРОКОВ ОБРАБОТКИ ПЕРСДАННЫХ а также сроков исковой давности
Перечень персональных данных, обрабатываемых в _______________ Утверждаю Руководитель______________ ________ Дата утверждения пп Основания для обработки Содержание сведенийСрок хранения, условия прекращения обработки 1Глава 14 Трудового кодекса Фамилия, имя, отчество Дата и место рождения Гражданство ИНН Номер свидетельства государственного пенсионного страхования … Др. сведения унифицированной формы Т-2 75 лет
Пересмотреть договора с собственными работниками, клиентами и контрагентами в части обработки персональных данных и, особенно, их распространения (передачи) и защиты ШАГ 4: ПЕРЕСМОТР ДОГОВОРОВ
Оценить наличие предусмотренных законом оснований для обработки персональных данных, в случаях, когда они отсутствуют – получить согласие субъекта. Особые вопросы: передача персональных данных третьим лицам (выдача справок, содержащих персданные, информирование, добровольное страхование, бронирование билетов, заказ гостиниц для персонала и т.п.) обработка персданных работников контрагентов ШАГ 5: СОГЛАСИЕ СУБЪЕКТОВ НА ОБРАБОТКУ
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора ШАГ 5: СОГЛАСИЕ СУБЪЕКТОВ НА ОБРАБОТКУ
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя … учет лиц, допущенных к работе с персональными данными в информационной системе 14. Лица, доступ которых к персданным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персданным на основании списка, утвержденного оператором или уполномоченным лицом. ШАГ 6: ОГРАНИЧЕНИЕ ДОСТУПА РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн
ШАГ 7: ДОКУМЕНТАЛЬНАЯ РЕГЛАМЕНТАЦИЯ РАБОТЫ С ПЕРСДАННЫМИ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области
г. Заместителем директора ФСТЭК России утверждены: Базовая модель угроз безопасности ПД при их обработке в ИСПД Методика определения актуальных угроз безопасности ПД при их обработке в ИСПД ШАГ 8: ФОРМИРОВАНИЕ МОДЕЛИ УГРОЗ ПЕРСДАННЫМ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИС включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз
Актуализация угроз: Полномочия, но не произвол оператора Необходимость следования методологии регуляторов и установленным критериям актуализации Необходимость принятия мер по нейтрализации актуальных угроз ШАГ 8: ФОРМИРОВАНИЕ МОДЕЛИ УГРОЗ ПЕРСДАННЫМ
На основе исходных данных, указанных в акте классификации и актуализированной модели угроз определяются: механизмы безопасности, которые должны быть реализованы в системе защиты конкретные требования к функциональности этих механизмов ШАГ 8: ФОРМИРОВАНИЕ МОДЕЛИ УГРОЗ ПЕРСДАННЫМ
ШАГ 9: КЛАССИФИКАЦИЯ ИСПДн Приказ ФСТЭК/ФСБ/Мининформсвязи от /86/20 «Об утверждении порядка проведения классификации ИСПДн» 15. Класс типовой информационной системы определяется в соответствии с таблицей. Х ПДН Х ПД 321 категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1
ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ
Персданные, обрабатываемые без уведомления 1) относящиеся к субъектам персданных, которых связывают с оператором трудовые отношения 2) полученные оператором в связи с заключением договора, стороной которого является субъект персданных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом Представление персданных работников третьим лицам Обработка персданных работников контрагентов- юридических лиц ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ
Составлено и направлено в суды 54 протокола об административных правонарушениях. Выявленные правонарушения были классифицированы по статье 19.7 КоАП РФ, предусматривающую административную ответственность по следующим основаниям: непредставление или несвоевременное представление в Уполномоченный орган уведомления об обработке персональных данных; непредставление либо несвоевременное представление информации на запрос Уполномоченного органа непредставление сведений об изменении информации, содержащейся в уведомлении ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ
ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персданных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ
г. Заместителем директора ФСТЭК России утверждены: Базовая модель угроз безопасности ПД при их обработке в ИСПД Методика определения актуальных угроз безопасности ПД при их обработке в ИСПД г. приказом директора ФСТЭК 58 утверждено Положение о методах и способах защиты информации в информационных системах персональных данных Зарегистрирован в Минюсте РФ Опубликован в «Российской газете» г. ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ
г. руководством 8 Центра ФСБ России утверждены: Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащих сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ
Мероприятия по защите: технически сложные требуют: высокой квалификации исполнителей специальных знаний глубокого понимания функциональности: приложений, обрабатывающих персональные данные средств защиты информации, необходимых для нейтрализации актуальных угроз персональным данным ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ
Минимизация затрат на создание систем безопасности ИСПДн: максимальное использование возможностей уже имеющихся в КИС средств безопасности, а также ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах ФСТЭК и ФСБ четкое определение границ ИСПДн принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: з) контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн… ШАГ 12: ОРГАНИЗАЦИЯ ЭКСПЛУАТАЦИИ ИСПДн И КОНТРОЛЯ ЗА БЕЗОПАСНОСТЬЮ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн
ШагБезопаснос ть ЗатратыComplia nce 1 Инвентаризация ресурсов 2 Формирование перечня персональных данных 3 Установление сроков обработки персданных 4 Пересмотр договоров 5 Согласие субъектов на обработку 6 Ограничение доступа работников к персональным данным 7 Документальная регламентация работы с персданными 8 Формирование модели угроз персданным 9 Классификация ИСПДН 10 Составление и направление в уполномоченный орган уведомления 11 Приведение системы защиты персданных в соответствии с требованиями регуляторов 12 Организация эксплуатации ИСПДН и контроля за безопасностью
План «Минимизация затрат» Шаг 1 Инвентаризация ресурсов 2 Формирование перечня персональных данных 3 Установление сроков обработки персданных 4 Пересмотр договоров 5 Согласие субъектов на обработку 6 Ограничение доступа работников к персональным данным 7 Документальная регламентация работы с персданными 8 Формирование модели угроз персданным 9 Классификация ИСПДН 10 Составление и направление в уполномоченный орган уведомления 11 Приведение системы защиты персданных в соответствии с требованиями регуляторов 12 Организация эксплуатации ИСПДН и контроля за безопасностью
План «Минимизация рисков регуляторов» Шаг 1 Инвентаризация ресурсов 2 Формирование перечня персональных данных 3 Установление сроков обработки персданных 4 Пересмотр договоров 5 Согласие субъектов на обработку 6 Ограничение доступа работников к персональным данным 7 Документальная регламентация работы с персданными 8 Формирование модели угроз персданным 9 Классификация ИСПДН 10 Составление и направление в уполномоченный орган уведомления 11 Приведение системы защиты персданных в соответствии с требованиями регуляторов, только сертифицированные СЗИ 12 Организация эксплуатации ИСПДН и контроля за безопасностью
План «Минимизация рисков ИБ» Шаг 1 Инвентаризация ресурсов 2 Формирование перечня персональных данных 3 Установление сроков обработки персданных 4 Пересмотр договоров 5 Согласие субъектов на обработку 6 Ограничение доступа работников к персональным данным 7 Документальная регламентация работы с персданными 8 Формирование модели угроз персданным 9 Классификация ИСПДН 10 Составление и направление в уполномоченный орган уведомления 11 Приведение системы защиты персданных в соответствии с требованиями регуляторов 12 Организация эксплуатации ИСПДН и контроля за безопасностью
План «Сбалансированный» Шаг 1 Инвентаризация ресурсов 2 Формирование перечня персональных данных 3 Установление сроков обработки персданных 4 Пересмотр договоров 5 Согласие субъектов на обработку 6 Ограничение доступа работников к персональным данным 7 Документальная регламентация работы с персданными 8 Формирование модели угроз персданным 9 Классификация ИСПДН 10 Составление и направление в уполномоченный орган уведомления 11 Приведение системы защиты персданных в соответствии с требованиями регуляторов, встроенные механизмы защиты и несертифицированные СЗИ 12 Организация эксплуатации ИСПДН и контроля за безопасностью
Основные способы оптимизации затрат на соответствие ФЗ 152 Ограничение объема и сроков хранения ПД Обезличивание ПД и раздельное хранение Централизация обработки ПД Использование встроенных механизмов защиты Объединение ИСПДН
(495) Максим Эмм Директор департамента аудита ВОПРОСЫ ?