Защита персональных данных. Требования к антивирусному комплексу Лафицкий Алексей группа консалтинга и предпродажной поддержки

Немного предыстории 1981 г. Совет Европы принял Конвенцию «О защите личности в связи с автоматической об работкой персональных данных» 1981 г. Совет Европы принял Конвенцию «О защите личности в связи с автоматической об работкой персональных данных» г. Государственная Дума ратифицировала данную Конвенцию г. Государственная Дума ратифицировала данную Конвенцию ФЗ от г. 160ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных») ФЗ от г. 160ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных») o На Российскую Федерацию были возложены обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн ФЗ от г. 152ФЗ«О персональных данных» ФЗ от г. 152ФЗ«О персональных данных» Закон вступил в силу в январе 2007 г. Закон вступил в силу в январе 2007 г.

Нормативная база по вопросам ПДн Федеральные законы Федеральные законы ФЗ от г. 152ФЗ «О персональных данных» ФЗ от г. 152ФЗ «О персональных данных» Постановления Правительства Российской Федерации Постановления Правительства Российской Федерации Постановление Правительства РФ от г. 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" Постановление Правительства РФ от г. 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" Документы уполномоченных федеральных органов Документы уполномоченных федеральных органов ФСБ, ФСТЭК (ПП 781) ФСБ, ФСТЭК (ПП 781) 3

Федеральный закон 152-ФЗ «О персональных данных» Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст.3.) Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст.3.) Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки (ст.3.) Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки (ст.3.)

Федеральный закон 152-ФЗ «О персональных данных» Операторами … должна обеспечиваться конфиденциальность персональных данных, за исключением случаев, обезличенных и общедоступных персональных данных (ст. 7) Операторами … должна обеспечиваться конфиденциальность персональных данных, за исключением случаев, обезличенных и общедоступных персональных данных (ст. 7) Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий (ст. 19, ч. 1) Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий (ст. 19, ч. 1) Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке (ст. 19, ч. 2) Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке (ст. 19, ч. 2) Требования должны быть выполнены до г. Требования должны быть выполнены до г. Федеральные органы в области обеспечения безопасности и ПД ИТР и ТЗИ (ФСБ России и ФСТЭК России) осуществляют контроль и надзор Федеральные органы в области обеспечения безопасности и ПД ИТР и ТЗИ (ФСБ России и ФСТЭК России) осуществляют контроль и надзор Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством РФ ответственность Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством РФ ответственность

Кратко об ответственности СтатьяКодексО чем статья?Максимальное наказание 13.11КоАПНарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) руб КоАПНарушение правил защиты информации, а также Использование несертифицированных средств защиты информации, если они подлежат обязательной сертификации, а также Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации руб. + конфискация несертифицированных средств + приостановление деятельности на срок до 90 суток 19.4КоАПНевыполнение законных требований должностного лица органа, уполномоченного в области экспортного контроля, а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей руб. 19.5КоАПНевыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства, а также Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля руб. + дисквалификация должностного лица до 3-х лет 137УКНезаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия руб. + исправительные работы на срок до 240 часов + арест до 6-ти месяцев 90ТКНарушение норм, регулирующих получение, обработку и защиту персональных данных работника увольнение

А что в жизни? 432 проверки (284 плановые и 148 внеплановые) 557 предписаний об устранении нарушений 54 протокола об административных правонарушениях (ст КоАП) 84 материала проверок направлено в прокуратуру (ст КоАП) Общая сумма штрафов р. Источник: Доклад Л.Васильевой Роскомнадзор 2010

Постановление Правительства РФ от г. 781 Безопасность ПД направлена на исключение несанкционированного доступа к ним в результате которого возможно их уничтожение, изменение, блокирование, копирование и распространение Безопасность ПД направлена на исключение несанкционированного доступа к ним в результате которого возможно их уничтожение, изменение, блокирование, копирование и распространение Положение об обеспечении безопасности ПДн при их обработке в ИСПДн Положение об обеспечении безопасности ПДн при их обработке в ИСПДн возлагает на ФСТЭК России и ФСБ России разработку методов и способов защиты ПД в информационных системах возлагает на ФСТЭК России и ФСБ России разработку методов и способов защиты ПД в информационных системах возлагает на оператора ПД задачу обеспечения безопасности ПД и обязанность классификации ИС возлагает на оператора ПД задачу обеспечения безопасности ПД и обязанность классификации ИС устанавливает, что работы по обеспечению безопасности ПД являются неотъемлемой частью работ по созданию ИС ПД устанавливает, что работы по обеспечению безопасности ПД являются неотъемлемой частью работ по созданию ИС ПД устанавливает, что средства защиты ПД должны пройти оценку соответствия (в ФСТЭК России и ФСБ России) устанавливает, что средства защиты ПД должны пройти оценку соответствия (в ФСТЭК России и ФСБ России) определяет, что достаточность принятых мер по обеспечению безопасности ПД оценивается при проведении государственного контроля и надзора определяет, что достаточность принятых мер по обеспечению безопасности ПД оценивается при проведении государственного контроля и надзора

