Комплайенс по ПДн Комплайенс по ПДн в условиях меняющегося в условиях меняющегося

законодательствазаконодательстваАндрей Тимошенко

Начальник отдела консалтинга

ПланПлан презентациипрезентации

• Подходы к защите ПДн: «под ключ» и

«риск-ориентированный»

• Законодательство в области защиты ПДн меняется, что делать?

• Опыт компании «Информзащита» в реализации проектов по защите ПДн

Сравнение подходов Сравнение подходов по защите ПДнпо защите ПДн

«Под ключ»

Высокая надежность

Высокие затраты

Большие сроки

Риск-ориентированный

Оптимальная надежность

Оптимальные затраты

Оптимальные сроки

Риск-ориентированный подход Риск-ориентированный подход к защите ПДнк защите ПДн

Влияние события

Вероятность событияНизкая Средняя Высокая

Сл

аб

ое

Ср

ед

нее

Си

льн

ое

Внеплановая проверка регулятора

Невыполнение предписания регулятора

Жалобы субъектов в РКН

1

2

2

3

3

4

6

6

9

Последствия отсутствияПоследствия отсутствияоценки рисковоценки рисков

•Репутационные потери

•Потеря клиентов

•Неэффективные траты

Санкции регуляторовСанкции регуляторов

• Штраф до 10 000 руб. (до 1 000 000 руб. при повторном нарушении в случае принятия поправок в КОАП РФ)

ст. 13.11 КОАП РФ: Нарушение установленного законом порядка сбора, хранения, использования и распространения персональных данных

• Штраф до 500 000 руб. и/или дисквалификация должностного лица до 3-х лет

ст. 19.5 КОАП РФ: Невыполнение в установленный срок законного предписания органа, осуществляющего государственный надзор (контроль)

Санкции регуляторовСанкции регуляторов• Штраф до 20 000 руб. и/или конфискация

несертифицированных средств и/или приостановление деятельности на срок до 90 суток

ст. 13.12 КОАП РФ: Нарушение правил защиты информации ст. 13.13 КОАП РФ: Незаконная деятельность в области защиты

информации

• Штраф от 4 000 до 5 000 руб. ст. 13.14 КОАП РФ: Разглашение информации, доступ к которой

ограничен федеральным законом

• Штраф от 3 000 до 5 000 руб. ст. 19.7 КОАП РФ: Непредставление или несвоевременное

представление уведомления об обработке персональных данных или иной информации по запросу

уполномоченного органа

Запросы регуляторовЗапросы регуляторов

Из недавнего письма РКН оператору ПДн:

«…представить… информацию о причинах непредставления сведений, предусмотренных ч.2. 1. ст. 25 Федерального закона».

Типовые ошибки операторовТиповые ошибки операторовОбследование

и анализ

Определение требований и рекомендации

Разработка ОРД

Отсутствие сформулированных целей или основания для обработки ПДн

Несоответствие целей, сроков обработки и набора обрабатываемых ПДн

Незнание и непонимание текущей ситуации в компании

Формальная модель угроз Отсутствие согласия на обработку

ПДн (передачу третьим лицам) Уведомление в РКН не соответствует

действительности

Типовые ошибки операторовТиповые ошибки операторов

Проектирование СЗИ

Внедрение СрЗИ

Оценка соответствия

Использование СКЗИ, не прошедших сертификацию ФСБ России

Использование СрЗИ, не прошедших процедуру оценки соответствия

Отсутствие описания СЗПДн

Отсутствие учета СрЗИ, носителей ПДн

Типовые проблемыТиповые проблемы

• Определение границ ИСПДн

• Эксплуатация ИСПДн разными компаниями и определение того, кто классифицирует данную ИСПДн

• Проблема удаления ПДн из ИСПДн

• Использование средств защиты, не прошедших процедуру оценки соответствия

• Защита каналов связи

• Меняющееся законодательство

Обработка рисковОбработка рисков

Передача риска

Снижение риска

Отказ от риска

Примеры:

Передача ответственности по защите канала связи оператору связи

Выполнение требований законодательства

Прекращение обработки части ПДн

Использование несертифицированных средств защиты

Принятие риска

Преимущества Преимущества риск-ориентированного подходариск-ориентированного подхода

Снижение затрат

Построение адекватной защиты ПДн

Упрощения контроля процесса обработки и защиты ПДн

Защита ПДн как средство достижения целей бизнеса

Увеличение конкурентоспособности

Что делать в первую очередь?Что делать в первую очередь?• Понять, что происходит в компании в части ПДн

(анализ высокоуровневых бизнес-рисков, анализ операционных рисков)

• Определить GAP и первоочередные мероприятия на основе анализа рисков

• Начать выполнять первоочередные мероприятия и подать уведомление в РКН

Что во вторую очередь?Что во вторую очередь?• Разработать и внедрить ОРД по ПДн (Политика,

Положения, Регламенты, Инструкции, типовые формы согласий, положений договоров и т.д.)

• Подготовить сотрудников, запустить соответствующие процессы (сбор согласий, взаимодействие с субъектами и др.)

• Скорректировать процессы обработки ПДн и ее обеспечения (скорректировать цели обработки, скорректировать перечни обрабатываемых ПДн для каждой цели обработки, скорректировать сроки обработки и др.)

Действующие НПАДействующие НПА

152-ФЗ152-ФЗПП-781ПП-781 ПП-1119ПП-1119

Методика определения

актуальных угрозБазовая МУ

Методика определения

актуальных угрозБазовая МУ

Приказ ФСТЭК №58

Приказ ФСТЭК №58

Приказ «трёх» о классификации

ИСПДн

Приказ «трёх» о классификации

ИСПДн

Новый приказ ФСТЭК

Новый приказ ФСТЭК

?

Что нужно актуализироватьЧто нужно актуализироватьВ связи с вступлением в силу ПП1119 нужно актуализировать следующие документы:

• Модель угроз

• Классификация ИСПДн –> Определение уровней защищенности ПДн

• Комплект ОРД по ПДн (Политика в отношении обработки ПДн, Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн, Положение об обработке ПДн)

* Остальные изменения зависят от нового

документа ФСТЭК

ПрогнозыПрогнозы

Ослабление требований по техническим мерам защиты ПДн не планируется, при этом:

• Все, что было сделано ранее, в большинстве случаев было сделано не зря

• Усиление требований по техническим мерам защиты ПДн

• Необходимо ориентироваться на использование сертифицированных средств защиты

Статистика по отраслямСтатистика по отраслям

Типовые решения по защите ПДнТиповые решения по защите ПДн

МЭКонтинент

Trust AccessSSEP ПМЭCheck Point

Cisco FWSM, ASAStoneGate FW

PaloAlto

МЭКонтинент

Trust AccessSSEP ПМЭCheck Point

Cisco FWSM, ASAStoneGate FW

PaloAlto

IDS/IPSCheck Point IPS

Cisco IPSStoneGate IPS

IBM ISS ProventiaSSEP HIPS

IDS/IPSCheck Point IPS

Cisco IPSStoneGate IPS

IBM ISS ProventiaSSEP HIPS

Анализ защищенности

MaxPatrolXSpider

Анализ защищенности

MaxPatrolXSpider

Типовые решения по защите ПДнТиповые решения по защите ПДнМежсетевые экраны

АПКШ «Континент» (ООО «Код безопасности»)

Распределенный межсетевой экран TrustAccess (ООО «Код безопасности»)

Security Studio Endpoint Protection – ПМЭ (ООО «Код безопасности»)

Check Point Security Gateways (Check Point Software Technologies Inc.)

Cisco FWSM, ASA (Cisco Systems)

StoneGate Firewall (Stonesoft Corporation)

МЭ PaloAlto

Типовые решения по защите ПДнТиповые решения по защите ПДнСредства обнаружения вторжений

StoneGate IPS (Stonesoft)

Check Point IPS (Check Point Software Technologies Inc.)

