Результаты выполнения проектов по соответствию требованиям Федерального закона 152-ФЗ «О персональных данных»: статистика, проблемы, решения Тесцов Алексей Руководитель отдела управления проектами ЗАО «ДиалогНаука»

План презентации Часть 1. Информация о последовательности выполнения проектов Часть 2. Основные результаты и статистика выполненных проектов Часть 3. Оценка соответствия ИСПДн в виде добровольной аттестации: преимущества, недостатки, варианты

Часть 1 Информация о последовательности выполнения проектов

Проект по защите ПДн Проект по приведению в соответствие Реализация организационных мер обработки и защиты Техническая защита Оценка соответствия

Информация о последовательности проектов Основные этапы выполнения типового проекта по защите персональных данных Проведение обследования и оценка соответствия текущего уровня обработки и защиты ПДн в организации требованиям правовых актов по обработке и защите ПДн Разработка организационно-распорядительной документации по вопросам обработки и защиты ПДн Проектирование и создание системы защиты персональных данных Внедрение средств защиты информации Подготовка и проведение оценки соответствия

Информация о последовательности проектов СодержаниеРезультаты 1.Проведение обследования и оценка соответствия текущего уровня обработки и защиты ПДн в организации требованиям правовых актов по обработке и защите ПДн Акты классификации ИСПДн, Перечни ПДн, ИСПДн, работников Оператора, которым предоставлен доступ к ПДн, Модели угроз, техническое задание… 2.Разработка организационно- распорядительной документации по вопросам обработки и защиты ПДн и приведение процессов обработки в соответствие с требованиями Положения об обработке, защите, подразделении, инструкции работникам Оператора… 3.Проектирование и создание системы защиты персональных данных Пояснительная записка, ведомость покупных изделий, спецификация… 4.Внедрение средств защиты информации Акты внедрения, результаты испытаний… 5.Подготовка и проведение оценки соответствия Программа и методики оценки, заключение и протоколы по результатам испытаний

Информация о требованиях к Операторам Обязательно со дня вступления в силу ФЗ-152: Приведение процессов обработки персональных данных в соответствие требованиям Обязательно с 1 июля 2011 года для всех ИСПДн: Приведение ИСПДн в соответствие требованиям Перечни ПДн, ИСПДн, работников Оператора, которым предоставлен доступ к ПДн Акты классификации ИСПДн, Модели угроз (для специальных систем), Инструкции, перечни и т.д. Положения об обработке, защите, подразделении, инструкции работникам Оператора… Внедрение средств защиты информации Необязательно Проведение оценки соответствия ИСПДн (аттестация, декларирование о соответствии и т.д.)

Часть 2 Основные результаты и статистика выполненных проектов

Основные результаты и статистика

СтатистикаПричины 12 % процентов Заказчиков отказались от услуг по разработке организационно- распорядительной документации Прекращение финансирования проекта Решение о приведении в соответствие собственными ресурсами Внутренние организационные проблемы с распределением ролей и ответственности за обработку и защиту ПДн 54 % Заказчиков отказались или приостановили процесс приведения ИСПДн в соответствие (внедрение средств защиты) Сложности с изменением информационной инфраструктуры Неоднозначность нормативных правовых актов по обеспечению безопасности Невозможность применения сертифицированных средств защиты 69 % Заказчиков не проводили оценку соответствия ИСПДн Экономия бюджета проекта Отсутствие внутренних ресурсов по поддержанию ИСПДн Неоднозначность правового обеспечения оценки соответствия

Уровень информационной безопасности Операторов до начала проекта

Часть 3 Оценка соответствия ИСПДн в виде добровольной аттестации: преимущества, недостатки, варианты

Факты оценки соответствия ФактыПричины После отмены требований по обязательному проведению аттестации ИСПДн количество запросов на аттестацию уменьшилось незначительно Каждый проект должен быть оценен Результаты оценки должны быть максимально легитимными Операторы считают, что после аттестационных испытаний они не смогут вносить изменения в информационную систему Использование интеграторами опыта проведения ОБЯЗАТЕЛЬНОЙ аттестации применительно к ИСПДн Фактически отсутствие разъяснений со стороны Федерального органа (ФСТЭК России) Отсутствие четких форм документов на ИСПДн и проведения аттестационных испытаний

Правовые основания добровольной аттестации ФСТЭК России является органом, устанавливающим требования и осуществляющим инспекционный контроль за выполнением требований безопасности в ИСПДн. Система добровольной сертификации «Система сертификации средств защиты информации по требованиям безопасности информации (РОСС RU БИ00) зарегистрирована в Федеральном агентстве по техническому регулированию и метрологии (Федеральном органе исполнительной власти по техническому регулированию) Гостехкомиссией РФ (ФСТЭК России). Порядок проведения оценки соответствия в виде добровольной аттестации установлен «Положением по аттестации ОИ по требованиям безопасности информации», утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации г.

Конкурентные преимущества аттестации ПреимуществоКак использовать и улучшить НАЛИЧИЕ регламентирующих документов Переработка или разъяснение положения по аттестации позволит повысить юридическую значимость и легитимность проводимой оценки Добровольность Позволяет Операторам и органам по аттестации устанавливать границы проводимой аттестации, требования и процедуры по аттестации (например, проверять дополнительно процессы обработки ПДн и их соответствие ФЗ-152). Необходимо установить возможные границы проводимой оценки и ограничения и допущения при проведении оценки Разработка документации ИСПДн Грамотно составленные технический паспорт, матрица доступа, описание технологических процессов обработки и защиты персональных данных не усложняют, а упрощают работу администраторов и сотрудников, отвечающих за безопасность

Как устранить недостатки аттестации? Четко обозначить: границы системы, требования к системе, критерии соответствия. Оформить это в виде Программы и методики испытаний Разработать корректные документы на ИСПДн: технический паспорт, матрицу доступа, описание технологических процессов обработки и защиты ПДн. В документах должны быть отражены характеристики, ВЛИЯЮЩИЕ на защищенность ПДн. Разработать и согласовать регламент внесения изменений в ИСПДн. Уведомление органа по аттестации обязательно только при изменении характеристик, влияющих на защищенность, и в результате которых ИСПДн не будет соответствовать требованиям Зафиксировать в материалах испытаний полученные свидетельства о соответствии с целью повторения аттестационных испытаний и оперативной оценки соответствия при внесении изменений

Идеи доклада Проекты по защите ПДн положительно сказываются на общем уровне информационной безопасности Организаций - Операторов Существующие неоднозначности в трактовках нормативных правовых актов не позволяют всем Операторам достигать соответствия требованиям регуляторов (90 % - организационные меры, 50 % - технические) Самой распространенной и легитимной формой оценки соответствия защиты ПДн является система аттестации объектов информатизации ФСТЭК России. Она не лишена недостатков, но в целом позволяет проводить объективные оценки соответствия

Заключение Спасибо за внимание Тесцов Алексей, Руководитель отдела управления проектами ЗАО «ДиалогНаука» Тел.: +7(495) доб. 165, Факс: +7(495) URL: