Embed Size (px)
Citation preview
ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ 152-ФЗ С ЧЕГО НАЧАТЬ, КАК ДЕЙСТВОВАТЬ
Александр БондаренкоРуководитель отдела внешнего аудита и консалтинга, CISA
Закон действует с 27.07.2006 (!)
Ряд юридических аспектов, влияющих на
деятельность организаций
Требования по обеспечению информационной
безопасности
Это не закон о защите персональных данных, это закон о
защите прав (!) субъектов персональных данных
Что несет в себе закон ?
Определить цели и условия обработки ПДн
Получить согласие на обработку ПДн
Определить перечень необходимых сведений, отказаться от
обработки «лишних» сведений
Уведомить субъектов, чьи ПДн получены не напрямую от них
Реагировать на запросы со стороны субъектов ПДн в части
реализации их прав на ознакомление с тем, как обрабатываются
их данные
Определить порядок уничтожения ПДн
Уведомить Роскомнадзор об обработке ПДн (при необходимости)
Обзор основных требований
Обеспечить безопасность ПДн, обрабатываемых в
информационных системах:
Назначить лиц, ответственных за безопасность
Провести классификацию ИСПДн
Разработать модель угроз
Создать систему защиты на основании модели угроз
Вести учет лиц, допущенных к обработке ПДн
Проводить контрольные мероприятия
Проводить резервирование информации, с целью
обеспечения возможности ее «незамедлительного
восстановления»
Обзор основных требований
Выполнить требования по обработке ПДн, осуществляемой без
использования средств автоматизации:
Обеспечить обособленность ПДн, принадлежащих разным
субъектам
Выполнить требования к типовым формам документов
Выполнить требования по ведению журналов однократного
прохода лиц на территорию
Определить меры и средства обеспечения безопасности ПДн,
обрабатываемых без использования средств автоматизации
Обзор основных требований
Размытость понятия «персональные данные»
Только письменное согласие субъекта ПДн
Суть подзаконных актов в части ИБ – обязательное выполнение
требований или решение оператора (?)
Гриф «ДСП» на методических документах ФСТЭК
Аттестация в условиях постоянно меняющегося бизнеса
Невозможность выполнения ряда требований в силу специфики
той или иной деятельности
Сертификация средств защиты/средств обработки
.... и многое другое
Ряд «спорных» моментов
http://www.duma.gov.ru/csecure/meropr/parlsl/4.rar
Законопроект № 284213-5 «О внесении изменений в Федеральный
закон «О персональных данных»
Вопрос о целесообразности обязательной сертификации средств
защиты, аттестации ИСПДн и получения лицензий на ТЗКИ
Предложения о разработке отраслевых стандартов и норм,
учитывающих особенности того или иного вида деятельности
Отечественное законодательство в области персональных
данных еще довольно молодое и потому подвержено
корректировкам!
Текущая ситуация
Планирование
Обследование
Выполнение
требований
Контроль/
ОценкаОптимизация/
Улучшение
Выбор ответственных
Организация команды
Поддержка менеджмента
Сбор сведений
Анализ/Заключения
План дальнейших действийРеализация орг.
мероприятий
Разработка документов
Обеспечение защиты
Уведомление РКН
Обучение
Мониторинг
Аудит
Реагирование на инциденты
Разбирательство/Расследования
Оптимизация
расходов
Тиражирование на
другие
подразделения/стру
ктуры компании
Общий ход действий
100%
Планирование
Осознание проблемы есть – это помогает (!)
Поддержка должна выражаться в:
выделении людских и финансовых ресурсов
контроле исполнения задач
решении спорных/политических вопросов между
подразделениями
принятии решений по стратегии выполнения требований и
предпринимаемых действиям
Поддержка менеджмента
Лицо, ответственное за курирование работ по реализации
требований закона «О персональных данных» - топ-менеджмент
организации
Лицо, ответственное за обеспечение безопасности
персональных данных – руководитель подразделения ИБ или
сотрудник, ответственный за ИБ в рамках своих должностных
полномочий
Лицо, ответственное за организацию работ по выполнению
требований 152-ФЗ – выбор зависит от специфики обработки
ПДн в организации.
