Техническая защита ИСПДн: проблемы... и решения?

Череповец, 2011 г.

Техническая защита информационных систем

персональных данных: проблемы… и решения?

http://www.a-datum.ru/

Обзор НПД в области защиты ПДн

2

Техническая защита персональных данных: проблемы… и решения?

Методика

определения

актуальных

угроз*

Методические

рекомендации *

Базовая модель угроз безопасности персональных

данных* (ДСП)

Приказ от 5

февраля 2010 г.

N 58

Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства РФ от 15 мая 2010 г. № 330 (ДСП) «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Методические документы ФСТЭК Методические документы ФСБ

Типовые

требования*

Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

(*) Методические документы ФСТЭК и ФСБ не прошли регистрацию в Минюсте и являются рекомендательными

Волков Алексей Николаевич, 2011 г. E-mail: [email protected]


3


Неавтоматизированная обработка в ИСПДн П. 1 ст. 1 152-ФЗ: Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой … с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

П. 9 ст. 3 152-ФЗ: Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Ч. 2 ст. 1260 ГК РФ : Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).

Как можно работать с базой данных без ЭВМ ?



4


Неавтоматизированная обработка в ИСПДн П.1 ПП-687: Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

П.1 ПП-687: Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

П. 1 ст. 1 152-ФЗ: Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Чем отличается обработка «с использованием средств автоматизации» и «без их использования (неавтоматизированная)» ?



5


Неавтоматизированная обработка в ИСПДн П.1 ПП-781: Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Как определить, попадает ли ИСПДн под действие этого документа ?



6


Неавтоматизированная обработка в ИСПДн Целью операций с персональными данными является не внесение и получение персональных данных в базу данных, а получение обработанной информации при использовании соответствующих программ, при этом, Управление Роскомнадзора представило доказательство того, что при обработке персональных данных используются технические средства (средства автоматизации). Цель обработки персональных данных указана в уведомлениях – это кадровый учет, т.е. в том числе, предоставление отчетности в органы Пенсионного Фонда РФ.

http://kad.arbitr.ru/?id=2E992633-13F9-450B-A9CC-177AA8A0C505

Довод … о том, что Государственное учреждение - Управление пенсионного фонда Российской Федерации не уведомило уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных судом … не принимается, поскольку … такое право предоставлено Управлению …в силу подпункта 8 пункта 2 статьи 22 Федерального закона «О персональных данных», предусматривающего, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных обрабатываемых без использования средств автоматизации … При этом в соответствии с пунктом 1 и 2 раздела I Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 … Статьей 17 Закона 27-ФЗ от 01.04.1996 г. обязанность руководителей и должностных лиц органов Пенсионного фонда Российской Федерации по обеспечению безопасности персональных данных при их обработке предусмотрена, а их обработка в пенсионном органе происходит при непосредственном участии человека.

http://komi.arbitr.ru/index?tid=633200003&fld_1_t=0&numdeal=5173&prefix=%C029&yeardeal=2009&nd=795251204&text=796002823



7


Неавтоматизированная обработка в ИСПДн

= = ≠



8


Классификация специальных ИСПДн Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных» (Зарегистрирован в Минюсте РФ 3 апреля 2008 г., регистрационный N 11462)

4. Проведение классификации информационных систем включает в себя следующие этапы: • сбор и анализ исходных данных по информационной системе; 8 видов исходных данных • присвоение информационной системе соответствующего класса и его документальное

оформление.

14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов… Приведены 4 класса типовых ИСПДн К4 – К1, класс тем выше, тем больше вероятный ущерб субъекту от нарушения заданной характеристики безопасности (конфиденциальности)

15. Класс типовой информационной системы определяется в соответствии с таблицей… В таблице присутствуют только 2 вида исходных данных из 8 - категория и объем ПДн. Остальные характеристики для классификации типовых ИСПДн НЕ ИСПОЛЬЗУЮТСЯ.

16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 … После отмены в 2008 году двух из четырех нормативно-методических документов ФСТЭК, исчезла взаимосвязь между классами типовых (К1-К4) и специальных ИСПДн.

