0
Техническая защитаинформационных систем персональных данных:проблемы… и решения?      Череповец, 2011 г.
Техническая защита персональных данных: проблемы… и решения?              Обзор НПД в области защиты ПДн                  ...
Техническая защита персональных данных: проблемы… и решения?      Неавтоматизированная обработка в ИСПДн  П. 1 ст. 1 152-Ф...
Техническая защита персональных данных: проблемы… и решения?      Неавтоматизированная обработка в ИСПДн  П.1 ПП-687: Обра...
Техническая защита персональных данных: проблемы… и решения?      Неавтоматизированная обработка в ИСПДн  П.1 ПП-781: Наст...
Техническая защита персональных данных: проблемы… и решения?      Неавтоматизированная обработка в ИСПДн  Целью операций с...
Техническая защита персональных данных: проблемы… и решения?      Неавтоматизированная обработка в ИСПДн                = ...
Техническая защита персональных данных: проблемы… и решения?         Классификация специальных ИСПДн  Приказ ФСТЭК, ФСБ, М...
Техническая защита персональных данных: проблемы… и решения?         Классификация специальных ИСПДн  Пережитки «Основных ...
Техническая защита персональных данных: проблемы… и решения?                       Фотография = Биометрия ?               ...
Техническая защита персональных данных: проблемы… и решения?                       Фотография = Биометрия ?Волков Алексей ...
Техническая защита персональных данных: проблемы… и решения?                       Фотография = Биометрия ?               ...
Техническая защита персональных данных: проблемы… и решения?    Модель угроз: интересные особенности          Классическая...
Техническая защита персональных данных: проблемы… и решения?    Модель угроз: интересные особенности                      ...
Техническая защита персональных данных: проблемы… и решения?    Модель угроз: интересные особенности                      ...
Техническая защита персональных данных: проблемы… и решения?    Модель угроз: интересные особенности                      ...
Техническая защита персональных данных: проблемы… и решения?           Лицензия на деятельность по ТЗКИ «Основные мероприя...
Техническая защита персональных данных: проблемы… и решения?           Лицензия на деятельность по ТЗКИ                   ...
Техническая защита персональных данных: проблемы… и решения?           Лицензия на деятельность по ТЗКИ                   ...
Техническая защита персональных данных: проблемы… и решения?           Лицензия на деятельность по ТЗКИ                   ...
Техническая защита персональных данных: проблемы… и решения?     Оценка соответствия = Сертификация ? Постановление Правит...
Техническая защита персональных данных: проблемы… и решения?      Оценка соответствия = Сертификация ? Приказ Федеральной ...
Техническая защита персональных данных: проблемы… и решения?     Оценка соответствия = Сертификация ? Федеральный закон «О...
Техническая защита персональных данных: проблемы… и решения?     Оценка соответствия = Сертификация ? Постановление Правит...
Техническая защита персональных данных: проблемы… и решения?     Оценка соответствия = Сертификация ? Постановление Правит...
Техническая защита персональных данных: проблемы… и решения?      Оценка соответствия = Сертификация ?                    ...
Техническая защита персональных данных: проблемы… и решения?           Сертифицированная криптография Рекомендательный док...
Техническая защита персональных данных: проблемы… и решения?     Сертифицированная криптография   Только отечественные алг...
Техническая защита персональных данных: проблемы… и решения?           Сертифицированная криптография                     ...
Техническая защита персональных данных: проблемы… и решения?           Сертифицированная криптографияВолков Алексей Никола...
Техническая защита персональных данных: проблемы… и решения?                                   Неутешительный итог        ...
Техническая защита персональных данных: проблемы… и решения?      Чего ждать в будущем. Сертификация. Проекты изменений в ...
Техническая защита персональных данных: проблемы… и решения?  Чего ждать в будущем. Лицензирование. Проекты изменений в Фе...
Техническая защита персональных данных: проблемы… и решения?     Чего ждать в будущем. Регулирование.                Попра...
Техническая защита персональных данных: проблемы… и решения?                  НЕ ЗАБЫВАЙТЕ О ГЛАВНОМ                      ...
Спасибо за внимание!    Волков Алексей Николаевич    Блог: http://anvolkov.blogspot.com        E-mail: anvolkov@lenta.ru
Upcoming SlideShare
Loading in...5
×

Техническая защита ИСПДн: проблемы... и решения?

4,122

Published on

Презентация Волкова А.Н. с конференции «Обеспечение технической защиты персональных данных при их обработке в информационных системах персональных данных», г.Череповец, 22 марта 2011 г.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,122
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
154
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Техническая защита ИСПДн: проблемы... и решения?"

