Мастер-класс по ПДн

Прозоров Андрей

2014-04

Почему я?

Теоретик

Участник рабочих

групп Практик

20+ проектов по ПДн 6 лет опыта по ПДн (консалтинг)

80na20.blogspot.com Обучение в ГНИИИ ПТЗИ

-ФСТЭК России -Минздрав России -СФ …

Особенности требований по ПДн

• Их много, ОЧЕНЬ много… • Часто обновляются, причем существенно • Требования плохо структурированы, часто

дублируют друг друга, многие области «не закрыты», написаны слишком сложно. Кто целевая аудитория?

• Мало рекомендаций, но есть (РКН, ФСТЭК России)

• Мало шаблонов и кейсов, но есть отраслевые (обычно не актуальные)

Вопросы мастер-класса

• Новые требования по ПДн. На что обратить внимание? – Проект правок 152-ФЗ – Проект правок в КоАП (по ПДн) – Приказ ФСТЭК Росси №21, №17, методические

рекомендации – Позиция РКН – Требования РКН по обезличиванию – Проект приказа ФСБ России – ПДн и ЦБ РФ

• 15 простых, но важных рекомендаций по обработке и защите ПДн

Почти регламент

1. Информации будет много, успеем обсудить не все. Слайды с текстом, можете посмотреть отдельно…

2. Это мастер-класс, хотелось бы услышать кроме вопросов и ваш опыт (проблемы и решения)

3. Про какие-то совсем простые и банальные требования много рассказывать бы не хотелось, но слайды есть

4. Про конкретные СЗИ, сертификацию и аттестацию будет мало… Про требования, документы, оргмеры будет много

Про вопросы

Короткие вопросы можно задавать по ходу презентации

+ после крупных блоков информации я буду делать небольшие паузы и задавать вопросы сам

Часть 1. Новые требования по ПДн. На что обратить внимание?

Про обновления 152-ФЗ

• Сейчас актуальна 12 версия 152-ФЗ • Важнейшее обновление от 25.07.2011:

– Появилась статья 18.1 (меры) • Оценка вреда субъекту ПДн • Политика в области обработки ПДн • …

– Существенные правки в ст.19 (меры по безопасности) • Технические меры в законе • Уровни защищенности ПДн (вместо классов ИСПДн)… • МУ отраслевые… • …

• В конце 2012 вышло ПП1119 Они и «поломали»

все подходы по защите ПДн

Другие требования по ПДн

• Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

• Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

• Постановление Правительства РФ от 06.07.2008 N 512 (ред. от 27.12.2012) "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных«

• ТК РФ гл14 «Защита ПДн работника» (ст.85-90)

ПДн в гос.органах

• ФЗ от 27.07.2004 N 79-ФЗ (ред. от 02.04.2014) "О государственной гражданской службе РФ" (гл.7. ПДн гражданского служащего)

• ФЗ от 02.03.2007 N 25-ФЗ (ред. от 04.03.2014) "О муниципальной службе в РФ" (ст.29. ПДн муниципального служащего)

• ФЗ от 27.05.2003 N 58-ФЗ (ред. от 02.07.2013) "О системе государственной службы РФ" (ст.14 … ПДн государственных служащих)

• Указ Президента РФ от 30.05.2005 N 609 (ред. от 23.10.2008) "Об утверждении Положения о ПДн государственного гражданского служащего РФ и ведении его личного дела"

• Постановление Правительства РФ от 21.03.2012 N 211 (ред. от 20.07.2013) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О ПДн" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"

УЗ ПДн по ПП1119

ИСПДн-С специальные

ИСПДн-Б биометрические

ИСПДн-И иные

ИСПДн-О общедоступные

ПДн сотрудников оператора или ПДн менее чем 100 000 субъектов, не являющихся сотрудниками оператора

АУ 3 типа (без НДВ)

3 3 4 4

АУ 2 типа (НДВ ПО)

2 2 3 3

АУ 1 типа (НДВ ОС)

1 1 1 2

ПДн более чем 100 000 субъектов, не являющихся сотрудниками оператора

АУ 3 типа (без НДВ)