Cisco IPS (Cisco Systems)

IBM ISS Proventia Network/Desktop/Server IPS/ADS (IBM)

Security Studio Endpoint Protection – HIPS (ООО «Код безопасности»)

Типовые решения по защите ПДнТиповые решения по защите ПДн

AVKasperskySymantec

SSEP АнтивирусTrend Micro

AVKasperskySymantec

SSEP АнтивирусTrend Micro

СКЗИАПКШ

«Континент»StoneGate SSL

ПАК ViPNet

СКЗИАПКШ

«Континент»StoneGate SSL

ПАК ViPNet

Анализ защищенности

MaxPatrolXSpider

Анализ защищенности

MaxPatrolXSpider

Защита от НСДSecret Net «Соболь»

vGate«Аккорд»

Защита от НСДSecret Net «Соболь»

vGate«Аккорд»

Типовые решения по защите ПДнТиповые решения по защите ПДн

Защита от НСД

Secret Net (ООО «Код безопасности»)

Электронный замок «Соболь» (ООО «Код безопасности»)

vGate (ООО «Код безопасности»)

Электронный замок «Аккорд» (ОКБ «САПР»)

Типовые решения по защите ПДнТиповые решения по защите ПДн

Средства защиты каналов связи

АПКШ «Континент» (ООО «Код безопасности»)

StoneGate SSL

ПАК ViPNet (ОАО «ИнфоТеКС)

Средства анализа защищенности

Maxpatrol (ЗАО «Позитив Текнолоджис»)

XSpider (ЗАО «Позитив Текнолоджис»)

Типовые решения по защите ПДнТиповые решения по защите ПДн

Антивирусы

Антивирусные продукты ЗАО «Лаборатория Касперского»

Антивирусные продукты ООО «Доктор Веб»

Антивирусные продукты Компании Trend Micro

Антивирусные продукты Компании Symantec

Security Studio Endpoint Protection – Антивирус (ООО «Код безопасности»)

Проверки РКНПроверки РКН

• Наши клиенты успешно проходят плановые и внеплановые проверки РКН

• Учебный центр «Информзащита» успешно прошел проверку РКН в 2011 г.

• Мы сопровождаем наших клиентов во время проверок регуляторов, оказываем консультационную помощь, помогаем оперативно устранять недостатки

РекомендацииРекомендации

• Внимательно оценивайте риски

• Читайте новости и блоги, чтобы следить за изменениями и тенденциями

• Выбирайте опытного и надежного консультанта

Группа компаний ИнформзащитаГруппа компаний ИнформзащитаГруппа компаний «Информзащита» специализируется в области обеспечения безопасности информационных систем и более 17 лет является лидером российского рынка ИБ.

На сегодняшний день в группу «Информзащита» входит шесть компаний:

системный интегратор «Информзащита»

«Код безопасности»

TrustVerse

«Национальный аттестационный центр»

Учебный центр «Информзащита»

SafeLine

Лицензии и сертификатыЛицензии и сертификаты

Свою деятельность компании группы «Информзащита»

осуществляют на основании:

Лицензии Федеральной службы по техническому и экспортному контролю

Лицензии Федеральной службы безопасности

Лицензий Федерального агентства правительственной связи и информации при Президенте РФ

Департамента образования

ПерсоналПерсонал• Более 550 сотрудников, высокая квалификация которых подтверждена

сертификатами в области информационной безопасности

• Более 70 специалистов по проектированию и внедрению конкретных продуктов: Imperva, WebSense, ArcSight, Cisco ASA, Cisco IDS/IPS, ChekcPoint VPN, StoneGate FW/IDS и т.д.

• Свыше 40 специалистов по безопасной настройке ОС (Win, Unix, Linux, FreeBSD, AIX, Solaris и т.д.), СУБД (Oracle, MSSQL, DB2, PostreSQL и т.д.), сетевого оборудования (Cisco, CheckPoint, StoneSoft и т.д.)

• Свыше 30 специалистов по аудиту на соответствие распространенным стандартам в области ИБ: ISO 27001:2005, СТО БР, PCI DSS, PA DSS, ФЗ-152

• Выделенный отдел по анализу защищенности: тесты на проникновение, анализ защищенности периметра, анализ прикладного ПО (WEB сайты, системы клиент-банк, ДБО), сканирование уязвимостей

• Выделенная техническая поддержка в режиме 24х7 по продуктам и выполненным работам компании

• Профессиональные педагоги в УЦ

Решения зарубежных Решения зарубежных вендороввендоров

A u t h o r i z e d R e s e l l e r

P r e m i e r P a r t n e r

PartnerWorld Developer

+7(495) 980-2345 a.timoshenko@infosec.ru

Начальник отдела консалтингаАндрей Тимошенко