Хранение  ПДн(в  контексте   проектирования   и  разработки   ИС  и  сайтов   сети  Интернет)

ПРОЗОРОВ  АНДРЕЙ,  CISM

2016-­‐04 1

2016-­‐04 2

Прозоров  Андрей,  CISMРуководитель  экспертного  направленияSolar  SecurityРабочие  группы  по  ПДн:  ФСТЭК  России,  Совет  Федерации,  Минздрав  РоссииПреподаю  юридические  аспекты  ИБ  в  РАНХиГС  при  Президенте  РФ  (MBA) и  НИУ  ВШЭ

Мой  блог:  80na20.blogspot.comМой  твиттер:  twitter.com/3dwave

Общие  вопросы(чтобы   я  понимал   общий  уровень   подготовки   аудитории)

1. Кто  в  аудитории?  Юристы,  HR,  руководители  подразделений,  маркетинг,  подразделение  ИБ  и  др.?

2. Кто  знаком  с  темой  ПДн  и  читал  152-­‐ФЗ?

3. Кто  знаком  с  242-­‐ФЗ?

4. Кто  понимает,  чем  занимается  РКН?

5. Кто  знает,  что  такое  Приказ  №21?

6. А  Приказ  №378?

7. А  Приказ  №17?

2016-­‐04 3

Очень  короткий  курс,  2ч  

2016-­‐04 4

• Ориентир  на  юристов  и  менеджеров

• Фокус  на  важнейшие  моменты

• Фокус  на  практическую  пользу

• Совсем  простые  вещи  обсуждать  не  хотелось  бы…

Общее  содержание  курса1. Актуальность  темы  и  перечень  нормативных  документов

2. Базовые  термины  и  особенно  термин  «ПДн»

3. Видение  со  стороны  регуляторов

4. РКН  и  отчет  о  деятельности  за  2015  год

5. Типовые  нарушения  по  ПДн

6. Что  писать  в  Политике  оператора  и  Соглашении  с  субъектом  ПДн?

7. 242-­‐ФЗ  и  Реестр  нарушителей  прав  субъектов  ПДн

8. Требования  по  защите  ПДн

9. Аттестация,  сертификация  и  лицензирование

10. Защита  ГосИС

2016-­‐04 5

Почему  тема  ПДн  не  проста?1. Слишком много нормативных документов, и они слишком часто обновляются.2. Помимо «универсальных» требований (ФЗ, ПП, РКН, Минкомсвязь России,

ФСТЭК России, ФСБ России) есть еще и отраслевые требования ирекомендации (ЦБ РФ, Минздрав России, про ПДн для гос.служащих,стандарты НАПФ, рекомендации ДИТ Москвы и пр.)

3. Тема не нова, но регулярно получает «новое дыхание» (постоянное вниманиеСМИ, обсуждение повышения штрафов, вывод РКН из-­‐под действия 294-­‐ФЗ (озащите юр.лиц при гос.контроле), 242-­‐ФЗ (ПДн на территории России)…)

4. Слишком много спорных и сложных тем (суть термина «ПДн», трансграничнаяпередача, фото и биометрические ПДн, хранение БД на территории России,передача 3м лицам, сертификация СЗИ, достаточность мер защиты,актуальные угрозы и пр.)

5. Слишком много материалов (и устаревших) по теме, сложно вычленитьглавное

6. Обычно темой занимаются юристы и отдел персонала, они «игнорируют»вопросы информационной безопасности

7. Слишком мало проверок и слишком низкие штрафы (низкий приоритет работ,«подождем еще»/«к нам не придут»)

2016-­‐04 6

Почему  темой  стоит  заниматься?• Формальные  требования,  выполнять  обязаны.  Кстати,  давно  хотят  повысить  штрафы…

• Можем  попасть  под  проверку  /  систематический  контроль

• Могут  быть  репутационные  потери  (при  утечке  ПДн,  при  жалобах  клиентов,  при  неудачных  проверках  регулятором)