2 3 3 4

АУ 2 типа (НДВ ПО)

1 2 2 2

АУ 1 типа (НДВ ОС)

1 1 1 2

Требования ПП1119 Требования 1 2 3 4

1.Контроль доступа в помещения Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения

+ + + +

2.Безопасность носителей Обеспечение сохранности носителей ПДн

+ + + +

3.Перечень лиц, допущенных к обработке ПДн Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей

+ + + +

4.«Сертифицированные» СЗИ Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

+ + + +

5.Назначение ответственного за безопасность ПДн Назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИС

+ + + -

6.Контроль доступа к эл.журналу сообщений Обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей

+ + - -

7.Автоматическая регистрация в эл.журнале безопасности Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС

+ - - -

8.Создание структурного подразделения Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИС, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

+ - - -

9.Регулярный контроль за выполнением требований Самостоятельно или с привлечением лицензиата по ТЗКИ. Не реже 1 раза в 3 года

+ + + +

Законопроект по ПДн

• Законопроект №416052-6 о внесении изменений в 152-ФЗ и ст.28.3 КоАП

• Декабрь 2013

• Члены Совета Федерации В.И.Матвиенко, Р.У.Гаттаров, А.А.Клишас, Л.Н.Бокова, Ю.В.Шамков, К.Э.Добрынин

• Депутаты Государственной Думы Д.Ф.Вяткин, З.А.Муцоев

• Текст и подробности - http://bit.ly/1hwCsN8

Что ожидаем от закона по ПДн1

1. Понятие «обработчик» (лицо, осуществляющее обработку ПДн по поручению оператора). Обработчик не обязан дополнительно получать согласие субъекта ПДн

2. Не требуется защищать конфиденциальность общедоступных и обезличенных ПДн

3. Конкретнее про биометрические ПДн (автоматическая идентификация субъекта)

4. Возможность получение согласия дистанционно

5. Конкретнее про трансграничную передачу

Что ожидаем от закона по ПДн2

6. Чуть больше внимания гос.органам (расширен их перечень в ст.18.1 п.3),

7. Упрощение мер защиты (п.19) («может достигаться» вместо «достигается»)

8. Операторы могут сами определять угрозы ПДн до выхода документов регуляторов (ст.19.5)

9. Уведомление РКН об утечках ПДн («факт неправомерного раскрытия»)

10. +? РКН предоставляется право на возбуждение дел по КоАП ст.13.11 (ПДн)

Штрафы сейчас

• Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

• Для юр.лиц штраф 5 000-10 000 рублей

Правки в КоАП по ПДн (проект)

ID: 00/03-10560/12-13/4-13-4

Увеличение штрафов (юр.лица): • Обработка ПДн с нарушением требований к

содержанию согласия субъектов ПДн - 15 000 - 50 000 рублей

• Обработка ПДн без согласия субъектов ПДн (если оно нужно) - 30 000 - 50 000 рублей

• Незаконная обработка специальных категорий ПДн (в случаях, не предусмотренных законодательством РФ) - 150 000 - 300 000 рублей

Новые статьи КоАП по ПДн (проект)1

Статья 13.11.2. Непредставление оператором информации и (или) доступа к сведениям, предусмотренных законодательством РФ о ПДн.

• Необеспечение неограниченного доступа к политике в области ПДн и сведениях о реализуемых мерах защиты - 15 000 - 30 000 рублей

• Непредоставление субъекту ПДн информации, касающейся обработки его ПДн - 20 000 - 40 000 рублей

Новые статьи КоАП по ПДн (проект)2

Статья 13.11.3. Несоблюдение требований законодательства РФ о ПДн по обеспечению безопасности ПДн. • Невыполнение обязанностей по соблюдению условий,

обеспечивающих сохранность ПДн при хранении материальных носителей, если с ПДн произошел инцидент (при отсутствии признаков уголовно наказуемого деяния) - 25 000 - 50 000 рублей

