Embed Size (px)
DESCRIPTION
Актуальность проблемы защиты информационных систем персональных данных
Citation preview
Актуальность проблемы защиты
информационных систем
персональных данных
Зырянов Александр МНУЦИБ ВНИИПВТИ
Персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъекта ПДн):
• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес проживания;
• семейное, социальное, имущественное положение;
• образование, профессия, доходы и пр.
2
Персональные данные (ПДн) – ФЗ-152 «О
персональных данных»
Обработка персональных данных - действия
(операции) с персональными данными, включая
• сбор,
• систематизацию,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• использование,
• распространение (в том числе передачу),
• обезличивание,
• блокирование,
• уничтожение персональных данных
3
Обработка персональных данных
• Защита ПДн – требование законодательства• Трудовой кодекс, глава 14 «Защита персональных
данных работника»
• Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
• Подзаконные акты Правительства РФ и Министерства связи и массовых коммуникаций
• Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• нормативно-методические документы ФСТЭК, ФСБ, Роскомнадзора;
• Защита ПДн – требование бизнеса (риски для бизнес-процессов)
4
Защита ПДн
• Трудоемкость обеспечения безопасности персональных данных (Приказ ФСТЭК России № 58 от 5.02.2010);
• Высокая стоимость реализации мер защиты (необходимость использования сертифицированных СЗИ – Постановление Правительства РФ № 330 от 15 мая 2010г.);
• Увеличение количества контролирующих органов, расширение тематики возможных (плановых и внеплановых) проверок;
• Административная и уголовная ответственность за утечку ПДн.
5
Риски обработки ПДн
• Системы кадрового и бухгалтерского учета
• Базы данных клиентов
• Базы данных контактов юридических лиц-контрагентов (CRM и пр.)
• Контактные данные почтовой системы и почтовых клиентов сотрудников
6
Информационные ресурсы с точки
зрения ПДн
Конфиденциальность
персональных данных -
обязательное для
соблюдения оператором …
требование не допускать
их распространение без
согласия субъекта
персональных данных
или наличия иного
законного основания
7
Конфиденциальность ПДн (ФЗ № 152)
заключение договоров с контрагентами;добровольное медицинское и пенсионное страхование работников; передача ПДн в правоохранительные органы (ФЗ «О противодействиилегализации(отмыванию) доходов, полученных преступным путем,и финансированию терроризма»); приобретение билетов для командировок и бронирование гостиниц для сотрудников; и пр…
• Общедоступные ПДн• Специальные категории ПДн• Биометрические персональные данные• Категории персональных данных, обрабатываемых
в ИСПДн:• Категория 1 – персональные данные, касающиеся
расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
• Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
• Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПДн.
• Категория 4 – обезличенные и (или) общедоступные персональные данные.
8
О категориях персональных данных
<10001000 -
100000> 100 000
Категория 4 K4 K4 K4
Категория 3 K3 K3 K2
Категория 2 K3 K2 K1
Категория 1 K1 K1 K1
Классы ИСПДн (Приказ ФСТЭК России,
ФСБ РФ, Миникомсвязь России от
13.02.08 г. № 55/86/20 )
9
Автоматизированная обработка?
10
• Неавтоматизированная обработка ПДн• Обработка персональных данных, содержащихся в
информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если действия с персональными данными, осуществляются при непосредственном участии человека. (Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г.)