Выбор ответственных
Основные ответственные лица
Представители юридического подразделения
Руководители подразделений, в которых ведется
обработка ПДн
Представители ИТ-подразделения
Представители ИБ-подразделения
Представители подразделения, отвечающего за физическую
безопасность
Организация команды
Обследование
Основная цель - разобраться что к чему
Сбор необходимых сведений для определения спектра
предъявляемых требований, планирования дальнейших
действий (разработки распорядительной документации, выбора
средств защиты и пр.)
Консолидировать информацию об основных бизнес-процессах,
в рамках которых производится обработка персональных
данных (как правило четкого видения всей картины нет ни у
одной организации)
Что дает обследование
Изучение документов
Анализ бизнес-процессов (интервьюирование/разрисовка
процессов)
Анкетирование
Технический анализ информационных систем
Как проводить ?
Отсутствие документации
Невнимание к деталям – пропущенный бизнес-процесс/база с
персональными данными
«Вечно занятые» сотрудники других подразделений
Изменчивая структура сети (что не день – то новый сервер)
Отсутствие системы накопления и систематизации полученных
сведений
Обследование – «Подводные камни»
Планирование всех предполагаемых мероприятий
Проведение разъяснительной работы
Составление опросных форм, понятных простому человеку
Использование средств автоматизации деятельности:
Excel, Access и др. для систематизации сведений
Сетевые сканеры для сбора информации и
составления карты информационных ресурсов
Активное использование ресурсов других подразделений
Как упростить себе работу
Выполнение требований
Внесение изменений в документы:
Анкеты сбора данных
Договора
Положения о подразделениях, должностные инструкции
Внутренние регламенты, процедуры
Журналы
Типовые формы, содержащие ПДн
Внесение изменений в процессы (порядок обработки):
Уменьшение состава собираемых сведений
Возврат к документам
Обезличивание данных
Изменения
Создание системы защиты
Организационные мероприятия:
Назначить ответственных по обеспечению безопасности
Провести классификацию информационных систем
Разработать модель угроз
Разработать требования по обеспечению безопасности ПДн
…
Создание системы защиты
Организационные мероприятия:
Разработать пакет регламентных документов:
Положение об организации и проведении работ по обеспечению
безопасности ПДн
Регламент предоставления доступа к ПДн
Регламент передачи ПДн третьим лицам
Перечни ПДн, ИСПДн
Списки доступа
Инструкции персоналу (пользователям и администраторам)
Журналы (учета средств защиты, носителей, проводимых мероприятий)
Создание системы защиты
Технические мероприятия:
Сегментирование систем и сетей
Установка средств защиты для информационных систем
Средства антивирусной защиты
Средства межсетевого экранирования
Средства защиты от НСД (пароли, 2х факторная аутентификация)
Средства шифрования
Средства обнаружения вторжений
Средства обнаружения уязвимостей
Установка средств хранения и уничтожения носителей
информации (сейфы, шреддеры, размагничиватели и др.)
Неотъемлемое право субъекта, закрепленное законом
Отсутствие ответа на запрос - «отличный» повод обращения в
Роскомнадзор
В условиях отсутствия четкого механизма в компании – сложно
реализуемое действие
Результатом обращения может последовать требование:
Изменить сведения
Прекратить обработку, уничтожить данные
Решение:
Создание четкого регламента реагирования на получение
официальных запросов
Отработка регламента на «тестовых» запросах
Реагирование на запросы субъектов ПДн
Необходимость аттестации и получения лицензии прописана в
методических документах ФСТЭК
В настоящий момент отсутствует четкая процедура аттестации
по требованиям защиты ПДн – все системы аттестуются по
классу 1Г.
Требование получать лицензию – результат несовершенства
законодательства по лицензированию отдельных видов
деятельности. По здравому смыслу лицензия нужна тем, кто
оказывает услуги.