• Невыполнение обязанностей по защите ПДн при автоматизированной обработке если с ПДн произошел инцидент (при отсутствии признаков уголовно наказуемого деяния) - 100 000 - 200 000 рублей

• Инциденты с ПДн в государственных и муниципальных учреждениях - штраф на должностное лицо в размере 30 000 - 50 000 рублей

А теперь большой блок про ФСТЭК России

Изменение подхода по защите ПДн

4-книжие ФСТЭК (2008)

Приказ 58 (2010)

ПП1119 (2012) +

Приказ 21 (2013)

…

Новый подход ФСТЭК России

Приказ 21 2013

Приказ 17 2013

Проект Приказа по

АСУ ТП

Меры защиты информации в государственных информационных системах 2014

Отличия в наборе мер1

• Меры по АСУ ТП включают в себя все меры 17 и 21 приказов + новые

• Новые группы (есть только для АСУ ТП): – XIV. Обеспечение безопасной разработки прикладного

(специального) программного обеспечения разработчиком (ОБР)

– XV. Управление обновлениями программного обеспечения (ОПО)

– XVI. Планирование мероприятий по обеспечению защиты информации (ПЛН)

– XVII. Обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС)

– XVIII. Информирование и обучение пользователей (ИПО) – XIX. Анализ угроз безопасности информации и рисков от

их реализации (УБИ)

Отличия в наборе мер2

• В АСУ ТП есть меры ХХХ.0 «Разработка правил и процедур (политик) …» для каждой группы

• Новая мера: – УКФ.5 Регламентация и контроль технического

обслуживания, в том числе дистанционного (удаленного), технических средств и программного обеспечения автоматизированной системы управления

• Группы мер, которые есть в Приказе 21, но нет в 17 (прописаны в тексте Приказа 17): – XX. Выявление инцидентов и реагирование на них (ИНЦ) – XXI. Управление конфигурацией автоматизированной

системы управления и ее системы защиты (УКФ)

• Меры, которые есть в Приказе 17, но нет в 21: – ИАФ.7, РСБ.8, ОДТ.6, ОДТ.7, ЗИС 21-30

Общая таблица мер - bit.ly/1iHgGTc Имеет смысл ориентироваться на расширенный набор…

Отличия по тексту (21 и 17)

• В Приказе 17 много мер и требований прописано в тексте документа, в т.ч. и аттестация

• В Приказе 21 можно отказаться от мер с учетом «экономической целесообразности». В Приказе 17 этого нет.

• В Приказе 17 есть обязательное требование про оценку достаточности и адекватности компенсирующих мер при аттестационных испытаниях

Приказ 21

• Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрировано в Минюсте России 14.05.2013 N 28375)

Приказ 21. На что обратить внимание

1. Приказ ФСТЭК России от 5 февраля 2010 №58 официально утратил силу

2. Изменился подход к выбору мер защиты* 3. Существенно изменился перечень мер защиты* 4. Появились дополнительные меры, направленные

на снижение актуальных угроз к 1 и 2 типа (НДВ)* 5. Классы сертифицированных СЗИ привязали к УЗ* 6. Появилось требование по регулярной (1 раз в 3

года) оценке эффективности реализованных мер 7. Прописана возможность привлечения

лицензиатов ФСТЭК для выполнения работ по обеспечению безопасности ПДн и (или) оценки эффективности реализованных мер

* - см.далее

Процедура выбора мер

Классификация ИСПДн + МУ -> Требования

МУ (тип угроз) -> Оценка уровня защищенности ПДн -> Базовый набор мер -> Адаптация* мер (+/-) -> МУ

-> Уточнение* перечня -> Дополнение набора мер (иные правовые акты)

* - При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

Было:

Стало:

Меры защиты1

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) II. Управление доступом субъектов доступа к объектам доступа (УПД) III. Ограничение программной среды (ОПС) IV. Защита машинных носителей персональных данных (ЗНИ) V. Регистрация событий безопасности (РСБ) VI. Антивирусная защита (АВЗ) VII. Обнаружение вторжений (СОВ) VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) X. Обеспечение доступности персональных данных (ОДТ) XI. Защита среды виртуализации (ЗСВ) XII. Защита технических средств (ЗТС) XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) XIV. Выявление инцидентов и реагирование на них (ИНЦ) XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