  1. 1. Техническая защитаинформационных систем персональных данных:проблемы… и решения? Череповец, 2011 г.
  2. 2. Техническая защита персональных данных: проблемы… и решения? Обзор НПД в области защиты ПДн Постановление Правительства РФ от 17 Постановление ноября 2007 г. № 781 Правительства РФ от 15 маяПостановление «Об утверждении положения об обеспечении ПостановлениеПравительства РФ от 2010 г. № 330 (ДСП) безопасности персональных данных при их Правительства РФ от 6 июля «Об особенностях оценки15 сентября 2008 г. № обработке в информационных системах 2008 г. № 512687 соответствия продукции (работ, персональных данных» «Об утверждении требований к услуг), используемой в целях«Об утверждении материальным носителямположения об защиты сведений, относимых к биометрических персональных охраняемой в соответствии сособенностях обработки данных и технологиям храненияперсональных данных, Приказ ФСТЭК России, ФСБ России, законодательством Российской Мининформсвязи России от 13 февраля таких данных вне Федерации информацииосуществляемой без информационных системиспользования средств 2008 г. № 55/86/20 ограниченного доступа, не «Об утверждении Порядка проведения персональных данных» содержащей сведения,автоматизации» классификации информационных систем составляющие государственную персональных данных» тайну, а также процессов ее проектирования (включая изыскания), производства, Методические документы ФСБ строительства, монтажа, Методические документы ФСТЭК наладки, эксплуатации, хранения, перевозки, реализации, утилизации и Приказ от 5 Базовая модель Методика Методические Типовые захоронения, об особенностях февраля 2010 г. угроз безопасности определения рекомендации * требования* аккредитации органов по N 58 персональных актуальных сертификации и испытательных данных* лабораторий (центров), угроз* выполняющих работы по (ДСП) подтверждению соответствия указанной продукции (работ, услуг)»(*) Методические документы ФСТЭК и ФСБ не прошли регистрацию в Минюсте и являются рекомендательнымиВолков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 2
  3. 3. Техническая защита персональных данных: проблемы… и решения? Неавтоматизированная обработка в ИСПДн П. 1 ст. 1 152-ФЗ: Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой … с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. П. 9 ст. 3 152-ФЗ: Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Ч. 2 ст. 1260 ГК РФ : Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). Как можно работать с базой данных без ЭВМ ?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 3
  4. 4. Техническая защита персональных данных: проблемы… и решения? Неавтоматизированная обработка в ИСПДн П.1 ПП-687: Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. П.1 ПП-687: Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. П. 1 ст. 1 152-ФЗ: Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи. Чем отличается обработка «с использованием средств автоматизации» и «без их использования (неавтоматизированная)» ?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 4
  5. 5. Техническая защита персональных данных: проблемы… и решения? Неавтоматизированная обработка в ИСПДн П.1 ПП-781: Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы). Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах. Как определить, попадает ли ИСПДн под действие этого документа ?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 5
  6. 6. Техническая защита персональных данных: проблемы… и решения? Неавтоматизированная обработка в ИСПДн Целью операций с персональными данными является не внесение и получение персональных данных в базу данных, а получение обработанной информации при использовании соответствующих программ, при этом, Управление Роскомнадзора представило доказательство того, что при обработке персональных данных используются технические средства (средства автоматизации). Цель обработки персональных данных указана в уведомлениях – это кадровый учет, т.е. в том числе, предоставление отчетности в органы Пенсионного Фонда РФ. http://kad.arbitr.ru/?id=2E992633-13F9-450B-A9CC-177AA8A0C505 Довод … о том, что Государственное учреждение - Управление пенсионного фонда Российской Федерации не уведомило уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных судом … не принимается, поскольку … такое право предоставлено Управлению …в силу подпункта 8 пункта 2 статьи 22 Федерального закона «О персональных данных», предусматривающего, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных обрабатываемых без использования средств автоматизации … При этом в соответствии с пунктом 1 и 2 раздела I Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 … Статьей 17 Закона 27-ФЗ от 01.04.1996 г. обязанность руководителей и должностных лиц органов Пенсионного фонда Российской Федерации по обеспечению безопасности персональных данных при их обработке предусмотрена, а их обработка в пенсионном органе происходит при непосредственном участии человека. http://komi.arbitr.ru/index?tid=633200003&fld_1_t=0&numdeal=5173&prefix=%C029&yeardeal=2009&nd=795251204&text=796002823Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 6