Что писать в акте классификации и уведомлении об обработке ?



9


Классификация специальных ИСПДн Пережитки «Основных мероприятий…»: класс специальной ИСПДн не может быть выше класса типовой с аналогичными исходными данными, поскольку в специальной необходимо обеспечить конфиденциальность и что-то еще (целостность, доступность). В акте классификации указать «К1-К4».

Метод интеграторов: для классификации специальной ИСПДн необходимо сначала провести предварительную классификацию по «приказу трех» для типовой, а затем откорректировать требования по защите ИСПДн при помощи модели угроз и привести их к требованиям 58 приказа для типовых ИСПДн. В акте классификации указать «К1-К4, специальная».

Новаторский подход: классифицировать ИСПДн как «специальная» и указать это в акте классификации. Не ссылаться на методику «приказа трех», разработать модель угроз и определить технические средства защиты исходя из перечня «методов и способов», приведенного в 58 приказе. Ввести свои, «внутренние» классы специальных ИСПДн (например R2D2 или C3PO) и указать их в акте классификации. По такому пути пошел ЦБ РФ, применив этот подход в отраслевом стандарте СТО БР ИББС и успешно согласовав его со всеми регуляторами.



10


Фотография = Биометрия ?

Является ли фотография гражданина биометрическими ПДн ?

Статья 11. Биометрические персональные данные 1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.


Федеральный закон «О государственной геномной регистрации в РФ» от 3 декабря 2008 г. N 242-ФЗ, ст. 1 п. 3. Геномная информация - персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности.


11


Фотография = Биометрия ?



12


Фотография = Биометрия ? ← Идентификация: где моя невеста?

Идентификация: кто украл мой бумажник?

Идентификация: ты кто такой вообще?



13


Модель угроз: интересные особенности Классическая формула расчета РИСКА реализации угрозы ИБ:

Р = ПУ х ВРУ Формула расчета АКТУАЛЬНОСТИ реализации угрозы ПДн в ИСПДн:

А = ОПА Θ (ВРУ+ИЗ)

Где Р – риск, примерный (оценочный) ущерб ПУ ≥ 0, вероятность реализации угрозы ВРУ ≥ 0

Где опасность ОПА = ПУ > 0, вероятность реализации (частота) угрозы ВРУ ≥ 0, исходная защищенность ИЗ ≥ 0

Возможность реализации угрозы

(вероятность + исходная

защищенность)

Показатель опасности угрозы

Низкая Средняя Высокая

Низкая неактуальная неактуальная актуальная

Средняя неактуальная актуальная актуальная

Высокая актуальная актуальная актуальная

Очень высокая актуальная актуальная актуальная


Θ= Смотрите подробнее: http://xpomob.blogspot.com/2011/02/blog-post_09.html


14


Модель угроз: интересные особенности

← Возможность: НИЗКАЯ Опасность: ОЧЕНЬ ВЫСОКАЯ Угроза: АКТУАЛЬНА!

Принимаем меры по нейтрализации →



15



Верховный суд Республики Марий Эл 4 сентября 2010 г. осудил к лишению свободы на срок от 3 лет 6 месяцев до 6 лет шестерых йошкаролинцев, среди которых студенты факультета информационной безопасности Межрегионального открытого социального института К.М. и С.А., экономического факультета этого же института П.Р., менеджеры ООО «Продсервисъ» Г.Е. и С.С., а также неработающий В.К.

Существующие методики ФСТЭК и ФСБ предполагают, что администраторы СЗИ и СКЗИ являются доверенным персоналом. В моделях угроз инсайдерские риски ОТСУТСТВУЮТ.



16



Как противодействовать инсайдерским рискам, особенно со стороны «доверенного персонала», если проверочные мероприятия запрещены ?