Меры защиты2

Всего мер - 109 Базовых мер для УЗ 4 - 27 Базовых мер для УЗ 3 - 41 Базовых мер для УЗ 2 - 63 Базовых мер для УЗ 1 - 69 Всего дополнительных (компенсирующих) мер - 40

Доп.меры при АУ 1 и 2 типа

Дополнительно МОГУТ применяться следующие меры: • проверка системного и (или) прикладного

программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых

• тестирование информационной системы на проникновения

• использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования

Серт. СЗИ по Приказу 21

Уровни защищенности ПДн

1 2 3 4

СВТ 5+ 5+ 5+ 6+

СОВ 4+ 4+ 4+/5+ 5+

АВЗ 4+ 4+ 4+/5+ 5+

МСЭ 3+/4+ 3+/4+ 3+/4+ 5

НДВ 4+ 4+ -/4+, если АУ2

-

+ - не ниже / - при взаимодействии с ИТ-сетями международного обмена или АУ 2 типа

+/- Приказа 21

• Довольно адекватный документ

• Меры можно выбирать исходя из своих нужд и бюджета

• Методические рекомендации* по ГосИС «разъясняют» меры Приказа 21. Но усложняется их понимание и выбор…

• Нет примеров, профилей

* - об этом далее

Приказ 17

• Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608)

Приказ 17. На что обратить внимание

1. Область действия документа* 2. Обязательное использование сертифицированных

СЗИ, а не «прошедших оценку соответствия» 3. Необходимость аттестации ИС 4. Много внешних ссылок на ГОСТы, в т.ч 27001 5. Можно использовать вместо Приказа 21* 6. Возможность аутсорсинга ИБ 7. Меры защиты есть в тексте и в таблице 8. Есть про классы сертифицированных СЗИ* 9. Меры из таблицы раскрыты в «Методических

рекомендациях…»* 10. На мой взгляд, требования завышены, выполнить их

сложно

* - см.далее

Область действия документа

• Настоящие Требования являются обязательными при обработке информации в ГосИС, функционирующих на территории РФ, а также в муниципальных ИС, если иное не установлено законодательством РФ о местном самоуправлении

• По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных ИС

• Настоящие Требования не распространяются на ГосИС Администрации Президента РФ, Совета Безопасности РФ, Федерального Собрания РФ, Правительства РФ, Конституционного Суда РФ, Верховного Суда РФ, Высшего Арбитражного Суда РФ и ФСБ России.

Что такое ГосИС?

• 149-ФЗ ст.13: Информационные системы включают в себя: 1) ГосИС - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов 2) муниципальные ИС, созданные на основании решения органа местного самоуправления 3) иные ИС

• 149-ФЗ Ст.14: ГосИС создаются в целях реализации полномочий гос.органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Реестр ГосИС и тенденции

• Реестр ГосИС (330+) – rkn.gov.ru/it/register Еще один реестр (360+) –www.365.minsvyaz.ru/prt/Cards/ServiceCard.aspx?Id=11

СТР-К не отменен, но государственным организациям

крайне рекомендуется ориентироваться на Приказ 17 для

защиты своей информации

Защита ПДн по Приказу 17

• При обработке в ГосИС информации, содержащей ПДн, настоящие Требования применяются наряду с ПП 1119