Документы ФСТЭК России (до ) «Порядок проведения классификации информационных систем ПД» «Порядок проведения классификации информационных систем ПД» Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от г. 55/86/20 «Базовая модель угроз безопасности ПД при их обработке в ИС ПД» «Базовая модель угроз безопасности ПД при их обработке в ИС ПД» «Методика определения угроз безопасности ПД при их обработке в ИС ПД» «Методика определения угроз безопасности ПД при их обработке в ИС ПД» «Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИС ПД» «Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИС ПД» «Рекомендации по обеспечению безопасности ПД при их обработке в ИС ПД» «Рекомендации по обеспечению безопасности ПД при их обработке в ИС ПД» Утверждены заместителем директора ФСТЭК России февраля 2008 г.

Ситуация после 5 февраля 2010г «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Приказ ФСТЭК России от 5 февраля 2010 г. 58 Решение ФСТЭК России от 5 марта 2010 г. Решение ФСТЭК России от 5 марта 2010 г. Утверждено первым заместителем директора ФСТЭК России «В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. 58 … не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России: «В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. 58 … не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России: o Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.; o Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Документы ФСТЭК России (после ) «Порядок проведения классификации информационных систем ПД» «Порядок проведения классификации информационных систем ПД» Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от г. 55/86/20 «Базовая модель угроз безопасности ПД при их обработке в ИС ПД» «Базовая модель угроз безопасности ПД при их обработке в ИС ПД» «Методика определения угроз безопасности ПД при их обработке в ИС ПД» «Методика определения угроз безопасности ПД при их обработке в ИС ПД» «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Приказ ФСТЭК России от 5 февраля 2010 г. 58

Приказ ФСТЭК 58 Приказ издан с соблюдением всех процессуальных норм (в отличии от предыдущих нелегитимных) Приказ издан с соблюдением всех процессуальных норм (в отличии от предыдущих нелегитимных) опубликована в открытой печатип опубликована в открытой печатип зарегистрирована в МинЮсте зарегистрирована в МинЮсте подписан руководителем ФСТЭК подписан руководителем ФСТЭК Приложение к приказу описывает основные требования ФСТЭК к защите ИСПДн Приложение к приказу описывает основные требования ФСТЭК к защите ИСПДн «Положение о методах и способах защиты информации в информационных системах персональных данных» «Положение о методах и способах защиты информации в информационных системах персональных данных» o Призван заменить 2 отмененных документа Структура стала более четкой, формулировки содержат меньше противоречий Структура стала более четкой, формулировки содержат меньше противоречий Несколько снижен уровень требований (2 класс ИСПДн переведен в 3) Несколько снижен уровень требований (2 класс ИСПДн переведен в 3) Организационные моменты Организационные моменты отсутствуют требования по обязательной аттестации и декларированию информационных систем персональных данных отсутствуют требования по обязательной аттестации и декларированию информационных систем персональных данных o Оценка на соответствие все равно требуется (п 2.1), но критерии заданы только для класса 1 ИСПДн отсутствуют требования по лицензированию операторов отсутствуют требования по лицензированию операторов o Согласно ФЗ -128 (ст. 17) «О лицензирование отдельных видов деятельности» деятельность по технической защите конфиденциальной информации лицензируется

Порядок проведения классификации ИСПДн Установлены следующие категории ПД категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1 категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1 категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД категория 4 - обезличенные и (или) общедоступные ПД. категория 4 - обезличенные и (или) общедоступные ПД. Пункт 6 Приказа 55/86/20

Порядок проведения классификации ИСПДн ИС, обрабатывающие ПД, делятся по объему ПД на: ИС, обрабатывающие ПД менее чем о 1000 субъектах ПД; ИС, обрабатывающие ПД менее чем о 1000 субъектах ПД; ИС, обрабатывающие ПД о 1000 – субъектах ПД; ИС, обрабатывающие ПД о 1000 – субъектах ПД; ИС, обрабатывающие ПД более чем о субъектах ПД. ИС, обрабатывающие ПД более чем о субъектах ПД. Пункт 7 Приказа 55/86/20