Аттестация / Лицензирование
Сперва необходимо убедиться в том, что уведомление
действительно нужно подавать (152-ФЗ ст.22 п.2)
Форма уведомления и рекомендации по заполнению – на сайте
Роскомнадзора (Приказ Федеральной службы по надзору в
сфере связи и массовых коммуникаций от 17 июля 2008 г. № 08)
Проверка со стороны РКН возможна как в случае уведомления,
так и если уведомление не подавалось
Уведомление РКН
Контроль и оценка
Контроль соблюдения юридических норм (согласие, уведомление,
отработка запросов)
Контроль соблюдения требований по обеспечению безопасности
Мониторинг доступа к персональным данным
Контроль уничтожения носителей персональных данных
Мониторинг появления новых процессов/видов деятельности,
связанных с обработкой ПДн
Способы реализации:
Проведение внутренних аудитов / проверок
Установка специализированных средств мониторинга
Аттестация сотрудников
Внутренний контроль/Мониторинг
Цель:
Ознакомить сотрудника с правилами обработки и хранения
сведений, относящихся к персональным данным
Ознакомить сотрудника с требованиями по обеспечению
безопасности, принятыми в компании
Способы реализации:
Вводные инструктажи при приеме на работу
Памятки / Инструкции
Плакаты / Баннеры
Обучение
Цель:
оперативно обнаружить факт несанкционированных действий
с персональными данными
собрать необходимую информацию для проведения
корректирующих мероприятий, а также расследований и
разбирательств
Способы реализации:
различные методики организации управления инцидентами:
SANS, ISO 18044:2004, NIST и др.
разработка регламента обработки инцидентов ИБ
Реагирование на инциденты
Улучшение и расширение
Внесение изменений по результатам мониторинга:
Развертывание дополнительных средств защиты /
Перенастройка текущих
Обучение сотрудников
Изменение бизнес-процессов
Расширение области применения:
использование накопленного опыта в филиалах, дочерних
структурах и проч.
тиражирование типовых документов и технических решений
Оптимизация расходов
Улучшение и расширение
Ключевые моменты
Чем дальше в лес, тем больше….
Основные критерии выбора:
компетенции
выполненные проекты
реальная проектная команда (кто будет с вами работать)
наличие систем контроля качества
Особенности взаимодействия:
четкое разделение полномочий и задач
наличие собственной проектной команды
активное участие в проекте
Работа с консультантом
консультантов
Завтра никого не посадят и никого не закроют (!)
Правоприменительная практика слаба, а потому возможны
перегибы – необходимо проводить серьезный анализ с точки
зрения объема применимых к компании требований
Не дайте себя обмануть и не выполняйте лишние требования (!)
Готовьтесь к приходу регуляторов, но главное без паники (план
регулярных проверок опубликован)
Паранойя vs. Здравый смысл
Курс на исполнение закона
Четкая и активная позиция по ряду «спорных» и «обсуждаемых»
вопросов
Готовность к конструктивному диалогу с регуляторами
Отслеживание изменений в законодательстве (планируемых и
принятых), появления отраслевых стандартов/решений
Планирование и контроль со стороны менеджмента всех работ,
связанных с реализацией требований 152-ФЗ (главное не
пустить на самотек)
Стратегия работы с 152-ФЗ
Полезные ресурсы
Роскомнадзор – портал персональных данных
(http://pd.rsoc.ru/)
Сайт комитета ГД по безопасности
(http://www.duma.gov.ru/csecure/)
Методические документы ФСТЭК
(http://www.fstec.ru/_razd/_ispo.htm)
Методические документы ФСБ
(http://www.fsb.ru/fsb/science.htm)
Информационный сайт ИСПДн.ру (http://ispdn.ru)
Блог «Персональные данные по-русски»
(http://www.tsarev.biz)
Сайт LETA IT-company (http://www.leta.ru)
Бондаренко Александр,Руководитель отдела внешнего аудита и консалтинга, CISA
LETA IT-Company
109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2
Тел./факс: +7 495 921 1410
www.leta.ru
Спасибо за внимание ! Ваши вопросы ?