1 класс ИС 1,2,3,4 УЗ ПДн

2 класс ИС 2,3,4 УЗ ПДн

3 класс ИС 3,4 УЗ ПДн

4 класс ИС 4 УЗ ПДн

Класс защищенности ИС

Уровень значимости

информации

Масштаб ИС

Федеральный Региональный Объектовый

УЗ 1 К1 К1 К1 УЗ 2 К1 К2 К2 УЗ 3 К2 К3 К3 УЗ 4 К3 К3 К4

УЗ = *(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)+

Серт. СЗИ по Приказу 17

Классы защищенности ИС

1 2 3 4

СВТ 5+ 5+ 5+ 5+

СОВ 4+ 4+ 4+/5+ 5+

АВЗ 4+ 4+ 4+/5+ 5+

МСЭ 3+/4+ 3+/4+ 3+/4+ 4+

НДВ 4+ 4+ - -

+ - не ниже / - при взаимодействии с ИТ-сетями международного обмена / без

Рекомендации для ГосИС

Методический документ ФСТЭК России "Меры защиты информации в государственных информационных системах" (от 11.02.2014)

Про рекомендации для ГосИС1

1. Ориентируйтесь на них и при защите ПДн

2. Рекомендаций много, очень много. Слишком сложный и неудобный. Для кого он написан? 176 страниц…

3. Основные эксперты-разработчики: сотрудники интеграторов и производителей СЗИ. «Бизнеса» практически не было

4. Многие требования можно «закрыть» настройкой существующих средств обработки и защиты

5. Много дублированной информации из Приказа 17 6. Орг.и тех. меры «намешаны» в кучу, сложно выбрать,

что можно сделать без покупки новых СЗИ 7. Нет рекомендаций по мерам защиты из текстовой

части Приказа 17 и некоторым мерам из Приказа 21 и проекта по АСУ ТП (обещают регулярно пересматривать)

8. Нет связи мер и угроз 9. Нет информации про «целям и задачам защиты

информации», нет связи с мерами 10.Нет перечня ОРД 11.Нет приоритетов по выбору мер

Про рекомендации для ГосИС2

Мое мнение

• Без «рекомендаций» было бы проще выбирать и обосновывать меры защиты для ПДн и ГосИС

• Документ полезен интеграторам и производителям СЗИ, а не Операторам

Другое про ФСТЭК России

• Приказ N 55/86/20 о классификации ИСПДн официально утратил силу

• Готовится новая методика определения актуальных угроз (для всех типов информации)

• Подготовлен проект «Рекомендации по обновлению сертифицированных СЗИ»

• Готовятся документы по защите среды виртуализации и облачных вычислений

• …

А теперь большой блок про РКН

Отчеты РКН

• РКН регулярно отчитывается о своей деятельности

• Последний отчет за 2012 год

• Все отчеты тут - http://rkn.gov.ru/personal-data/reports

• Кстати, РКН уже 4 раза организовывал Международную конференцию «Защита ПДн»

Регламент проверок РКН

• Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Минкомсвязи России от 14.11.2011 N 312

+п.67 (перечень запрашиваемых документов)

Из отчетов РКН

• Более 70 % запланированных проверок проводилось в отношении Операторов, зарегистрированных в Реестре РКН

• РКН отслеживает утечки ПДн

• В 2012 году проведено 874 плановых и 663 внеплановых проверки

• Выдано 1370 предписаний об устранении нарушений, 45% проверок выявили нарушения требований по ПДн

Обращения граждан в РКН

Операторы в реестре

В реестре 294 569 операторов

http://rkn.gov.ru/personal-data/register

Новость от 7 апреля 2014 года - http://rkn.gov.ru/news/rsoc/news24799.htm

«Вниманию операторов, осуществляющих обработку персональных данных: остерегайтесь мошеннических псевдо-реестров!»

www.pdn2.com - мошенники

Мошенничество с реестром

!!! Основные нарушения

• Нарушение требований конфиденциальности при обработке ПДн

• Несоответствие содержания письменного согласия субъекта на обработку его ПДн требованиям 152-ФЗ или отсутствие необходимого согласия

• Нарушение положений ПП № 687 • Представление в уполномоченный орган уведомления об

обработке ПДн, содержащего неполные и (или) недостоверные сведения

• Отсутствие в поручении лицу, которому оператором поручается обработка ПДн, обязанности соблюдения конфиденциальности ПДн и обеспечения их безопасности

РКН отслеживает утечки ПДн

Распределение утечек

Отчеты InfoWatch: www.infowatch.ru/analytics/reports

Разъяснения РКН №1

• Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве (14.12.2012) http://rkn.gov.ru/news/rsoc/news17877.htm