  7. 7. Техническая защита персональных данных: проблемы… и решения? Неавтоматизированная обработка в ИСПДн = = ≠Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 7
  8. 8. Техническая защита персональных данных: проблемы… и решения? Классификация специальных ИСПДн Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных» (Зарегистрирован в Минюсте РФ 3 апреля 2008 г., регистрационный N 11462) 4. Проведение классификации информационных систем включает в себя следующие этапы: • сбор и анализ исходных данных по информационной системе; 8 видов исходных данных • присвоение информационной системе соответствующего класса и его документальное оформление. 14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов… Приведены 4 класса типовых ИСПДн К4 – К1, класс тем выше, тем больше вероятный ущерб субъекту от нарушения заданной характеристики безопасности (конфиденциальности) 15. Класс типовой информационной системы определяется в соответствии с таблицей… В таблице присутствуют только 2 вида исходных данных из 8 - категория и объем ПДн. Остальные характеристики для классификации типовых ИСПДн НЕ ИСПОЛЬЗУЮТСЯ. 16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 … После отмены в 2008 году двух из четырех нормативно-методических документов ФСТЭК, исчезла взаимосвязь между классами типовых (К1-К4) и специальных ИСПДн. Что писать в акте классификации и уведомлении об обработке ?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 8
  9. 9. Техническая защита персональных данных: проблемы… и решения? Классификация специальных ИСПДн Пережитки «Основных мероприятий…»: класс специальной ИСПДн не может быть выше класса типовой с аналогичными исходными данными, поскольку в специальной необходимо обеспечить конфиденциальность и что-то еще (целостность, доступность). В акте классификации указать «К1-К4». Метод интеграторов: для классификации специальной ИСПДн необходимо сначала провести предварительную классификацию по «приказу трех» для типовой, а затем откорректировать требования по защите ИСПДн при помощи модели угроз и привести их к требованиям 58 приказа для типовых ИСПДн. В акте классификации указать «К1-К4, специальная». Новаторский подход: классифицировать ИСПДн как «специальная» и указать это в акте классификации. Не ссылаться на методику «приказа трех», разработать модель угроз и определить технические средства защиты исходя из перечня «методов и способов», приведенного в 58 приказе. Ввести свои, «внутренние» классы специальных ИСПДн (например R2D2 или C3PO) и указать их в акте классификации. По такому пути пошел ЦБ РФ, применив этот подход в отраслевом стандарте СТО БР ИББС и успешно согласовав его со всеми регуляторами.Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 9
  10. 10. Техническая защита персональных данных: проблемы… и решения? Фотография = Биометрия ? Статья 11. Биометрические персональные данные 1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. Федеральный закон «О государственной геномной регистрации в РФ» от 3 декабря 2008 г. N 242-ФЗ, ст. 1 п. 3. Геномная информация - персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности. Является ли фотография гражданина биометрическими ПДн ?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 10
  11. 11. Техническая защита персональных данных: проблемы… и решения? Фотография = Биометрия ?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 11
  12. 12. Техническая защита персональных данных: проблемы… и решения? Фотография = Биометрия ? ← Идентификация: где моя невеста? Идентификация: кто украл мой бумажник? Идентификация: ты кто такой вообще?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 12
  13. 13. Техническая защита персональных данных: проблемы… и решения? Модель угроз: интересные особенности Классическая формула расчета РИСКА реализации угрозы ИБ: Р = ПУ х ВРУ Где Р – риск, примерный (оценочный) ущерб ПУ ≥ 0, вероятность реализации угрозы ВРУ ≥ 0 Формула расчета АКТУАЛЬНОСТИ реализации угрозы ПДн в ИСПДн: А = ОПА Θ (ВРУ+ИЗ) Где опасность ОПА = ПУ > 0,вероятность реализации (частота) угрозы ВРУ ≥ 0, исходная защищенность ИЗ ≥ 0 Возможность реализации угрозы Показатель опасности угрозы Θ= (вероятность + исходная защищенность) Низкая Средняя Высокая Низкая неактуальная неактуальная актуальная Средняя неактуальная актуальная актуальная Высокая актуальная актуальная актуальная Очень высокая актуальная актуальная актуальная Смотрите подробнее: http://xpomob.blogspot.com/2011/02/blog-post_09.htmlВолков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 13
  14. 14. Техническая защита персональных данных: проблемы… и решения? Модель угроз: интересные особенности ← Возможность: НИЗКАЯ Опасность: ОЧЕНЬ ВЫСОКАЯ Угроза: АКТУАЛЬНА! Принимаем меры по нейтрализации →Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 14
