Максим Эмм, MBA, CISA, CISSP, QSA Директор департамента аудита ЗАО НИП «Информзащита» Приведение в соответствие ФЗ 152: Компромисс между затратами, безопасностью. - презентация

1 Максим Эмм, MBA, CISA, CISSP, QSA Директор департамента аудита ЗАО НИП «Информзащита» Приведение в соответствие ФЗ 152: Компромисс между затратами, безопасностью и соответствием законодательству

2 Основные законодательные и нормативные правовые акты Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28 января 1981 г. EST 108 Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28 января 1981 г. EST 108 Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе

3 Принципы обработки персональных данных: 1) законность целей и способов обработки персональных данных и добросовестность; 2) соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; 3) соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; 4) достоверность персональных данных, их достаточность для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. Нормативные правовые акты Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных»

4 Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Постановление Правительства от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных » Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных » Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Постановление Правительства от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных » Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных » 4 Нормативные правовые акты

5 Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (прошел государственную регистрацию 28 января 2010 г ) Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (прошел государственную регистрацию 28 января 2010 г ) Приказ Министерства связи и массовых коммуникаций РФ от 30 января 2010 г. 18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (прошел государственную регистрацию 24 марта 2010 г ) Приказ Министерства связи и массовых коммуникаций РФ от 30 января 2010 г. 18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (прошел государственную регистрацию 24 марта 2010 г ) 5 Нормативные правовые акты

6 Организация взаимодействия при защите прав субъектов персональных данных ФСБ России ФСТЭК России МВД России Роскомнадзор права и законные интересы граждан Генеральная прокуратура РФ

7 ОСНОВНЫЕ ИТОГИ ДЕЯТЕЛЬНОСТИ (РОСКОМНАДЗОР) С момента возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных проведено 1327 проверок в области персональных данных, из них: плановые проверки – 886 плановые проверки – 886 внеплановые проверки – 441 внеплановые проверки – 441 Результат: устранено свыше 3000 нарушений в области персональных данных выдано предписаний составлено протокола об АП взыскано штрафов на сумму более 2,1 млн. руб.

8 Динамика поступления обращений в Уполномоченный орган Жалобы на действия операторов Поступило обращений

9 360 (28 %) даны разъяснения даны разъяснения положений ФЗ положений ФЗ 936 (72 %) – жалобы, из них: 456 (48 %) факт нарушений не установлен не установлен 338 (36%) материалы направлены в прокуратуру 142 (16 %) находятся на рассмотрении находятся на рассмотрении в 2010 году в Уполномоченный орган поступило обращений от физических и юридических лиц, из них: Результаты рассмотрения обращений

10 Насколько это серьезно?

11 Контроль и надзор

12 12 Последствия Роскомнадзор вправе (часть 3 статьи 23 федерального закона «О персональных данных»): принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований закона; направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке. Роскомнадзор обязан принимать в установленном законодательством порядке по представлению ФСБ или ФСТЭК меры по приостановлению или прекращению обработки персональных данных (часть 5 статьи 23 федерального закона «О персональных данных»).

13 Проанализировать все эксплуатируемые информационные системы и традиционные хранилища данных, выявить все, где присутствуют и обрабатываются персданные. ШАГ 1: ИНВЕНТАРИЗАЦИЯ РЕСУРСОВ

14 ШАГ 2: ФОРМИРОВАНИЕ ПЕРЕЧНЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ФЗ «О персональных данных» Статья 9. Письменное согласие субъекта персданных на обработку своих персональных данных должно включать в себя …перечень персональных данных, на обработку которых дается согласие субъекта Статья 14. Субъект персданных имеет право на получение … информации, касающейся обработки его персданных, в том числе содержащей … перечень обрабатываемых персданных и источник их получения

15 Личная карточка работника УФ Т-2 Утверждена Постановлением Госкомстата России от Фамилия, имя, отчество Дата и место рождения Гражданство ИНН Номер свидетельства государственного пенсионного страхования Пол Знание иностранного языка Образование Профессия Состояние в браке Состав семьи Номер паспорта, дата и место его выдачи Место жительства и дата регистрации Сведения о воинском учете Дополнительные сведения