Раздел IV. СМЕШАННЫЕ ФОРМЫ ДЕТЕКТИВНОЙ И ОХРАННОЙ ДЕЯТЕЛЬНОСТИ Статья 14. Охранно - сыскные подразделения на предприятиях Предприятия независимо от их организационно - правовых форм, расположенные на территории Российской Федерации, вправе учреждать обособленные подразделения для осуществления охранно - сыскной деятельности в интересах собственной безопасности учредителя, с правом открытия текущих и расчетных счетов (далее - службы безопасности). Руководители и персонал служб безопасности обязаны руководствоваться требованиями настоящего Закона и действовать на основании своих уставов, согласованных с органами внутренних дел по месту своего учреждения. (часть вторая в ред. Федерального закона от 10.01.2003 N 15-ФЗ) Службе безопасности запрещается оказывать услуги, не связанные с обеспечением безопасности своего предприятия.



17


Лицензия на деятельность по ТЗКИ «Основные мероприятия…» (утратили силу): п. 3.14 «В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Федеральный закон «Об информации, информатизации и защите информации» от 20 февраля 1995 г. N 24-ФЗ (утратил силу): Ст. 2: конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ Ст. 2: законодательное определение «конфиденциальная информация» ОТСУТСТВУЕТ! Вместо этого, в законе имеются другие определения, в которые, в том числе, попадает и ГТ: • П. 6 ст. 2: «информация в отношении которой требуется обеспечить конфиденциальность»; • П. 4 ч. 3 ст. 5: «информация ограниченного распространения»; • Ст. 8: «информация ограниченного доступа»…

Нужно ли оператору ПДн получать лицензию на деятельность по ТЗКИ, если он сам, за свои средства и своими силами реализует СЗ ИСПДн?



18


Лицензия на деятельность по ТЗКИ

2002 год, позиция Гостехкомиссии РФ: … В соответствии со ст. 49 ГК РФ, отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). … Гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли…

С учетом изложенного, получение соответствующей лицензии необходимо только юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информации.

В терминах ГК РФ, «деятельность» предполагает систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг, в данном случае – работ и услуг по технической защите

конфиденциальной информации.



19


Лицензия на деятельность по ТЗКИ 2010 год, позиция ФСТЭК РФ: … В соответствии с п. 1 ст. 49 части первой ГК РФ, отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). Пунктом 11 части 1 статьи 17 Федерального закона от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» установлено, что деятельность по ТЗКИ является лицензируемым видом деятельности.

С 2002 по 2010 год в ГК РФ относительно «деятельности» не изменилось НИЧЕГО.

Справедливо ли совмещение термина «деятельность» в рамках ГК (две стороны,

извлечение прибыли) и понятия «собственные нужды» (без прибыли, за

свои средства, своими силами, для себя)?



20


Лицензия на деятельность по ТЗКИ

Готовы ли Вы «раскошелиться» ?


= 3

МЛН.

РУБ.

В г. Череповец на 22.03.2011 г. лицензией на ТЗКИ обладает ОДНА организация, в г. Вологда – ДВЕ (http://www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls)


http://pic.auto.mail.ru/content/documents/in_text_images/7/7/77f911a95a1752194f5f4420831e9e5c.jpeg

21


Оценка соответствия = Сертификация ?


Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п. 5: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».

Федеральный закон «О техническом регулировании» № 184-ФЗ от 27 декабря 2002 г. Ст. 2: «Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту». Ст. 7 п. 3: «Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме».

Сертификация – одна из возможных форм оценки соответствия


22




Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» П. 1.3. Для выбора и реализации методов и способов … оператором … может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. П. 1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы… П. 2.1. Методами и способами защиты информации от несанкционированного доступа являются: • реализация разрешительной системы …; • ограничение доступа пользователей в помещения…; • разграничение доступа пользователей …; • регистрация действий пользователей …; • учет и хранение съемных носителей …; • резервирование технических средств …;

• использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

• использование защищенных каналов связи; • размещение технических средств … в пределах охраняемой территории; • организация физической защиты помещений … ; • предотвращение внедрения … вредоносных программ … .

Оценка соответствия СЗИ – один из ВЫБИРАЕМЫХ «методов и способов…»


23




Федеральный закон «О техническом регулировании» № 184-ФЗ от 27 декабря 2002 г. Ст. 7 п. 3: «Технический регламент должен содержать перечень и (или) описание объектов технического регулирования, требования к этим объектам и правила их идентификации в целях применения технического регламента. Технический регламент должен содержать правила и формы оценки соответствия...». П. 2 Ст. 46: До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами. п. 1 ст. 5: В отношении … продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации…


24




Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» П. 18: Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. П. 20: Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Все «намекает» на сертификацию, но где это явно указано ?