• «Все  занимаются  и  мы  займемся»• Просто  красивое  маркетинговое  преимущество

• Можно  попасть  в  реестр  нарушителей  с  последующей  блокировкой  сайта

2016-­‐04 7

Требования  (самые  важные)1. Федеральный закон N 149-­‐ФЗ "Об информации, информационных технологиях и о

защите информации"

2. Федеральный закон N 152-­‐ФЗ "О персональных данных"

3. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требованийк защите персональных данных при их обработке в информационных системахперсональных данных"

4. Постановление Правительства РФ от 19.08.2015 N 857 "Об автоматизированнойинформационной системе "Реестр нарушителей прав субъектов персональныхданных"

5. "Трудовой  кодекс  Российской  Федерации"  (Глава  14.  Защита  персональных  данных  работника)

6. Постановление  Правительства  РФ  от  15.09.2008  N  687  "Об  утверждении  Положения  об  особенностях  обработки  персональных  данных,  осуществляемой  без  использования  средств  автоматизации"

7. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержанияорганизационных и технических мер по обеспечению безопасности персональныхданных при их обработке в информационных системах персональных данных"

2016-­‐04 8

Общий  список  тут  -­‐ http://80na20.blogspot.ru/p/blog-­‐page_17.html

Важные  термины  152-­‐ФЗ

2016-­‐04 9

1) персональные данные -­‐ любая информация, относящаяся к прямо или косвенноопределенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор -­‐ государственный орган, муниципальный орган, юридическое или физическоелицо, самостоятельно или совместно с другими лицами организующие и (или)осуществляющие обработку персональных данных, а также определяющие цели обработкиперсональных данных, состав персональных данных, подлежащих обработке, действия(операции), совершаемые с персональными данными;

3) обработка персональных данных -­‐ любое действие (операция) или совокупностьдействий (операций), совершаемых с использованием средств автоматизации или безиспользования таких средств с персональными данными, включая сбор, запись,систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,использование, передачу (распространение, предоставление, доступ), обезличивание,блокирование, удаление, уничтожение персональных данных;

10) информационная система персональных данных -­‐ совокупность содержащихся в базахданных персональных данных и обеспечивающих их обработку информационныхтехнологий и технических средств;

11) трансграничная передача персональных данных -­‐ передача персональных данных натерриторию иностранного государства органу власти иностранного государства,иностранному физическому лицу или иностранномуюридическому лицу.

«Если совокупность данных необходима и достаточна дляидентификации лица, такие данные следует считатьперсональными данными, даже если они не включают в себяданные документов, удостоверяющих личность.

При этом данные нельзя считать персональными в том случае,если без использования дополнительной информации они непозволяют идентифицировать физическое лицо.

Изложенный подход допустимо рассматривать какучитывающий баланс интересов всех участников отношений.»

10

РКН  про  термин  ПДн

2016-­‐04

«Следующие данные также можно рассматривать какперсональные, несмотря на то, что в их отношении остаетсянекоторыйаспект вероятного совпадения:

фамилия, имя, отчество, дата рождения, место прописки;

фамилия, имя, отчество, дата рождения, должность;

фамилия, имя, отчество (возможно, фамилия и инициалы) плюслюбая информация, выделяющая субъекта из уже ограниченногокруга лиц.

Например, житель дома А.А. Иванов имеет такие-­‐то долги. Скореевсего, подобное объявление в подъезде однозначноидентифицирует субъекта, по меньшей мере, для жителей этогодома. Пока, однако, неясно, как точно дать определениеограниченного круга лиц, потому что «жители Москвы» — тожеограниченный круг лиц, а житель Москвы А.А. Иванов — это уже неконкретный субъект (вместе с тем пример с «жителем дома А.А.Ивановым»подтверждается судебной практикой).»