16 Определить и зафиксировать документально предельные сроки хранения персональных данных после расторжения (прекращения) договора с работником, контрагентом, исходя из сроков, определенных требованиями законодательства: гражданского трудового пенсионного о безопасности и правоохранительной деятельности ШАГ 3: УСТАНОВЛЕНИЕ СРОКОВ ОБРАБОТКИ ПЕРСДАННЫХ а также сроков исковой давности

17 Перечень персональных данных, обрабатываемых в _______________ Утверждаю Руководитель______________ ________ Дата утверждения пп Основания для обработки Содержание сведенийСрок хранения, условия прекращения обработки 1Глава 14 Трудового кодекса Фамилия, имя, отчество Дата и место рождения Гражданство ИНН Номер свидетельства государственного пенсионного страхования … Др. сведения унифицированной формы Т-2 75 лет

18 Пересмотреть договора с собственными работниками, клиентами и контрагентами в части обработки персональных данных и, особенно, их распространения (передачи) и защиты ШАГ 4: ПЕРЕСМОТР ДОГОВОРОВ

19 Оценить наличие предусмотренных законом оснований для обработки персональных данных, в случаях, когда они отсутствуют – получить согласие субъекта. Особые вопросы: передача персональных данных третьим лицам (выдача справок, содержащих персданные, информирование, добровольное страхование, бронирование билетов, заказ гостиниц для персонала и т.п.) обработка персданных работников контрагентов ШАГ 5: СОГЛАСИЕ СУБЪЕКТОВ НА ОБРАБОТКУ

20 Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора ШАГ 5: СОГЛАСИЕ СУБЪЕКТОВ НА ОБРАБОТКУ

21 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя … учет лиц, допущенных к работе с персональными данными в информационной системе 14. Лица, доступ которых к персданным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персданным на основании списка, утвержденного оператором или уполномоченным лицом. ШАГ 6: ОГРАНИЧЕНИЕ ДОСТУПА РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн

22 ШАГ 7: ДОКУМЕНТАЛЬНАЯ РЕГЛАМЕНТАЦИЯ РАБОТЫ С ПЕРСДАННЫМИ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

23 г. Заместителем директора ФСТЭК России утверждены: Базовая модель угроз безопасности ПД при их обработке в ИСПД Методика определения актуальных угроз безопасности ПД при их обработке в ИСПД ШАГ 8: ФОРМИРОВАНИЕ МОДЕЛИ УГРОЗ ПЕРСДАННЫМ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИС включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз

24 Актуализация угроз: Полномочия, но не произвол оператора Необходимость следования методологии регуляторов и установленным критериям актуализации Необходимость принятия мер по нейтрализации актуальных угроз ШАГ 8: ФОРМИРОВАНИЕ МОДЕЛИ УГРОЗ ПЕРСДАННЫМ

25 На основе исходных данных, указанных в акте классификации и актуализированной модели угроз определяются: механизмы безопасности, которые должны быть реализованы в системе защиты конкретные требования к функциональности этих механизмов ШАГ 8: ФОРМИРОВАНИЕ МОДЕЛИ УГРОЗ ПЕРСДАННЫМ

26 ШАГ 9: КЛАССИФИКАЦИЯ ИСПДн Приказ ФСТЭК/ФСБ/Мининформсвязи от /86/20 «Об утверждении порядка проведения классификации ИСПДн» 15. Класс типовой информационной системы определяется в соответствии с таблицей. Х ПДН Х ПД 321 категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1

27 ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ

28

29

30 Персданные, обрабатываемые без уведомления 1) относящиеся к субъектам персданных, которых связывают с оператором трудовые отношения 2) полученные оператором в связи с заключением договора, стороной которого является субъект персданных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом Представление персданных работников третьим лицам Обработка персданных работников контрагентов- юридических лиц ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ

31 Составлено и направлено в суды 54 протокола об административных правонарушениях. Выявленные правонарушения были классифицированы по статье 19.7 КоАП РФ, предусматривающую административную ответственность по следующим основаниям: непредставление или несвоевременное представление в Уполномоченный орган уведомления об обработке персональных данных; непредставление либо несвоевременное представление информации на запрос Уполномоченного органа непредставление сведений об изменении информации, содержащейся в уведомлении ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ

32 ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персданных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ

33 г. Заместителем директора ФСТЭК России утверждены: Базовая модель угроз безопасности ПД при их обработке в ИСПД Методика определения актуальных угроз безопасности ПД при их обработке в ИСПД г. приказом директора ФСТЭК 58 утверждено Положение о методах и способах защиты информации в информационных системах персональных данных Зарегистрирован в Минюсте РФ Опубликован в «Российской газете» г. ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ

34 г. руководством 8 Центра ФСБ России утверждены: Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащих сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ

35 Мероприятия по защите: технически сложные требуют: высокой квалификации исполнителей специальных знаний глубокого понимания функциональности: приложений, обрабатывающих персональные данные средств защиты информации, необходимых для нейтрализации актуальных угроз персональным данным ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ

36 Минимизация затрат на создание систем безопасности ИСПДн: максимальное использование возможностей уже имеющихся в КИС средств безопасности, а также ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах ФСТЭК и ФСБ четкое определение границ ИСПДн принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ

37 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: з) контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн… ШАГ 12: ОРГАНИЗАЦИЯ ЭКСПЛУАТАЦИИ ИСПДн И КОНТРОЛЯ ЗА БЕЗОПАСНОСТЬЮ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн

38 ШагБезопаснос ть ЗатратыComplia nce 1 Инвентаризация ресурсов 2 Формирование перечня персональных данных 3 Установление сроков обработки персданных 4 Пересмотр договоров 5 Согласие субъектов на обработку 6 Ограничение доступа работников к персональным данным 7 Документальная регламентация работы с персданными 8 Формирование модели угроз персданным 9 Классификация ИСПДН 10 Составление и направление в уполномоченный орган уведомления 11 Приведение системы защиты персданных в соответствии с требованиями регуляторов 12 Организация эксплуатации ИСПДН и контроля за безопасностью

39 План «Минимизация затрат» Шаг 1 Инвентаризация ресурсов 2 Формирование перечня персональных данных 3 Установление сроков обработки персданных 4 Пересмотр договоров 5 Согласие субъектов на обработку 6 Ограничение доступа работников к персональным данным 7 Документальная регламентация работы с персданными 8 Формирование модели угроз персданным 9 Классификация ИСПДН 10 Составление и направление в уполномоченный орган уведомления 11 Приведение системы защиты персданных в соответствии с требованиями регуляторов 12 Организация эксплуатации ИСПДН и контроля за безопасностью

40 План «Минимизация рисков регуляторов» Шаг 1 Инвентаризация ресурсов 2 Формирование перечня персональных данных 3 Установление сроков обработки персданных 4 Пересмотр договоров 5 Согласие субъектов на обработку 6 Ограничение доступа работников к персональным данным 7 Документальная регламентация работы с персданными 8 Формирование модели угроз персданным 9 Классификация ИСПДН 10 Составление и направление в уполномоченный орган уведомления 11 Приведение системы защиты персданных в соответствии с требованиями регуляторов, только сертифицированные СЗИ 12 Организация эксплуатации ИСПДН и контроля за безопасностью

41 План «Минимизация рисков ИБ» Шаг 1 Инвентаризация ресурсов 2 Формирование перечня персональных данных 3 Установление сроков обработки персданных 4 Пересмотр договоров 5 Согласие субъектов на обработку 6 Ограничение доступа работников к персональным данным 7 Документальная регламентация работы с персданными 8 Формирование модели угроз персданным 9 Классификация ИСПДН 10 Составление и направление в уполномоченный орган уведомления 11 Приведение системы защиты персданных в соответствии с требованиями регуляторов 12 Организация эксплуатации ИСПДН и контроля за безопасностью

42 План «Сбалансированный» Шаг 1 Инвентаризация ресурсов 2 Формирование перечня персональных данных 3 Установление сроков обработки персданных 4 Пересмотр договоров 5 Согласие субъектов на обработку 6 Ограничение доступа работников к персональным данным 7 Документальная регламентация работы с персданными 8 Формирование модели угроз персданным 9 Классификация ИСПДН 10 Составление и направление в уполномоченный орган уведомления 11 Приведение системы защиты персданных в соответствии с требованиями регуляторов, встроенные механизмы защиты и несертифицированные СЗИ 12 Организация эксплуатации ИСПДН и контроля за безопасностью

43 Основные способы оптимизации затрат на соответствие ФЗ 152 Ограничение объема и сроков хранения ПД Обезличивание ПД и раздельное хранение Централизация обработки ПД Использование встроенных механизмов защиты Объединение ИСПДН

44 (495) Максим Эмм Директор департамента аудита ВОПРОСЫ ?