25




Постановление Правительства РФ от 15 мая 2010 г. № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну …»

Носит ограничительный гриф «Для служебного пользования», недоступно для подавляющего большинства операторов, не зарегистрировано в Министерстве юстиции.

Является рекомендательным документом (см. Постановление правительства № 1009 от 13.08.1997 г. «Об утверждении правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации», Федеральный закон "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26 декабря 2008 г. N 294-ФЗ, а также пункт 2 статьи 4 152-ФЗ «О персональных данных»).


26




Сертификат ФСТЭК № 2144 Дата внесения в реестр: 29.07.2010 Срок действия сертификата: 29.07.2013 Краткая характеристика: Программное средство, предназначенное для защиты и администрирования локальных и сетевых компьютеров путем предотвращения неконтролируемых действий пользователя при обмене информацией через компьютерные порты и устройства со сменными носителями Соответствие требованиям РД: Соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" "Гостехкомиссия России, 1999) – по 4 уровню контроля, заданию по безопасности " Программный комплекс DeviceLock 6.4.1 Задание по безопасности D_L_6.4.1.ЗБ Версии 1.0", имеет оценочный уровень доверия ОУД 2 в соответствии с требованиями руководящего документа "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002) и может использоваться в автоматизированных системах до класса защищенности 1Г включительно. Схема сертификации: Серия Испытательная лаборатория: ООО "ЦБИ"

Что дает оператору, а главное – субъекту, использование исключительно

сертифицированных средств защиты информации для обеспечения

безопасности персональных данных ?

Техподдержка: «дело в том, что для корректной работы функции контроля, которая внедряется в приложения, работающие с такими устройствами как iPhone, WinMobile, Palm, Printers, Blackberry, требуется хотя бы 5 секунд после запуска приложения. Допустим, открыв документ WORD и сразу же отправив его на печать, при закрытом доступе для Всех печать пройдет и в аудит логе ничего не отобразится. Но если открыть документ и подождать 5-7 секунд перед отправкой на печать, то печать запретится. То же самое и с WinMobile: если WMDC довольно таки быстро запускает все свои сервисы и начинает синхронизацию, то она проходит, если немного замедляется, то инжект успевает перехватить действия». Пользователь: «как заставить пользователей подождать 5-7 секунд перед печатью после запуска приложения? Как такой "баг" позволил получить сертификат ФСТЭК, или сертифицированная версия чем-то отличается он несертифицированной»? Техподдержка: "поиск багов и глюков в продукте процедура сертификации не включает".

Смотрите подробнее: http://anvolkov.blogspot.com/2010/09/devicelock.html


27


Сертифицированная криптография


Сморите подробнее: http://lukatsky.blogspot.com/2010/11/blog-post_23.html

Рекомендательный документ «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утвержден руководством 8 Центра ФСБ России21 февраля 2008 года № 149/54–144–), раздел «методология формирования угроз», пункт 7. Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства.


28




Только отечественные алгоритмы (ГОСТ)

Использование несертифицированных решений на территории РФ ЗАПРЕЩЕНО

Для разработки и производства, распространения, ОБСЛУЖИВАНИЯ, предоставления услуг необходима