112016-­‐04

«Членами рабочей группы также были представленыотдельные примеры, основанные на опыте работы сперсональными данными. Так, к числу данных, которые немогут рассматриваться, по крайней мере, по отдельностидруг от друга в качестве персональных, могут быть отнесены:фамилия, имя, отчество, адрес проживания, электронныйадрес, номер телефона, дата рождения.

Другие идентификаторы сами по себе не определяютоднозначно конкретное физическое лицо. Такие данныедолжны быть отнесены к персональным данным только в томслучае, если они хранятся и обрабатываются совместно сидентификаторами, которые сами по себе определяютфизическое лицо.»

122016-­‐04

Вопросы  про  данные  на  веб-­‐сайтах

• Какая  СОВОКУПНОСТЬ  данных  обрабатывается?

• Какая  ЦЕЛЬ  обработки  такой  совокупности  данных?

• Какое  ОСНОВАНИЕ  для  обработки  ПДн?

• Проверяются  ли  ПДн  при  вводе?  Может  ли  субъект  внести  любые  данные,  представится  другим  лицом?

• Позволяют  ли  данные  ИДЕНТИФИЦИРОВАТЬ  субъекта  ПДн?

• Можно  ли  СОКРАТИТЬ  перечень  собираемой  информации?

2016-­‐04 13

Может  на  веб-­‐сайте  не  обрабатываются  ПДн?  И  не  стоит  усложнять?Может  стоит  удалить  упоминание  об  обработке  ПДн  на  сайте?  

2016-­‐04 14

http://www.museikino.ru

2016-­‐04 15

https://crowd.nami.ru

2016-­‐04 16

www.kia.ru

2016-­‐04 17

https://bcspremier.ru

2016-­‐04 18

http://klinikabudzdorov.ru

2016-­‐04 19

Что  обычно  делают?

2016-­‐04 20

Выполнениетребований  по  защите  ПДн

Выполнениетребований  к  обработке  ПДн  (работники  и  клиенты)

Что-­‐нибудь  по  защите  ПДн  (разграничение  

доступа,  режим  КТ,  правила  ИБ)  

Обычно  крупные  компании  с  выделенным  отделом  ИБ  (банки,  гос.компании),  инициатива  со  стороны  ИБ

Обычно  компании,  обрабатывающие  большое  кол-­‐во  ПДн  клиентов  (транспортные  компании,  гостиницы,  страховые  и  пр.),  и  компании  с  «сильными»  HR  (ПДн  работников)

B2C

Тема  ПДн  глазами  регуляторов

2016-­‐04 21

Регулятор Что интересует?

РКН Соблюдение  прав  субъектов  ПДн  (обычно  клиентов, реже  работников).  Положения:  152-­‐ФЗ,  ПП687,  ПП211  (для  гос.  и  муниципальных  органов)

ФСТЭК  России Выполнение  требований  по  технической  защите  ПДн  (обычно  для  ГосИС, реже  для  лицензиатов)Положения:  152-­‐ФЗ  ст.19,  ПП  1119,  Приказ  ФСТЭК  №21  (и  №17 для  ГосИС)

ФСБ  России Выполнение  требований  по  СКЗИ  (обычно  для  ГосИС,  реже  для  лицензиатов)Положения:  ПП  1119,  Приказ  ФСБ  России  №378,  методические  рекомендации  по  МУ

Упрощенно…

РКН  – наше  все!  

222016-­‐04

РКН  и  ПДн

2016-­‐04 23

http://rkn.gov.ru/personal-­‐datahttp://pd.rkn.gov.ru

24

ПДн  глазами  РКН

http://pd.rkn.gov.ru/faq/

2016-­‐04

2016-­‐04 25

2016-­‐04 26

2016-­‐04 27

Веб-­‐сайты  и  ИСПДн

2016-­‐04 28

2016-­‐04 29

2016-­‐04 30

Отчет  РКН  за  2015В 2015 году проведены 1 292 плановые проверки, из них 132 в отношениигосударственных и муниципальных органов, а также 104 внеплановыепроверки. По результатам проведенных контрольно-­‐надзорныхмероприятий выдано 731 предписание об устранении выявленных нарушений.

РКН переходит на систематическое наблюдение.

Составлен 7 721 протокол об административных правонарушениях. Порезультатам рассмотрения протоколов наложено административных штрафовна общую сумму 10 454 600 рублей.

За 2015 год в адрес Роскомнадзора и его территориальных органов поступило33 327 обращений граждан и юридических лиц, что на 60,4% больше, чем в2014 году (20 132 обращения). От граждан поступило 32 647 обращений ижалоб, от юридических лиц – 680. По результатам рассмотрения жалобграждан доводы заявителей подтвердились в 7,6% случаев.

Наибольшее количество жалоб граждан поступило на действия кредитныхучреждений, организаций ЖКХ, коллекторских агентств, на нарушения состороны интернет сайтов, в том числе социальных сетей.

2016-­‐04 31

Типовые  нарушения  по  ПДн1. Представление в уполномоченный орган уведомления об обработке ПДн,

содержащего неполные и (или) недостоверные сведения

2. Отсутствие у оператора места (мест) хранения ПДн (материальныхносителей), перечня лиц, осуществляющих об работку ПДн либо имеющих кним доступ

3. Отсутствие в поручении лицу, ответственному за обработку ПДн,обязанности соблюдения конфиденциальности ПДн и обеспечения ихбезопасности, а также требований к защите обрабатываемых ПДн

4. Обработка ПДн в случаях, не предусмотренных законом. (В частности,обработка при достижении целей обработки)

5. Отсутствие на сайте Политики оператора в отношении обработки ПДн иконтактов для связи

2016-­‐04 32

Что  писать  в  Политике  (на  сайте)1. Общие  понятия  и  принципы  обработки  ПДн.  (ст.3  и  5,  +принцип  

"Конфиденциальности"  (ст.7))

2. Условия  и  цели обработки. (Ст.5,  6,  9,  10  (спецкатегории  ПДн)  +  ссылка  на  согласие)  

3. Общее  описание  обработки  ПДн. (перечисляем  группы  субъектов  ПДн,  даем  ссылку  на  Перечень  ПДн,  перечисляем  действия  из  термина  «обработка  ПДн»,  упоминаем  трансграничную  обработку  ПДн  (ст.12),   специальные  категории  ПДн  (ст.10)  и  биометрические  ПДн  (ст.11),  а  также  про  "принятие  решения  на  основании  исключительно  автоматизированной  обработки"  (ст.16),  перечисляем  организаций  которым  передаются  ПДн  для  обработки)

4. Сроки  обработки  ПДн  и  порядок  прекращения  обработки.  

5. Меры  в  области  обработки  и  защиты  ПДн. (ст.18.1  и  19)  

6. Права  субъекта  ПДн (+  про  возможность  отзыва  согласия)

2016-­‐04 33

Рекомендуется  писать  максимально  общими  фразами  и  копи-­‐пастом  из  152-­‐ФЗ.  

Уведомление  РКН

2016-­‐04 34

http://pd.rkn.gov.ru/operators-­‐registry/notification/form

35

242-­‐ФЗ242-­‐ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательныеакты РФ…».

Суть:

Идея №1 (ст.15.5 149-­‐ФЗ): «В целях ограничения доступа к информации всети "Интернет", обрабатываемой с нарушением законодательства РФ вобласти ПДн, создается автоматизированная информационная система«Реестр нарушителей прав субъектов ПДн» …

Идея №2 (в ст.18.п.5 152-­‐ФЗ): «При сборе ПДн, в том числе посредствоминформационно-­‐телекоммуникационной сети "Интернет", операторобязан обеспечить запись, систематизацию, накопление, хранение,уточнение (обновление, изменение), извлечение ПДн граждан РФ сиспользованием баз данных, находящихся на территории РФ заисключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6настоящегоФЗ.» …

2016-­‐04

Про  реестр  нарушителей  ПП857

С 01.09.2015 по 31.12.2015  на основании  судебных  решений в реестр  было  внесено  105  записей;  29  интернет-­‐ресурсов  подверглись  блокировке.

РКН  получает  акт  об  ограничении  доступа  (судебное  решение),  в  течение  3х  дней  вносит  в  реестр  и  направляет  запрос  провайдеру.

В  реестр  вносят:

• Доменные  имена  и/или  указатели  страниц  сайтов

• Сетевые  адреса

• Указание  на  вступивший  в  силу  судебный  акт

• Дата  и  время  отсылки  информации  РКН

• Информация  об  устранении  нарушения

2016-­‐04 36

37

Что  сейчас  про  ПДн?1.Отсутствует  требование  о  запрете  хранения  ПДн  за  пределами  РФ2.Отсутствует  требование  о  хранении  ПДн  только  на  территории  РФ3.Отсутствуют  требования  и  рекомендации  по  использованию  «базы  данных»,  упомянутой  в  законе  4.Отсутствуют  требования    по  формату  и  сроку  хранения  ПДн

5.В  152-­‐ФЗ  остались  положения  про  трансграничную  передачу  ПДн

«Трансграничная передача ПДн -­‐ передача ПДн на территориюиностранного государства органу власти иностранногогосударства, иностранному физическому лицу или иностранномуюридическому лицу.»

2016-­‐04

38

152-­‐ФЗ  ст.12Статья 12. Трансграничная передача ПДн

1. Трансграничная передача ПДн на территории иностранных государств, являющихся сторонами Конвенции Совета Европы озащите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающихадекватную защиту прав субъектов ПДн, осуществляется в соответствии с настоящим ФЗ и может быть запрещена илиограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересовграждан, обеспечения обороны страны и безопасности государства.

2. Уполномоченный орган по защите прав субъектов ПДн утверждает перечень иностранных государств, не являющихсясторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и обеспечивающихадекватную защиту прав субъектов ПДн. Государство, не являющееся стороной Конвенции Совета Европы о защитефизических лиц при автоматизированной обработке ПДн, может быть включено в перечень иностранных государств,обеспечивающих адекватную защиту прав субъектов ПДн, при условии соответствия положениям указанной Конвенциидействующих в соответствующем государстве норм права и применяемых мер безопасности ПДн.

3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн,обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачиПДн.

4. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты правсубъектов ПДн, может осуществляться в случаях:1) наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;2) предусмотренных международными договорами Российской Федерации;3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строяРоссийской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасностиустойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества игосударства в сфере транспортного комплекса от актов незаконного вмешательства;4) исполнения договора, стороной которого является субъект ПДн;5) защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получениясогласия в письменной форме субъекта ПДн

2016-­‐04

39

Что  делают  операторы?

Вариант  3.  Ничего,  формально и  так  

используют  базы  данных,  находящихся  на  территории

Вариант  1.  Ничего,  риски  принимают  

Возможные  штрафы  минимальны*  (10  000  рублей),  вероятность  

проверки  минимальна.  Но  могут  заблокировать  сайт  в  сети  

Интернет

Вариант  2.  Ничего,  выжидают

Законодательство  по  ПДн  слишком  часто  меняется:  152-­‐ФЗ  14  раз  (существенно  в  2011);  подход  по  

защите  ПДн  уже  3й  (в  2012  утверждено  ПП1119)

Вариант  4.  Переделывают  ИТ-­‐инфраструктуру  

Строят/арендуют  ЦОДы,  закупают  дополнительные  системы  

хранения  данных

*  -­‐ хотя  уже  несколько  лет  ожидаем  повышение  штрафов…

2016-­‐04

242-­‐ФЗ+По  состоянию  на  31.12.2015,  сведения  по  п.  10  ч.  3  ст.  22  (про  местонахождение  базы  данных  ПДн)  Федерального  закона  представили  17 293  оператора,  что  составляет  5%  от внесенных  в  реестр.

