Практические вопросы защиты персональных данных Практические вопросы защиты персональных данных И.Л.Дмитриев Председатель совета директоров ГК ИНТЕСКОМ Технологии защиты персональных данных И.Л.Дмитриев Председатель совета директоров ГК ИНТЕСКОМ

План презентации Нормативы и определения Технические требования Практические рекомендации

Перечень нормативных правовых документов, регламентирующих защиту персональных данных Конституция РФ (Статья 23) Трудовой кодекс РФ Федеральный закон 149-ФЗ «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г. Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 г. Положение «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено Постановлением Правительства Российской Федерации 781 от 17 ноября 2007 г. Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных» от 28 марта2008 г. Положение «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено Постановлением Правительства Российской Федерации 687 от 15 сентября 2008 г. «Порядок проведения классификации информационных систем персональных данных», утверждён приказом ФСТЭК России, ФСБ России и Мининформсвязи России 55/86/20 от 13 февраля 2008 г. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержден приказом Гостехкомиссии России 282 от 30 августа 2002 г. 4 нормативно-методических документа ФСТЭК России, утвержденных заместителем директора ФСТЭК 15 февраля 2008г. 2 нормативно-методических документа ФСБ России, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 г.

Основные определения (152-ФЗ) Персональные данные - любая информация, относящаяся к субъекту персональных данных, в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор – орган или лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Оператор обязан принимать организационные и технические меры, для защиты персональных данных от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. Информационные системы персональных данных (ИСПДн), созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года

Согласие субъекта ПДн на обработку своих ПДн (ст ФЗ) Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку. Согласие может быть отозвано. Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, включающего: –фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; –наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; –цель обработки персональных данных; –перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; –перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; –срок, в течение которого действует согласие, а также порядок его отзыва.

Общие мероприятия, необходимые для выполнения законодательства Уведомление Роскомнадзора. Разработка документов, регламентирующих обработку персональных данных Создание системы защиты персональных данных. Выполнение требования по инженерно- технической защите помещений. Аттестация или декларирование соответствия по требованиям безопасности информации.

Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных В зависимости от класса и типа ИСПДн, а также с учетом модели угроз конкретной ИСПДн должны быть реализованы следующие мероприятия: 1. По защите от несанкционированного доступа к ПДн: защита от НСД (при однопользовательском, многопользовательском режиме обработки ПДн с разными и равными правами доступа) (для всех классов) ; защита информации при межсетевом взаимодействии ИСПДн (для не автономных систем); защита от вредоносных программ (антивирусная защита) (для всех классов) ; обнаружение вторжений (для не автономных систем); криптографическая защита (если система распределенная и есть необходимость в таких средствах). 2. По защите информации от утечки по техническим каналам (для 1го и 2го класса).

Технические требования по классам Мероприятия по защите ПДн реализуются в рамках подсистем: управления доступом, регистрации и учета, обеспечения целостности, криптографической защиты, антивирусной защиты, обнаружения вторжений.

Подсистема управления доступом

Подсистема регистрации и учета

Подсистема обеспечения целостности

Подсистема антивирусной защиты

Подсистема криптографической защиты

ПЭМИН

В ИСПДн 2 класса для обработки информации рекомендуется использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям с средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ(ГОСТ , ГОСТ Р , ГОСТ Р , ГОСТ Р , СанПиН ). Для исключения просмотра текстовой и графической видовой информации отображаемой устройствами отображения информации средствами вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео и буквенно-цифровой информации, входящих в состав ИСПДн рекомендуется оборудовать помещения, в которых они установлены шторами(жалюзи).

Если в ИСПДн предусмотрены функции голосового ввода ПДн в ИСПДн, либо воспроизводимой акустическими средствами ИСПДн, то для ИСПДн 1 класса должны быть реализованы мероприятия по защите акустической информации. Мероприятия по защите акустической(речевой) информации заключаются в обеспечении звукоизоляции ограждающих конструкций помещений, в которых расположена ИСПДн, их систем вентиляции и кондиционирования, не позволяющей прослушивание акустической(речевой) информации при голосовом вводе ПДн в ИСПДн, либо воспроизведении акустическими средствами ИСПДн.