• Автоматизированная обработка персональных данных• Операции с ПДн, осуществляемые полностью или частично с
помощью средств автоматизации (Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»)
Положение об обеспечении
безопасности ПДн при их обработке в
ИСПДн
11
Статья 11. При обработке персональных данных в информационной системе должно быть обеспечено:a) проведение мероприятий, направленных на предотвращение
несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
Положение об обеспечении
безопасности ПДн при их обработке в
ИСПДн
12
Статья 12. Мероприятия по обеспечению безопасности персональных данных включают в себя:
а) определение угроз безопасности персональных данных …, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных …;
в) проверку готовности средств защиты информации …;г) установку и ввод в эксплуатацию средств защиты
информации …;д) обучение лиц, использующих средства защиты
информации;е) учет применяемых средств защиты информации …;ж) учет лиц, допущенных к работе с персональными
данными в информационной системе;з) контроль за соблюдением условий использования средств
защиты информации …;
Подготовка к обеспечению
безопасности персональных данных
13
Оценка соответствия средств ЗИподготовка рекомендаций по построению ИСПДн
Акт классификации (типовые и специальные ИСПДн)
Типовая модель угроз безопасности ПДнМодель нарушителя
Разработка организационно – технических мероприятий по защите ПДн Техническое задание на разработку СЗИ
Определение исходной защищенности и вероятности реализации угрозы Актуализированная модель угроз безопасности ПДн
• Мероприятия по защите ПДн при их обработке в ИСПДн от НСД, включают:
Управление доступом
Регистрацию и учет
Обеспечение целостности
Контроль отсутствия недекларированныхвозможностей (НДВ)
Антивирусную защиту
Обеспечение безопасного межсетевого взаимодействия ИСПДн
Анализ защищенности
Обнаружение вторжений
14
Требования по защите ИСПДн
Требования по защите ИСПДн
15
Класс ИСПДн
Подсистемы
Управления доступом Регистрации и учета Обеспечения целостности
K1
Однопользовательская 3Б 3А 3Б
Многопользовательская с равными правами
2Б 2А 2Б
Многопользовательская с разными правами
1Г 1Г 1Г
K2
Однопользовательская 3Б 3Б 3Б
Многопользовательская с равными правами
2Б 2Б 2Б
Многопользовательская с разными правами
1Д 1Д 1Д
K3
Однопользовательская 3Б 3Б 3Б
Многопользовательская с равными правами
2Б 2Б 2Б
Многопользовательская с разными правами
1Д 1Д 1Д
Приказ «Об организации работы по защите конфиденциальной информации и персональных данных»
•Перечень сведений конфиденциального характера
•Перечень защищаемых информационных ресурсов
• Инструкция по организации работы с материальными носителями персональных данных
•Положение о порядке обработки персональных данных работников
•Инструкция о порядке удаления (изменения) персонифицированных записей из (в) информационных систем персональных данных
•Инструкция по организации работы с электронными носителями персональных данных
Приказ «Об организации работы с персональными данными»
•Положение о персональных данных
•Перечень помещений, в которых осуществляется обработка персональных данных с указанием лиц, имеющих допуск в данные помещения
•Список лиц, ответственных за организацию защиты конфиденциальной информации и за разработку, проведение мероприятий, направленных на выполнение требований
• Список лиц, имеющих доступ к персональным данным
•Состав комиссии по классификации информационных систем персональных данных и автоматизированных систем
Должностные инструкции сотрудников
Модель угроз безопасности персональных данных
Акт о классификации ИСПДн
Положение об обеспечении безопасности персональных данных при их обработке
Описание системы защиты, обеспечивающей нейтрализацию угроз для соответствующего класса ИСПДн
Журналы учета средств и методов защиты информации
Журнал проверки исправности и технического обслуживания
16
Внутренние нормативные документы по
защите ИСПДн
• Уполномоченный орган по защите прав субъектов персональных данных – Роскомнадзор
• Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности – ФСБ РФ
• Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – ФСТЭК России
КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ
ПЕРСОНАЛЬНЫХ ДАННЫХ
17
• Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах
• влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
• Статья 13.13.1 Незаконная деятельность в области защиты информации
• влечет наложение административного штрафа … на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.
• Статья 19.5.2
• влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей
ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ
ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
18
• Глава 5 статья 23.3.
Уполномоченный орган по защите прав субъектов персональных данных имеет право:• 2) принятие в установленном законодательством РФ
порядке мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
• 4) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ
ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
19
• Статья 137. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации
• Статья 171. Незаконное предпринимательство
• 1. Осуществление предпринимательской деятельности … без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние … сопряжено с извлечением дохода в крупном размере
• 2. То же деяние:
а) совершенное организованной группой;
б) сопряженное с извлечением дохода в особо крупном размере
ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ
ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
20