2016-­‐04 40

МВА  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  (CSO) 41

242-­‐ФЗ

2016-­‐04

42

Но  есть  97-­‐ФЗ  (о  блогерах)97-­‐ФЗ  от  05.05.2014  (ред.  от  21.07.2014)  «О  внесении  изменений  в  149-­‐ФЗ…»

Суть:

Идея  №1  про  обязанности  организатора  распространения  информации  в  сети  "Интернет"

«Организатором распространения информации в сети "Интернет" являетсялицо, осуществляющее деятельность по обеспечению функционированияинформационных систем и (или) программ для электронных вычислительныхмашин, которые предназначены и (или) используются для приема, передачи,доставки и (или) обработки электронных сообщений пользователей сети"Интернет"». – довольно неконкретный термин, который можно очень гибкоиспользовать …

Идея  №2  про  блогеров

«Владелец сайта и (или) страницы сайта в сети "Интернет", на которыхразмещается общедоступная информация и доступ к которым в течение сутоксоставляет более трех тысяч пользователей сети "Интернет"».

Идея  №3:  Новые  статьи  (штрафы)  в  КоАП

2016-­‐04

43

Обязанности  организатораСт.10.1 п.3. Организатор распространения информации в сети "Интернет"обязан хранить на территории РФ информацию о фактах приема,передачи, доставки и (или) обработки голосовой информации,письменного текста, изображений, звуков или иных электронныхсообщений пользователей сети "Интернет" и информацию об этихпользователях в течение шести месяцев с момента окончанияосуществления таких действий, а также предоставлять указаннуюинформацию уполномоченным государственным органам,осуществляющим оперативно-­‐разыскную деятельность или обеспечениебезопасности Российской Федерации, в случаях, установленныхфедеральными законами.

…

+КоАП Статья 13.31 (новая). Неисполнение обязанностей организаторомраспространенияинформации в сети "Интернет:… Штраф до 500 000 рублей

2016-­‐04

УЗ  ПДн  по  ПП1119

2016-­‐04 44

ИСПДн-­‐Сспециальные

ИСПДн-­‐Ббиометрические

ИСПДн-­‐Ииные

ИСПДн-­‐Ообщедоступные

ПДн  сотрудников  оператора  или  ПДн  менее чем  100  000 субъектов,  не  являющихся  сотрудниками  оператора

АУ  3  типа(без  НДВ)

3 3 4 4

АУ  2  типа(НДВ  ПО)

2 2 3 3

АУ  1  типа(НДВ  ОС)

1 1 1 2ПДн  более чем  100  000 субъектов,  не  являющихся  сотрудниками  оператора

АУ  3  типа(без  НДВ)

2 3 3 4

АУ  2  типа(НДВ  ПО)

1 2 2 2

АУ  1  типа(НДВ  ОС)

1 1 1 2

Требования  по  ПП1119

2016-­‐04 45

Требования 1 2 3 4

1.Контроль  доступа  в  помещенияОрганизация  режима  обеспечения  безопасности   помещений,  в  которых  размещена  ИСПДн,   препятствующего  возможности  неконтролируемого  проникновения  или  пребывания  в  этих  помещениях  лиц,   не  имеющих  права  доступа   в  эти  помещения

+ + + +

2.Безопасность  носителейОбеспечение  сохранности   носителей  ПДн

+ + + +

3.Перечень  лиц,  допущенных  к  обработке  ПДнУтверждение  руководителем  оператора  документа,  определяющего  перечень  лиц,  доступ  которых  к  ПДн,   обрабатываемым  в  ИС,  необходим   для  выполнения  ими  служебных  (трудовых)  обязанностей