  15. 15. Техническая защита персональных данных: проблемы… и решения? Модель угроз: интересные особенности Существующие методики ФСТЭК и ФСБ предполагают, что администраторы СЗИ и СКЗИ являются доверенным персоналом. В моделях угроз инсайдерские риски ОТСУТСТВУЮТ. Верховный суд Республики Марий Эл 4 сентября 2010 г. осудил к лишению свободы на срок от 3 лет 6 месяцев до 6 лет шестерых йошкаролинцев, среди которых студенты факультета информационной безопасности Межрегионального открытого социального института К.М. и С.А., экономического факультета этого же института П.Р., менеджеры ООО «Продсервисъ» Г.Е. и С.С., а также неработающий В.К.Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 15
  16. 16. Техническая защита персональных данных: проблемы… и решения? Модель угроз: интересные особенности Раздел IV. СМЕШАННЫЕ ФОРМЫ ДЕТЕКТИВНОЙ И ОХРАННОЙ ДЕЯТЕЛЬНОСТИ Статья 14. Охранно - сыскные подразделения на предприятиях Предприятия независимо от их организационно - правовых форм, расположенные на территории Российской Федерации, вправе учреждать обособленные подразделения для осуществления охранно - сыскной деятельности в интересах собственной безопасности учредителя, с правом открытия текущих и расчетных счетов (далее - службы безопасности). Руководители и персонал служб безопасности обязаны руководствоваться требованиями настоящего Закона и действовать на основании своих уставов, согласованных с органами внутренних дел по месту своего учреждения. (часть вторая в ред. Федерального закона от 10.01.2003 N 15-ФЗ) Службе безопасности запрещается оказывать услуги, не связанные с обеспечением безопасности своего предприятия. Как противодействовать инсайдерским рискам, особенно со стороны «доверенного персонала», если проверочные мероприятия запрещены ?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 16
  17. 17. Техническая защита персональных данных: проблемы… и решения? Лицензия на деятельность по ТЗКИ «Основные мероприятия…» (утратили силу): п. 3.14 «В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. Федеральный закон «Об информации, информатизации и защите информации» от 20 февраля 1995 г. N 24-ФЗ (утратил силу): Ст. 2: конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ Ст. 2: законодательное определение «конфиденциальная информация» ОТСУТСТВУЕТ! Вместо этого, в законе имеются другие определения, в которые, в том числе, попадает и ГТ: • П. 6 ст. 2: «информация в отношении которой требуется обеспечить конфиденциальность»; • П. 4 ч. 3 ст. 5: «информация ограниченного распространения»; • Ст. 8: «информация ограниченного доступа»… Нужно ли оператору ПДн получать лицензию на деятельность по ТЗКИ, если он сам, за свои средства и своими силами реализует СЗ ИСПДн?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 17
  18. 18. Техническая защита персональных данных: проблемы… и решения? Лицензия на деятельность по ТЗКИ В терминах ГК РФ, «деятельность» предполагает систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг, в данном случае – работ и услуг по технической защите конфиденциальной информации. 2002 год, позиция Гостехкомиссии РФ: … В соответствии со ст. 49 ГК РФ, отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). … Гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли… С учетом изложенного, получение соответствующей лицензии необходимо только юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информации.Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 18
  19. 19. Техническая защита персональных данных: проблемы… и решения? Лицензия на деятельность по ТЗКИ 2010 год, позиция ФСТЭК РФ: … В соответствии с п. 1 ст. 49 части первой ГК РФ, отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). Пунктом 11 части 1 статьи 17 Федерального закона от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» установлено, что деятельность по ТЗКИ является лицензируемым видом деятельности. С 2002 по 2010 год в ГК РФ относительно «деятельности» не изменилось НИЧЕГО. Справедливо ли совмещение термина «деятельность» в рамках ГК (две стороны, извлечение прибыли) и понятия «собственные нужды» (без прибыли, за свои средства, своими силами, для себя)?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 19
  20. 20. Техническая защита персональных данных: проблемы… и решения? Лицензия на деятельность по ТЗКИ = 3 МЛН. РУБ. В г. Череповец на 22.03.2011 г. лицензией на ТЗКИ обладает ОДНА организация, в г. Вологда – ДВЕ (http://www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls) Готовы ли Вы «раскошелиться» ?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 20
  21. 21. Техническая защита персональных данных: проблемы… и решения? Оценка соответствия = Сертификация ? Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п. 5: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия». Федеральный закон «О техническом регулировании» № 184-ФЗ от 27 декабря 2002 г. Ст. 2: «Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту». Ст. 7 п. 3: «Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме». