Мастер класс ПДн Левцов

Актуальные вопросы защиты персональных данных:

как выжить после 01.01.10Вениамин Левцов, PMP ©

Директор департамента продуктов и услуг

© LETA IT-Company


как выжить после 01.01.10

Вероятные изменения положений закона в ближайшее время

Актуальные проблемы закона в фокусе обсуждения в Государственной Думе

Рекомендации для операторов персональных данных

Необходимые шаги при ведении проектов по построению систем защиты персональных данных

Основные темы

Срок готовности: будет ли сдвиг?



Изменение срока приведения в соответствие с требованиями закона

Информационные системы персональных данных должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года. (Проект изменений в закон № 284213-5 )

Решено: «принять законопроект в первом чтении; представить поправки к законопроекту в десятидневный срок со дня принятия постановления»

Скорее всего последует ряд других изменений в первой половине 2010 года

Срок готовности: будет ли сдвиг?



Еще одного переноса сроков не будет.

Понятие «персональные данные»



Определение понятия "персональные данные" несет неопределенность

Какой набор данных однозначно определяет физическое лицо:

ФИО? + адрес? + ИНН?

Прозвище?

Какой вообще потенциальный ущерб от хранения где-то моего ФИО?

Строгий ключевой ID или узнаваемость?

Что такое "обезличенные" персональные данные?




Необходимо явное категорирование данных с учетом потенциального ущерба в случае их компрометации

Сравните:

Иванов был на больничном vs Иванову поставлен грипп A/H5N1

Иванову присвоена инвалидность III гр. vs Иванову присвоена инвалидность III гр. в связи с диабетом

Иванов имеет счет в Сбербанке РФ vs Иванов имеет расчетный счет в Сбербанке на сумму NNNN руб. с дистанционным обслуживанием

Иванов обучался в МГУ на юридическом факультете vs … и получил «УДОВ.» по коммерческому праву




Реальный объект защиты – лишь некоторые наборы данных, хранимые в определенных учреждениях

«… условное выделение основных сфер жизнедеятельности… и составление минимальных перечней персональных данных» (Предложение Роскомнадзора на Парламентских слушаньях 20.10.09)

Данные о банковском счете

Детали постановки диагноза и лечения

Имущество в собственности, доход

Коммуникации: номера телефонов (мобильный, домашний, внутренний рабочий), e-mail

Данные о семейном положении



Актуальные технические проблемы:

Лицензирование деятельности

Использование сертифицированных средств защиты

Аттестация информационных систем

Защита от инсайдеров

Применение криптозащиты

Лицензирование деятельности по защите информации



Требуется получение лицензии на деятельность по технической защите конфиденциальнойинформации (РД «Основные мероприятия по организации и техническому обеспечению безопасности..» ФСТЭК России, 15.02.2008 г.)

Обязанность – непосредственно у оператора

ИС 1, 2 классов и распределенные ИС 3 класса

Затрагивает практически каждую организацию

▫ Как быть школам? Детским садам? Больницам?

Привлечение исполнителя – лицензиата ФСТЭК России

Централизованная обработка с перераспределением ответственности

Лицензирование деятельности по защите информации



«До конца 2009 года внести изменения в Федеральный закон от 8 июля 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» в части:

исключения необходимости получения лицензии на техническую защиту информации ограниченного доступа (не составляющей государственную тайну) при обработке такой информации для собственных нужд…»

(Рекомендации Парламентских слушаний от 20 октября 2009 года)




ПО, используемое для защиты информации, должно быть сертифицировано на соответствие определенному уровню контроля отсутствия недекларированных возможностей (НДВ)

Правовой статус Руководящих документов Гостехкомиссии?

«Документ может использоваться как нормативно-методический материал…» (РД от 30.03.1992)

Насколько обязательным является требование?

«При выборе технических средств защиты следуетиспользовать сертифицированные средства защиты информации» (Рекомендации по обеспечению безопасности персональных данных.. Утверждены ФСТЭК России 15 февраля 2008 г.)




Подход предполагал статичность кода ПО

Время прохождения сертификации от 3 мес.

Отсутствует прозрачное предложение услуг

Проблема функциональной полноты: как выглядит идеальная программа по уровню НДВ?

Отсутствует правовое регулирование сертификации средств защиты информации в ИСПДн по ТУ

НДВ – не панацея: практика «заложенных уязвимостей»

Крах системы управления уязвимостями

Требование аттестации ИСПДн



Необходимость проведения финальной аттестации информационной системы ПДн (РД «Основные мероприятия по организации и техническому обеспечению безопасности..» ФСТЭК России, 15.02.2008 г.)

ИСПДн 1 и 2 классов: обязательная аттестация по требованиям безопасности информации

ИСПДн 3 класса: декларирование соответствия требованиям по безопасности информации

Не определен порядок проведения аттестации

Границы повторной аттестации при изменении объекта

Высокая цена: от 30 до 100 тыс. за рабочее место

ЕСТЬ защита от НСД - НЕТ защиты от утечек



Защите персональных данных от несанкционированного доступа реализуется в рамках подсистем системы защиты:

▫ управления доступом, регистрации и учета

(авторизация)

▫ обеспечения целостности (умышленный вред

системе, вредоносный код)

▫ криптографической защиты (утрата носителя)

▫ антивирусной защиты, обнаружения вторжений

(внешние программные угрозы)

О какой угрозе забыли?

ЕСТЬ защита от НСД - НЕТ защиты от утечек



Ст. 19 Закона явно требует организации защиты персональных данных от распространения

Защита от незаконных действий авторизованного пользователя не регламентируется в РД

Предотвращение утечки данных по каналам электронной почты и web-почты

Управление парком переносных носителей

Контроль заданий печати

Мониторинг обращений к базам данных

Контроль действий пользователей в сети

Использование средств криптозащиты



Передача данных по открытым каналам, разделяемые области на дисках, переносные носители информации, мобильные устройства –необходимость использования очевидна

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке▫ 1. Оператор при обработке персональных данных обязан принимать

необходимые организационные и технические меры, в том числе

использовать шифровальные (криптографические) средства, для

защиты персональных данных от неправомерного или случайного

доступа к ним, уничтожения, изменения, блокирования, копирования,

распространения персональных данных, а также от иных

неправомерных действий.

Использование средств шифрования для защиты в ИСПДн регулируется в РД ФСБ России



Актуальные организационные проблемы исполнения требований закона

(в свете обсуждения на Парламентских слушаньях)



Право субъекта на отзыв согласия на обработку данных

Потенциальная остановка множества основных бизнес-процессов обслуживания клиента

Возможно судебное принуждение субъекта персональных данных

Сложности с получением справок (например, об образовании) – снижение качества риск-оценок

Актуальные организационные проблемы



Требование уничтожения персональных данных , если они не являются необходимыми для заявленной цели обработки

Как хранить данные в CRM для последующей работе с клиентом?

Как исполнять требования хранения архивов кадровых служб?

Как исполнять требования закона о противодействии «отмыванию» средств?




Необходимость получения согласия субъекта до вступления в договорные отношения

Как быть с дистанционной торговлей?

Абитурьенты? Кандидаты?

Как обрабатывать кредитные заявки?




Права на получение информации об обработке данных: способы, цели, вовлеченные лица, сроки обработки и хранения, сведения о том, какие юридические последствия может повлечь обработка данных.

Своего рода «DDoS»-атаке может подвергнуться любая организация, ведущая массовое обслуживание




Рекомендации для операторов персональных данных

(тем, кто еще не завершил построение системы обработки ПДн)



1. Проведите программу повышения осведомленности сотрудников:

Директорат

Юристы

Информационная безопасность

Линейные менеджеры процессов, вовлеченных в обработку ПДн

Внутренние аудиторы

и назначьте ответственных.

Рекомендации для операторов



2.Подготовьтесь к юридической работе:

В законе о ПДн и подзаконной нормативной базе широкое поле для работы юриста

Вспомните положения о защите прав юридических лиц при проведении проверок

Если вы в списке плановых проверок Роскомнадзора, откройте проект по подготовке к проверке

Будьте готовы к проведению документарной проверки




3.Проведите инвентаризацию ПДн, субъектов и процессов:

Составьте карту основных процессов по обработке ПДн

Выделите основные роли в обработке данных

Выделите группы субъектов ПДн

Подготовьте формы ответов на запросы субъектов и формы получения их согласия




4.Планируйте будущий проект :

Это поможет оценить и заложить бюджет

Это поможет при работе в рамках проверки

Проведите инвентаризацию ИТ-решений

Проведите обследование информационных систем силами сторонней компании

Опросите владельцев информации: что им на самом деле критически важно для работы?




5.Постарайтесь выделить варианты «обезличивания данных» :

Пример «Медицинские карты»

Пример «Электронный дневник»

Пример «Система активации ПО»

Пример «Карта покупателя»




Класс системы – сложность проекта

К1К2

К3К4

Управление

количеством


доступом


составом

данных

Вениамин Левцов,Директор департамента продуктов и услуг

[email protected]

LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2

Тел./факс: +7 495 921 1410

www.leta.ru

Спасибо за внимание!

© LETA IT-Company

mailto:[email protected]

http://www.leta.ru/

Мастер класс ПДн Левцов

Business