+ + + +

4.«Сертифицированные»  СЗИИспользование  СЗИ,  прошедших  процедуру   оценки  соответствия  требованиям  законодательства  РФ  в  области   обеспечения  безопасности   информации,   в  случае,  когда  применение  таких  средств  необходимо   для  нейтрализации   актуальных  угроз

+ + + +

5.Назначение  ответственного  за  безопасность  ПДнНазначение  должностного   лица  (работника),  ответственного  за  обеспечение  безопасности   ПДн  в  ИС

+ + + -­‐

6.Контроль  доступа  к  эл.журналу  сообщенийОбеспечение  доступа  к  содержанию  электронного  журнала   сообщений  исключительно  для  должностных  лиц  (работников)  оператора  или  уполномоченного  лица,   которым  сведения,  содержащиеся  в  указанном  журнале,  необходимы  для  выполнения  служебных  (трудовых)  обязанностей

+ + -­‐ -­‐

7.Автоматическая  регистрация  в  эл.журнале  безопасностиАвтоматическая  регистрация  в  электронном  журнале  безопасности   изменения  полномочий  сотрудника   оператора  по  доступу  к  ПДн,   содержащимся  в  ИС

+ -­‐ -­‐ -­‐

8.Создание  структурного  подразделенияСоздание  структурного   подразделения,   ответственного  за  обеспечение  безопасности   ПДн  в  ИС,  либо  возложение  на  одно  из  структурных  подразделений   функций  по  обеспечению  такой  безопасности

+ -­‐ -­‐ -­‐

9.Регулярный  контроль  за  выполнением  требованийСамостоятельно или  с  привлечением  лицензиата  по  ТЗКИ.  Не  реже  1  раза  в  3  года

+ + + +

Меры  защиты  по  Приказ  №21

2016-­‐04 46

I.  Идентификация  и  аутентификация  субъектов  доступа  и  объектов  доступа  (ИАФ)  II.  Управление  доступом  субъектов  доступа  к  объектам  доступа  (УПД)  III.  Ограничение  программной  среды  (ОПС)  IV.  Защита  машинных  носителей  персональных  данных  (ЗНИ)  V.  Регистрация  событий  безопасности  (РСБ)  VI.  Антивирусная  защита  (АВЗ)  VII.  Обнаружение  вторжений  (СОВ)  VIII.  Контроль  (анализ)  защищенности  персональных  данных  (АНЗ)  

IX.  Обеспечение  целостности  информационной   системы  и  персональных  данных  (ОЦЛ)X.  Обеспечение  доступности  персональных  данных  (ОДТ)  XI.  Защита  среды  виртуализации  (ЗСВ)  XII.  Защита  технических  средств  (ЗТС)  XIII.  Защита  информационной  системы,  ее  средств,    систем  связи  и  передачи  данных  (3ИС)  XIV.  Выявление  инцидентов  и  реагирование  на  них  (ИНЦ)  XV.  Управление  конфигурацией  информационной   системы  и  системы  защиты  персональных  данных  (УКФ)

Сертификация  и  лицензированиеПриказ №212. Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор илилицо, осуществляющее обработку ПДн по поручению оператора в соответствиис законодательством РФ.Для выполнения работ по обеспечению безопасности ПДн при их обработке винформационной системе в соответствии с законодательством РФ могутпривлекаться на договорной основе юридическое лицо или индивидуальныйпредприниматель, имеющие лицензию на деятельность по техническойзащите конфиденциальной информации.4. Меры по обеспечению безопасности ПДн реализуются в том числепосредством применения в информационной системе средств защитыинформации, прошедших в установленном порядке процедуру оценкисоответствия, в случаях, когда применение таких средств необходимо длянейтрализации актуальных угроз безопасности ПДн .6. Оценка эффективности реализованных в рамках системы защиты ПДн мер пообеспечению безопасности ПДн проводится оператором самостоятельно или спривлечением на договорной основе юридических лиц и индивидуальныхпредпринимателей, имеющих лицензию на осуществление деятельности потехнической защите конфиденциальной информации. Указанная оценкапроводится не реже одного раза в 3 года.