Важные выводы1

• Согласие работника и гос.служащего на обработку ПДн не требуется*

• Не нужно согласие родственников, если объем собираемых данных не превышает форму Т2 (Состав семьи: ФИО, степень родства, год рождения) или если установлено законодательством (про алименты, допуск к ГТ, оформление соц.выплат)

• Передача ПДн третьим лицам возможна без согласия субъекта при наличии оснований, установленных законодательством

Важные выводы2

• Требуется согласие работника при аутсорсинге бухгалтерии

• Не требуется согласие уволенных работников на обработку их ПДн для целей налогового и бухгалтерского учета

• Требуется согласие соискателей на замещение вакантных должностей

Разъяснения РКН №2

• Вопросы отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим ПДн и особенности их обработки (30.08.2013) - http://rkn.gov.ru/news/rsoc/news21529.htm

Разъяснения по биометрическим ПДн

• К биометрическим ПДн относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые:

1. позволяют установить его личность

2. и используются оператором для установления личности субъекта

Важные выводы

• Ориентируемся на цель обработки!!! – Фото в СКУД - БПДн -> нужно согласие

– Копии паспортов не БПДн

– Фото в личном деле и подписи сотрудников на документах не БПДн

– Рентгеновские и флюрографические снимки в мед.карте не БПДн. Но если их передают для установления личности, то становятся БПДн

– Видео-съемка на территории не БПДн пока нет цели идентифицировать человека

Мое мнение (сомнение)1…

• Не каждое фото-изображение является биометрическими ПДн. Они должны соответствовать определенным требованиям (например, ГОСТ Р ИСО/МЭК 19794-5-2006)

• А что делать с произведениями изобразительного искусства (портреты, шаржи, карикатуры), фотороботами, текстовым описанием людей…

Мое мнение (сомнение)2…

Странное свойство ПДн: могут быть и биометрическими и нет одновременно

Про перечень иностранных гос-в

• Приказ Роскомнадзора от 15.03.2013 N 274 "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных" (Зарегистрировано в Минюсте России 19.04.2013 N 28212) - ожидаем пересмотр

Перечень государств Австралия - Австралийский союз Аргентинская Республика Государство Израиль Канада Королевство Марокко Малайзия Мексиканские Соединенные Штаты Монголия Новая Зеландия Республика Ангола

Республика Бенин Республика Кабо-Верде Республика Корея Республика Перу Республика Сенегал Тунисская Республика Республика Чили Специальный административный район Гонконг Китайской Народной Республики Швейцарская Конфедерация

В перечне отсутствуют США, Китай, Индия, Япония и многие другие…

Обезличивание ПДн

• Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» - http://rkn.gov.ru/docs/Xerox_Phaser_3200MFP_20131216122746.pdf

В документе

1. Методы и процедуры обезличивания

2. Свойства обезличенных данных

3. Требования по организации обработки обезличенных данных

4. Правила работы операторов с обезличенными данными

5. Рекомендации по выбору методов и процедур обезличивания

6. Примеры реализации методов

Методы обезличивания

• Метод введения идентификаторов – замена части сведений (значений ПДн)

идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным

• Метод изменения состава или семантики – изменение состава или семантики ПДн путем замены

результатами статистической обработки, обобщения или удаления части сведений

• Метод декомпозиции – разбиение множества (массива) ПДн на несколько

подмножеств (частей) с последующим раздельным хранением подмножеств

• Метод перемешивания – перестановка отдельных записей, а так же групп

записей в массиве персональных данных

Св-во обезличенных данных

Метод введения

идентифика-торов

Метод изменения

состава семантики

Метод декомпозиции

Метод перемешивания

Полнота + +/- + +

Структуриро-ванность

+ + + +

Релевантность +/- + + +

Семантическая целостность

+ +/- + +

Применимость + + + +

Анонимность +/- + +/- +

Свойства и методы

+ описание процедуры по каждому из методов

В документе есть примеры

Рекомендуемая документация

• Описание процедур и их ПО

• Инструкции по проведению процедур обезличивания/деобезличивания

• Инструкции по обработке обезличенных данных

• Инструкции проведения контроля качества обезличенных данных и процедур обезличивания