Защита информации при межсетевом взаимодействии в ИСПДн осуществляется путем использования межсетевого экрана(МЭ) - для К3и К4 систем рекомендуется использовать МЭ не ниже пятого уровня защищенности, для К2 - МЭ не ниже четвертого уровня защищенности, для К1 - не ниже третьего уровня защищенности. Обнаружение вторжений должно обеспечиваться путем использования в составе ИСПДн программных или программно-аппаратных средств(систем) обнаружения вторжений(СОВ) – для обнаружения вторжений в ИСПДн 3 и 4 классов рекомендуется использовать системы обнаружения сетевых атак, использующие сигнатурные методы анализа, для К1 и К2 систем рекомендуется использовать системы обнаружения атак, использующие наряду с сигнатурными методами анализа методы выявления аномалий.

Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение) должен быть обеспечен соответствующий уровень контроля отсутствия в нем недекларированных возможностей(НДВ). Для систем анализа защищенности информационных систем персональных данных должна быть обеспечена возможность выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

Риски неисполнения требований закона Гражданско-правовые иски со стороны клиентов или работников Репутационные риски Принудительное приостановление или прекращение обработки персональных данных в компании Привлечение компании и (или) ее руководителя к административной или иным видам ответственности Приостановление действия или аннулирование лицензий (при определенных условиях)

Административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст КоАП РФ) - предупреждение или наложение административного штрафа на должностных лиц - от 500 до 1000р.; на юридических лиц - от 5 до 10 т.р. за нарушение правил защиты информации (использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации) - административный штраф на должностных лиц - от 1 до 2 т.р.; на юридических лиц - от 10 до 20 т.р. с конфискацией несертифицированных средств защиты информации или без таковой. за разглашение информации ограниченного доступа (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных обязанностей (ст КоАП РФ) – штраф на должностных лиц - от 4 до 5 т.р.

Иная ответственность Уголовная ответственность - неправомерный доступ к охраняемой законом компьютерной информации, содержащейся на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети; нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 272, 274 УК РФ – максимальное наказание – лишение свободы на срок до 5 лет). Гражданско-правовая ответственность. Ст. 17 ФЗ от N 149-ФЗ "Об информации, информационных технологиях и о защите информации". Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным ее неправомерным использованием, могут обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

Практические рекомендации Организационный аспект – Определить ограниченное количество операторов ИСПДн, закрепить их ответственность юридически – Оператору получить лицензию на деятельность по технической защите конфиденциальной информации (мин. 2 обученных, аттестованное помещение в аренде или в собственности оператора, только лицензионное ПО, только сертифицированные средства защиты, документы по перечню ФСТЭК) – Проработать формы согласия на автоматизированную обработку и передачу ПД третьим лицам Организационно-технический аспект – Локализовать ПДн – Ограничить набор ПДн только необходимой информацией – Перейти, где возможно, на обезличенную обработку персональных данных Информационно-технический аспект – Использовать понятие «специальных информационных систем» – В Модели нарушителя и угроз уточнить реальные угрозы, адаптировать систему защиты и класс ПДн, согласовать с ФСТЭК

Вариант календарного плана работ по защите персональных данных

Типовое предложение по СЗПДн ИСПДн

Выводы Относительно требований 152-ФЗ Выполнение требований 152-ФЗ является достаточно сложной, но выполнимой задачей Относительно затрат Тщательная проработка модели угроз безопасности может позволить построить систему безопасности за разумные деньги Относительно разработки Наиболее рациональным путем решения проблем информационной безопасности при создании и эксплуатации ИСПДн является привлечение наряду с разработчиками собственно профильных ИС специализированных компаний, занимающихся информационной безопасностью

Спасибо за внимание Дмитриев Игорь Леонидович