соответствующая ЛИЦЕНЗИЯ


29




HTTPS -> SSL -> RSA НЕСЕРТИФИЦИРОВАННЫЙ криптографический алгоритм


30





31


Неутешительный итог


Многие положения 152-ФЗ сформулированы так, что предполагают несколько вариантов их трактовки. Поэтому операторам, регуляторам и судам зачастую приходится «включать» понятийный аппарат, а при определении «истины» в большей степени влияет авторитет определяющего. Некоторые положения 152-ФЗ противоречат Конституции РФ. В частности, нарушена ч.3 ст.17 Конституции в отсутствии баланса интересов и абсолютизации права субъекта, а также установлена презумпция виновности оператора ПДн (обязанность доказать наличие согласия) вместо презумпции добросовестности субъектов сделки и презумпции добросовестности субъектов предпринимательской деятельности. Главная цель 152-ФЗ – защита ПРАВ и законных интересов субъекта ПДн, в том числе путем компенсации нанесенного ему ущерба. Однако операторы озабочены защитой ДАННЫХ исключительно для того, чтобы не «подставиться» перед регуляторами, не смотря на жесткие требования которых, ответственность за любые инциденты несет исключительно оператор. На деле про ущерб субъекту никто не вспоминает, и уж тем более – никто не оценивает.


32


Чего ждать в будущем. Сертификация.


Проекты изменений в Федеральный закон «О техническом регулировании» 184-ФЗ: • Законодательное закрепление возможности признания и заимствования лучших

мировых стандартов в целях применения их в РФ, введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских стандартов, другой – на требованиях иностранных технических регламентов (директив) и стандартов;

• Свобода выбора заявителем документов, применяемых при подтвержении соответствия;

• Обеспечение условий для взаимного признания в РФ и иностранных государствах результатов подтверждения соответствия и результатов проведения измерений (испытаний);

• Обязательное подтверждение соответствия для продукции, на которую не распространяются действия техрегламентов и которая не включена в обязательный перечень продукции, подлежащей обязательной сертификации и декларирования соответствия, НЕ ТРЕБУЕТСЯ. Постановлением Правительства № 455 от 17.06.2010 г. внесены изменения в ПП 163 от

24.02.2009 г. «Об аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по подтверждению соответствия». Наличие официально изданных действующих нормативных правовых актов, документов в области стандартизации, принятых на основе международных норм, устанавливающих требования к объектам подтверждения соответствия.


33


Чего ждать в будущем. Лицензирование.


Проекты изменений в Федеральный закон «О лицензировании отдельных видов деятельности» № 128-ФЗ:

Ст. 9 ч. 1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

П. 1: Разработка, производство, распространение шифровальных (криптографических) средств, … выполнение работ, оказание услуг …, техническое обслуживание … шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения СОБСТВЕННЫХ НУЖД юридического лица или индивидуального предпринимателя).

П. 3: деятельность по технической защите конфиденциальной информации – пока оставлен без изменений

Ст. 10 ч. 4. К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции.


34


Чего ждать в будущем. Регулирование.


Ст. 24 п. 2. В случае нарушения положений настоящего Федерального закона, повлекшего за собой … неправомерные действия в отношении персональных данных, субъект … вправе требовать от оператора … выплаты компенсации в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по усмотрению суда. Ст. 24 п. 3. Оператор освобождается от ответственности в виде выплаты компенсации … если он обеспечил … уровень защищенности … путем выполнения установленных требований … или в случае если … неправомерные действия … произошли в результате возникновения чрезвычайного и непредотвратимого при данных условиях обстоятельства.

Поправки правительства РФ к проекту федерального закона № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных", внесенному депутатом

Государственной Думы В. М. Резником, принятому Государственной Думой в первом чтении 5 мая 2010 г.

Ст. 19 п. 2. Правительство РФ устанавливает требования к защите персональных данных … Ст. 19 п. 3. Состав и содержание организационных и технических мер для защиты персональных данных … устанавливаются … < ФСТЭК и ФСБ > … в пределах их полномочий. Ст. 19 п. 7. Контроль и надзор за выполнением мер по обеспечению безопасности персональных данных … при обработке персональных данных в государственных информационных системах персональных данных осуществляются … < ФСТЭК и ФСБ > … в пределах их полномочий…


35


НЕ ЗАБЫВАЙТЕ О ГЛАВНОМ


Статья 2. Цель настоящего Федерального закона. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.


Волков Алексей Николаевич

Блог: http://anvolkov.blogspot.com E-mail: [email protected]

Спасибо за внимание!

http://anvolkov.blogspot.com/



mailto:[email protected]


Technology

Техническая защита ИСПДн: проблемы... и решения?