• Порядок взаимодействия с другими операторами

• Инструкции по обеспечению безопасности дополнительной (служебной) информации

• Техническая и эксплуатационная документация

При обезличивании учитывайте

1. Конфиденциальность обезличенных ПДн обычно надо защищать

2. Обычно надо защищать еще доступность и целостность

3. Чаще всего (интуитивно) выбирают метод введения идентификаторов

4. Затраты на изменение инфраструктуры и бизнес-процессов не малы…

5. Мало опыта и успешных примеров (+ «ошибка выжившего»)

1. Обезличивание ПДн не панацея

2. Обезличивание ПДн может создать ошибочное чувство защищенности

Итого про обезличивание

Уведомление РКН

• Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19.08.2011 № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» (чуть устарело)

• !!! Требуется регулярно обновлять информацию о своей организации

Поля уведомления

• Полное и сокращенное наименование Оператора, наименование филиалов, адрес, ИНН

• Цели обработки ПДн • Категории ПДн • Категории субъектов ПДн • Правовое основание обработки ПДн • Перечень действий с ПДн • Описание мер (по 152-ФЗ ст.18.1 и 19) • Контактные данные ответственного за обработку • Класс ИСПДн • Орг.и тех. меры защиты (отдельно про СКЗИ) • Сведения о трансграничной передаче • Сведения о безопасности ПДн (по требованиям ПП ???1119) • Дата начала обработки ПДн • Срок и условия прекращения обработки ПДн

Электронные формы заявлений

• Уведомление об обработке (о намерении осуществлять обработку) ПДн

• Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку ПДн

http://pd.rkn.gov.ru/operators-registry/notification

А теперь блок про ФСБ России и ЦБ РФ

ФСБ России про ПДн

Проект приказа ФСБ России (вер.43)

Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности

В приказе ФСБ России

1. Общий набор мер (аналогичен ПП1119)

2. Описание нарушителей под классы СКЗИ

3. Классы СКЗИ под УЗ ПДн

Меры (аналогично ПП1119)

• Ответственное лицо (УЗ 1-3) • Создание подразделения (УЗ 1) • Режим безопасности помещений • Безопасность носителей ПДн • Перечень допущенных лиц • «Сертифицированные» СЗИ • Контроль доступа к электронному

журналу сообщений (запросы пользователей на доступ к ПДн, УЗ 1-2)

• Электронный журнал безопасности (про изменение прав доступа, УЗ 1)

Класс СКЗИ

(КС1-КС2-КС3-КВ-КА)

УЗ

4

УЗ

3

УЗ

2

УЗ

1

Использование СКЗИ класса КС1

и выше

+ - - -

СКЗИ класса КС1 и выше, при

актуальных угрозах 3 типа

- + + -

СКЗИ класса КВ и выше, при

актуальных угрозах 2 типа

- + + +

СКЗИ класса КА, при актуальных

угрозах 1 типа

- - + +

!!! Учтите модель нарушителя. Требования будут выше

Инициатива на ROI.ru

www.roi.ru/11921

ПДн и банки

• Письмо Банка России от 14.03.2014 N 42-Т "Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей ПДн граждан"

• «Целесообразно актуализировать внутренние документы, определяющие»: – порядок хранения и уничтожения документов

– персональную ответственность работников

– условия, обеспечивающие конфиденциальность и сохранность материальных носителей ПДн

• Несоответствие – негативный фактор при оценке качества управления кредитной организацией

СТО БР ИББС 1.0-2014 (проект)

• Много хороших рекомендаций по ПДн

• Актуальные угрозы 3 типа п7.11.4. С учетом специфики обработки и обеспечения безопасности ПДн в организациях БС РФ, угрозы утечки ПДн по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном ПО, используемом в ИСПДн, рекомендуется признавать не актуальными для организаций БС РФ.

