Embed Size (px)
Citation preview
КЛИЕНТ ХОЧЕТ ЗНАТЬ!
АРГУМЕНТЫ ПО ЗАЩИТЕ ПДН:
ОПЫТ КРОК, СПЕЦИФИКА ОТРАСЛЕЙ
И ВИДОВ БИЗНЕСА
Евгений Чугунов
ЭКСПЕРТ ПО
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
СОДЕРЖАНИЕ
• Основные понятия
• Определение статуса организации
• Получение согласия субъектов
• Обеспечение безопасности ПДн
• Создание системы защиты ПДн
• Трансграничная передача ПДн
ВВЕДЕНИЕ
• Персональные данные о сотрудниках организации
«Внутренние данные»
«Внешние данные»
• Персональные данные не сотрудников организации
Акцент на обработке «внешних» ПДн
СТАТУС КОМПАНИЙ С ВНЕШНИМИ ПДН
• Определяет цели обработки
• Осуществляет (организует) обработку ПДн
Оператор всех данных
• Частично определяет цели обработки
• Целиком осуществляет (организует)
Уполномоченное лицо:
• Осуществляет обработку
• Организует обработку
… и тот и другой:
СТАТУС - ВЕЩЬ НЕ ПРОСТАЯ!
Признак: ИНТЕНСИВНЫЙ ОБМЕН ПДн между юр. лицами
Актуально для:
• Групп компаний, холдингов
• Партнерских сетей, сбытовых сетей
• Компаний, оказывающих услуги
Характерно для:
• Финансового сектора
• Гос. Организаций
• Транспортных компаний
• Ритейла
НЕ ОПЕРАТОР – НЕ ДОЛЖЕН…
• … взаимодействовать с субъектами
• … уведомлять регулятора
• … получать согласие
• … и т.д.
Должен:
• Проработать договор с Оператором
• Выполнять договор с Оператором
И ВСЕ ЖЕ … ОПЕРАТОР
Сложности и вопросы:
• Как получить согласие от ВСЕХ субъектов?
• Как взаимодействовать с регулятором?
• Как обеспечить безопасность ПДн?
• Надо ли получать лицензии?
• Как осуществлять трансграничную передачу?
Есть мнение, все просто?...
КАК ПОЛУЧИТЬ СОГЛАСИЕ?
• Письменно! не всегда возможно… как быть?
• Принцип: публичная оферта
− характерен для: интернет бизнеса
− необходим для: оказания услуг для нового клиента без его присутствия
• Принцип: молчание – знак согласия
− характерен для: фин. сектора, ритейла и др.
− необходим для: обработки данных бывших или существующих клиентов
Железобетонно? Нет, но лучше чем ничего.
ВЗАИМОДЕЙСТВИЕ С РЕГУЛЯТОРОМ
• 321 плановая проверка в 2009 г.
• 854 проверки запланировано на 2010 г.
• 19 предписаний за 2008 г.
• 0 случаев запрета обработки ПДн.
Роскомнадзор
• Уведомление об обработке
• Запросы, пишите запросы!
• Согласование планов. Возможно ли?
• Консультационный совет
КАК ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ?
Камни преткновения
• Как классифицировать специальную систему?
• Как оценить ущерб субъекту ПДн?
• Как выбрать нужные мероприятия и средства защиты ПДн?
• Надо ли получать лицензии ФСТЭК и ФСБ?
Есть мнение, в точку...
КЛАССИФИКАЦИЯ ИСПДН
Типовые
Специальные
1 класс
Для всех ИСПДн необходимо обеспечить конфиденциальность ПДн
2 класс 3 класс 4 класс
В ИСПДн имеются данные о состоянии здоровья
В ИСПДн автоматически принимается решение,
порождающее юридические последствия
Либо при необходимости обеспечения защищенности от уничтожения,
изменения, блокирования, а также иных
несанкционированных действий
АЛГОРИТМ КЛАССИФИКАЦИИ КРОК
Анализ
ИСПДн
Типовая
?
Анализхарактер
истик
?
К1 К2 К3 К4
Да
Построение
Модели
угроз
Ущерб
?