2016-­‐04 47

СЗИ  по  Приказ  ФСТЭК  №21

2016-­‐04 48

Уровни  защищенности  ПДн1 2 3 4

СВТ 5+ 5+ 5+ 6+СОВ 4+ 4+ 4+/5+ 5+АВЗ 4+ 4+ 4+/5+ 5+МСЭ 3+/4+ 3+/4+ 3+/4+ 5

НДВ 4+ 4+ -­‐/4+,  если АУ2

-­‐

Сертификация  и  лицензированиеПриказ №212. Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор илилицо, осуществляющее обработку ПДн по поручению оператора в соответствиис законодательством РФ.Для выполнения работ по обеспечению безопасности ПДн при их обработке винформационной системе в соответствии с законодательством РФ могутпривлекаться на договорной основе юридическое лицо или индивидуальныйпредприниматель, имеющие лицензию на деятельность по техническойзащите конфиденциальной информации.4. Меры по обеспечению безопасности ПДн реализуются в том числепосредством применения в информационной системе средств защитыинформации, прошедших в установленном порядке процедуру оценкисоответствия, в случаях, когда применение таких средств необходимо длянейтрализации актуальных угроз безопасности ПДн .6. Оценка эффективности реализованных в рамках системы защиты ПДн мер пообеспечению безопасности ПДн проводится оператором самостоятельно или спривлечением на договорной основе юридических лиц и индивидуальныхпредпринимателей, имеющих лицензию на осуществление деятельности потехнической защите конфиденциальной информации. Указанная оценкапроводится не реже одного раза в 3 года.

2016-­‐04 49

Защита  ГосИС• Документы:• Федеральный закон N 149-­‐ФЗ "Об информации, информационных технологияхи о защите информации"

• Приказ  ФСТЭК  России  от  11.02.2013  N  17  "Об  утверждении  Требований  о  защите  информации,  не  составляющей  государственную  тайну,  содержащейся  в  государственных  информационных  системах"  (Зарегистрировано  в  Минюсте  России  31.05.2013  N  28608)

• "Методический  документ.  Меры  защиты  информации  в  государственных  информационных  системах"  (утв.  ФСТЭК  России  11.02.2014)

• Есть  обязательная  аттестация  и  сертификация  

• Ожидаем  обновления  в  2016  году  (классов  защищенности  будет  3,  перечень  мер  будет  выровнен  с  21  и  31  приказами,  НДВ  4  будет  для  всех  классов)

• Ожидаем  расширение  области  действия  Приказа  №17  

2016-­‐04 50

Сертификация  и  лицензированиеПриказ№17

10. Для проведения работ по защите информации в ходе создания иэксплуатации информационной системы обладателем информации(заказчиком) и оператором в соответствии с законодательством РоссийскойФедерации при необходимости привлекаются организации, имеющиелицензию на деятельность по технической защите конфиденциальнойинформации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-­‐ФЗ «О лицензированииотдельных видов деятельности»

11. Для обеспечения защиты информации, содержащейся винформационной системе, применяются средства защиты информации,прошедшие оценку соответствия в форме обязательной сертификации насоответствие требованиям по безопасности информации в соответствии состатьей 5 Федерального закона от 27 декабря 2002 г. N 184-­‐ФЗ «Отехническом регулировании»

2016-­‐04 51

Типовой  проект  по  ПДн

1. Делаем  своими  силами

2. Покупаем  шаблоны  документов  и  минимальный  консалтинг

3. Приглашаем  внешних  консультантов  (регламентирование  обработки  ПДн  и  проектирование  СЗПДн)

2016-­‐04 52

Прозоров  Андрей,  CISMМой  блог:  80na20.blogspot.comМой  твиттер:  twitter.com/3dwave

2016-­‐04 53

Спасибо  за  внимание!