Порядок проведения классификации ИСПДн ИС, обрабатывающие ПД, делятся на типовые и специальные: Типовые ИС - информационные системы, в которых требуется обеспечение только конфиденциальности ПД; Типовые ИС - информационные системы, в которых требуется обеспечение только конфиденциальности ПД; Специальные ИС - системы, в которых вне зависимости от необходимости обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну из характеристик безопасности ПД, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий) Специальные ИС - системы, в которых вне зависимости от необходимости обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну из характеристик безопасности ПД, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий) Пункт 8 Приказа 55/86/20

Построение системы защиты ИСПДн Для специальных ИС Для специальных ИС «Базовая модель угроз безопасности ПД при их обработке в ИС ПД» «Базовая модель угроз безопасности ПД при их обработке в ИС ПД» «Методика определения угроз безопасности ПД при их обработке в ИС ПД» «Методика определения угроз безопасности ПД при их обработке в ИС ПД» Для типовых ИС, согласно классу (К1-К4) Для типовых ИС, согласно классу (К1-К4) Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Приказ ФСТЭК России от 5 февраля 2010 г. 58

Порядок проведения классификации ИСПДн В зависимости от последствий нарушений заданной характеристики безопасности ПД, типовой ИС присваивается один из классов: класс 1 (К1) - ИС, для которых нарушения могу привести к значительным негативным последствиям для субъектов ПД; класс 1 (К1) - ИС, для которых нарушения могу привести к значительным негативным последствиям для субъектов ПД; класс 2 (К2) - ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД; класс 2 (К2) - ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД; класс 3 (К3) - ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД; класс 3 (К3) - ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД; класс 4 (К4) - ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД. класс 4 (К4) - ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД. Пункт 14 Приказа 55/86/20

Порядок проведения классификации ИСПДн Класс типовой ИС выбирается по таблице: Пункт 15 Приказа 55/86/20

Классификация по уровню контроля отсутствия недекларированных возможностей 1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований. … 1.5 Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации. 1.5 Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации. Руководящий документ Гостехкомиссии 114 от г.

Сертификат сертификату – рознь!!! руб. + конфискация несертифицированных средств + приостановление деятельности на срок до 90 суток

Сертификаты ЛК

Выборка из госреестра сертифицированных СЗИ ( )

Государственные структуры Для средств защиты от вредоносного ПО, относимых, согласно системе сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России ( РОСС RU БИ00) к средствам защиты от НСД, требуется сертификат, подтверждающий уровень контроля отсутствия недекларированных возможностей не ниже 4-го для всех информационных систем обработки персональных данных, кроме систем класса К4

Положение о сертификации средств защиты Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и влияющими на безопасность государства, средства общего применения, предназначенные для противодействия техническим разведкам. Перечень средств защиты информации, подлежащей обязательной сертификации, приведен в Приложении 1 к настоящему Положению. Приложение 1 Перечень средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России ( РОСС RU БИ00 ) Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. 199 Средство защиты информацииКод средства защиты информации по ОК (ОКП) Код средств защиты информации по ТН ВЭД Область применения средств защиты информации 2. Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности 2.6. Антивирусные программы.

Приказ Минкомсвязи РФ 104 от федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети Интернет Настоящие требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети Интернет, утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 г. N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" (Собрание законодательства Российской Федерации, 2003, N 7, ст. 658; 2008, N 48, ст. 5627) (далее - информационные системы общего пользования). К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам. К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением перечисленных в подпункте При создании и эксплуатации информационной системы общего пользования класса I: сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным Федеральной службой безопасности Российской Федерации; 11. При создании и эксплуатации информационной системы общего пользования класса II: сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным их производителем;

Что есть сертифицированные продукты Было: Kaspersky OpenSpace Security Media Pack C августа 2009: Kaspersky WorkSpace Security Certified Media Pack Kaspersky BusinessSpace Security Certified Media Pack Kaspersky EnterpriseSpace Security Certified Media Pack Kaspersky Open Space Security Certified Media Pack Customized Важно: cертифицируются не лицензии, сертифицируются дистрибутивы!!!

Что внутри … Дистрибутив с сертифицированной версией Формуляр ФСТЭК Голограмма ФСТЭК Заверенная копия сертификата Certified

Благодарю за внимание! Алексей Лафицкий группа консалтинга и предпродажной поддержки