К1
К2
К3
К4
Нет
+Контр. меры из
Модели
ОПРЕДЕЛЕНИЕ УЩЕРБА СУБЪЕКТУ
• Непосредственный ущерб субъекту
• Опосредованный ущерб субъекту
• Определение шкалы и величины ущерба
• Значительный негативный ущерб субъекту: ущерб
жизни и здоровью
• Негативный ущерб: материальный и/или
значительный моральный ущерб
• Незначительный ущерб: моральный вред
КАК ВЫБРАТЬ МЕРОПРИЯТИЯ
ПО ЗАЩИТЕ ПДН?Стратегия защиты:
• Централизация обработки ПДн
• Неавтоматизированная обработка на местах
Модель угроз – основа компромисса:
• Только актуальные системе угрозы
• Основа выбора способов защиты,
предусмотренных для соответствующего класса
информационных систем
Постановление 781 п. 12 б)
СТРАТЕГИЯ ЦЕНТРАЛИЗОВАННОЙ
ЗАЩИТЫ ПДН
Дочернее
ОбществоПользователи
ПДн
«Центральная» ИСПДн
Ex: Биллинг
ИСПДнСпециальная
Платежная система
Дочерние
Общества
Ex: ERP, CRM
СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ. ПРОЕКТЧто внедряется в рамках СЗПДн?
Подсистема управления доступом
Подсистема регистрации и учета
Подсистема обеспечения целостности
Подсистема антивирусной защиты
Подсистема контроля защищенности
Подсистема криптографической защиты
Подсистема обнаружения вторжений
Акустическая защита
ПЭМИН К1 и К2
Только К1
Только К1
СИСТЕМА ЗАЩИТЫ. БАЗОВЫЕ
Сертифицированные системы доверенной загрузки
и контроля целостности
Сертифицированные средства
межсетевого экранирования, сегментация ИСПДн
Сертифицированные средства обнаружения
и предотвращения вторжений (сетевых атак)
Сертифицированные средства и системы
антивирусной защиты
Сертифицированные средства контроля
защищенности
СИСТЕМА ЗАЩИТЫ. РАСШИРЕННЫЕ
Сертифицированные ОС, СУБД
и приложения по требованиям
безопасности
Сертификация средств защиты
по уровню отсутствия НДВ
Сертифицированные ФСБ средства
криптографической защиты
СИСТЕМА ЗАЩИТЫ. РЕДКИЕ
ПЭМИН: обеспечение необходимой контролируемой
зоны, использование генераторов
электромагнитных помех
Акустическая защита помещений: организационные
мероприятия, звукоизоляция, использование зашумления
Сертифицированные по уровню отсутствия НДВ
компоненты ИСПДн
ЗАЩИТА ВНЕШНИХ КАНАЛОВ СВЯЗИ
• Угроза: перехват ПДн во внешних каналах связи
• Мероприятия ФСТЭК не могут минимизировать
угрозу
• Использование сертифицированных СКЗИ:
− Разработка модели нарушителя ФСБ
− Выбор соответствующего СКЗИ
− Реализация мероприятий по защите СКЗИ от НСД и
ПЭМИН
Почему не ФСТЭК?
НЕОБХОДИМА ЛИ ЛИЦЕНЗИЯ?
• Текущее положение дел
(Комитет Государственной Думы
по собственности, Комитет
Государственной Думы
по безопасности)
• Требования регуляторов
(ФСТЭК – ИСПДн 1 и 2 класса; ФСБ
(при использовании
криптографических СЗИ – лицензия
на обслуживание, и т.д.)
• Рекомендации КРОК
КАК ОБРАБАТЫВАТЬ ПДН ЗА РУБЕЖОМ?
• Нельзя запрещать передачу (за исключением …)
• Необходимо иметь свидетельства адекватной
защиты ПДн
• Не требуется согласия регулятора
• Регулятора достаточно уведомить
• Необходимо письменное согласие субъекта,
если нет адекватной защиты ПДн
Актуально для: международных компаний
Необходимо для: оказания услуг, управления компанией и проч.
ЗАЩИТА ВНЕШНИХ КАНАЛОВ СВЯЗИ
• Нельзя ввозить зарубежные СКЗИ
• Нельзя вывозить отечественные СКЗИ
• Защита каналов связи:
− Встроенными в ОС средствами
− Встроенными в средства МЭ
− Встроенными средствами приложений
Трансграничная передача
ПЛАН МЕРОПРИЯТИЙ КРОК
Этап 1. Проведение аудита
Этап 2. Разработка модели угроз для ИСПДн.
Классификация ИСПДн
Этап 3. Создание нормативно-методической базы
Этап 4. Техническое проектирование СЗПДн
Этап 5. Сертификация средств защиты
Этап 6. Внедрение СЗПДн
Этап 7. Получение лицензии на ТЗКИ
Этап 8. Проведение аттестации ИСПДн
www.CROC.ru/PD
СПАСИБО ЗА ВНИМАНИЕ!
Евгений Чугунов
ЭКСПЕРТ ПО
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
Тел: (495) 974 2274
E-mail: [email protected]