Часть 2. 15 простых, но важных

рекомендаций по обработке и защите ПДн

1.Мыслите двумя категориями

Защита ПДн Обработка ПДн

Чаще всего проверяет РКН, он ориентируется на обеспечение прав субъектов ПДн (152-ФЗ) – «обработка ПДн»

2.Начните с «бумажной» ИБ

• Это проще и дешевле

• Есть примеры и шаблоны

• Это проверяют в первую очередь

3.Сделайте хороший перечень ПДн

• Группы субъектов ПДн

• Цели и основание для обработки для каждой группы

• Детальный перечень ПДн с указанием (обычно стр.6-10): – Групп ПДн

– Тип обработки (авто/не авто/ смешанная)

– Срок хранения

• Потом удобно будет делать перечень допущенных лиц и отвечать на вопросы проверяющих (в.ч. про согласие)

4.Сделайте хорошую Политику

• На нее можно ссылаться при большинстве запросов субъектов ПДн и проверяющих

• Не следует субъектам ПДн показывать внутренние документы, регламентирующие обработку и защиту

• Обычно 6-8 стр.

• Мало конкретики, много общих фраз из 152-ФЗ. Документ общедоступный

Содержание Политики Оператора

– Назначение документа – Общие положения – Термины и определения – Принципы обработки ПДн – Условия и цели обработки (со ссылкой на Перечень

ПДн; без конкретных целей и субъектов ПДн) – Общее описание порядка обработки ПДн (+

спец.категории, БПДн, принятие решений исключительно автом.обработки и пр.)

– Сроки хранения и требования к уничтожению – Меры в области обработки и защиты (копи-паст ст.18.1

и 19) – Права субъекта ПДн (+право получить дополнительную

информацию по запросу)

5.Ориентируйтесь на 3 тип АУ

Напомню: • У банков АУ 3 типа • В рекомендациях

Минздрава от 2009 года было, что их ИСПДн 3 класса (а не 1го)

Доп. требования к УЗ 1-2

• Обеспечение доверенной загрузки (см. УПД.17)

• Управление установкой ПО (см. ОПС.2)

• Учет и управление машинными носителями (см. ЗНИ.1,2)

• Обнаружение вторжений (см. СОВ)

• Контроль целостности ПО (см.ОЦЛ.1)

• Управление инцидентами (см. ИНЦ)

• …

• Дополнительные меры по защите от НДВ (см. п.11)

6.Не вкладывайте много сил в МУ

• Многие ли используют МУ кроме формального требования наличия?

• Обосновать уход от СЗИ и снижение типа угроз можно проще… Например, протоколом экспертной комиссии

• «Идеальная» МУ 30-40 страниц. Большая часть - описание ИСПДн (по старым методикам ФСТЭК России) и модель нарушителя (копи-паст документов ФСБ России)

• Хотите сложнее? Смотрите МУ КСИИ (ДСП), документы ЦБ РФ и другие отраслевые МУ

• Кстати, ФСТЭК России готовит новую МУ…

7.Определите ответственных за

• Обработку ПДн

• Обеспечение безопасности ПДн

• Реагирование на запросы субъектов ПДн

8.Сделайте регламент реагирования

• Регламент реагирования на запросы субъектов очень удобен

• Сделайте шаблоны ответов

• Четко укажите ответственных

9.Используйте сертиф.СЗИ

• Хотя бы некоторые…

• Многие начинают с АВЗ…

10.Помните о процессах

Система защиты ПДн не только меры, но и процессы…

11.Должен быть план

Если выполнили не все требования, то должен быть план построения / совершенствования СЗПДн

+план регулярных действий

12.Используйте чек-листы

• Например:

– С требованиями по обработке и защите ПДн

– С порядком построения СЗПДн

• Сделайте сами, запросите экспертов и/или интеграторов

13.Посмотрите BS 10012

• BS 10012:2009 "Data protection - Specification for a personal information management system"

• ГОСТ Р 53647.6-2012 "Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных"

14.Обучайте сотрудников

15.Не усложняйте