Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Анализ технических мер защиты

персональных данных. Оптимизация затрат на тех. инфраструктуру

Круглова Елена Владимировна директор по развитию (ИТ)

ООО «Управляющая компания «КапиталЪ» ИТ директор ЗАО «Холдинг УК»

2

План

Этапы подготовки к проверке Роскомнадзора

Анализ: где искать ПД ?

Классификация: специальная или типовая ИС?

Определение объема требований

Оптимизируем!

Точки контроля во время проверки

3

Порядок подготовки к проверке

Этап 1. Анализ обработки ПД - Источники получения ПД- Места хранения ПД (архивы, БД, серверные и тд)- Процессы перемещения/обработки носителей, информации между людьми/системами/местами хранения- Передача данных/документов/носителей третьим лицам

Этап 2. Классификация ИС (Приказ №55/86/20).

Этап 3. Определение

объема требований к защите

Ресурсы?

Этап 4. Оптимизация:- сокращение мест хранения- уничтожение/обезличивание данных- перевод в общедоступные ПДи др.

Этап N. Реализация

защиты:

- Написание документов- Введение адм. мер- Обучение персонала- Внедрение СЗИ

Нет

Да

4

Где искать ПД? (слайд 1)

Программы, содержащие данные клиентов (физ. лиц):

CRM, база данных потенциальных клиентов

Система сбора заявок, анкетных данных (если есть)

Внутренний/операционный учет

Расчет НДФЛ

База данных для передачи данных по НДФЛ в ФНС

Системы ЭДО (Например, пайщики)

Программы, содержащие данные представителей клиентов/контрагентов (юр. лиц):

Системы ЭДО

Программы учета (?)

5

Где искать ПД? (слайд 2)

Программы, содержащие конф. данные сотрудников:Кадровый, воинский учет Расчет НДФЛ(!) База данных для передачи данных по НДФЛ в ФНС (!) База данных для передачи данных в ПФРДанные по зарплатным карточкам (для перевода средств)Банк-клиенты, системы ЭДО (?)(!) Базы данных для передачи данных по ОМС, ДМС

Программы, содержащие общедоступные данные сотрудников:СайтВнутренний корпоративный сайт Почтовая программаБаза данных пользователей сети у ИТ

6

Точки контроля

Соответствие объема данных в ИС описанным во внутренних документах (PrintScrn)

Отсутствие данных по клиентам или сотрудникам, с которыми расторгнуты отношения

Отсутствие специальных категорий ПД: национальность (!поля «комментарий»)

Общедоступные источники: сравнение с Согласием

7

Анализ и классификация систем

1. Проведение классификации систем

Категория обрабатываемых данных Объем обрабатываемых данныхЗаданные характеристики безопасностиСтруктура ИСНаличие подключения ИС к сетям общего пользованияРежим обработки ПД (однопользовательские и многопользовательские)

Режим разграничения прав доступа пользователей ИСМестонахождение тех. средств ИС

2. Специальная или типовая ИС

3. Определение класса типовой ИС

8

Определение класса типовой ИСПДн

Количество субъектов ПД

< 1 000

Количество субъектов ПД

1 000 – 100 000

Количество субъектов ПД

> 100 000

4 категория (обезличенные данные)

К4 К4 К4

3 категория

(идентифицировать субъект ПД)

К3 К3 К2

2 категория

(идент. и получить доп. информацию)

К3 К2 К1

1 категория

(специальная категория)

К1 К1 К1

«..В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем..»

9

Основные требования к системам различных классов

Контроль отсутствия НВ

Требования к защите от ПЭМИН

Требования к защите от НСД и НД

Требования к защите акустической информации

К1 + +

(могут применяться…)

+ +

(если исп. голосовой ввод)

К2 Целесообразность

определяется оператором

+

(гос.стандарты)

+ -

К3 - + -

К4 Перечень мероприятий определяется оператором

Приказ ФСТЭК №58 от 19.02.2010

Модель угроз

10

Оптимизация. Основные виды расходов

На технические меры защиты информации: закупку/настройку/поддержку (Например, для защиты от НСД и неправомерных действий должны быть внедрены системы: управление доступом; регистрация и учет; обеспечение целостности; контроль отсутствия недекларированных возможностей; антивирусная защита; обеспечение безопасного межсетевого взаимодействия ИСПДн; анализ защищенности; обнаружение вторжений)

На административные меры защиты информации: разработка внутренней документации, охрана и др.

На изменение бизнес процессов, связанных с реализацией мер защиты, оптимизацией расходов

На наем персонала, обучение

На подготовку к получению лицензий ФСТЭК, ФСБ в случае необходимости

На подготовку к аттестации СЗ ИСПДн

11

Методы оптимизации расходов на тех. средства

Изменение класса ИСПДн (для типовых)- Изменение категории ПД

- Изменение объема ПД

Уменьшение объема технических требований (для заданного класса)- Специальные ИС

- Другие способы

Аутсорсинг (хранения, защиты и др.)

12

Оптимизация. Понижение класса ИС

Изменение категории ПДОбезличиваниеПеревод в категорию общедоступных данныхОтделение данных, позволяющих идентифицировать субъект ПД, от данных, позволяющих получить о нем дополнительную информациюОтказ от сбора части информации, заведение в ИС

(например, графа национальность для сотрудников)

Изменение объема ПДДробление ИС на подсистемы (базы данных) с меньшим объемом

«.. информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем..»

Уничтожение данных, по которым истек срок полезного использованияОрганизация архивов без использования средств автоматизации

13

Оптимизация. Понижение технических требований. Специальные ИС

Специальные ИС - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Требования?

14

Оптимизация. Понижение технических требований. Слайд 2

Пересмотр схемы подключения к сетям общего пользования

Пересмотр местонахождения тех. средств ИС

Пересмотр границ ИС. Разделение сегментов сети разных классов. Терминальный доступ.

15

Оптимизация. Пример выделения ИСПДн

ИСПДн 2,3 классовДругие пользователи

ИнтернетИСПДн 1 класса Их пользователи

Межсетевой экран

Межсетевой экран

Межсетевой экран

16

Оптимизация. Аутсорсинг

Создание холдингов, внешний хостинг

Подряд внешних компаний

17

Защита. Организационные меры (ПП №781)

По информационным системам (по каждой):Регламент выдачи прав доступа в ИСМатрица доступа; список лиц, обрабатывающих ПД Регламент уничтожения/обезличивания данных (включая резервные копии!)Инструкции операторам, и администратору безопасности ИСОписанный порядок действий с данными в ИС«Логи»: журналы учета данных и действий в ИСДокумент описывающий передачу ПД между ИС

Общие тех. документы:Перечень технических средств, участвующих в обработке ПД (можно в электронном виде, ПП №781)Комиссия по классификацииАкт классификации ИС (Приказ № 55/86/20)Наличие модели угроз безопасности

18

Защита. Организационные меры

Обучение персонала

Данные журналистов, визитки (?)

Резюме потенциальных кандидатов

Пункт охраны (пропуска!)

19

ЗАКЛЮЧЕНИЕ

Спасибо за внимание!

Легких вам проверок и эффективной защиты!

Круглова Елена Владимировнадиректор по развитию ООО «УК «КапиталЪ»

+7 (495) 777-01-70 (доб. 2377, 2477) Elena.Kruglova@kapital-am.ru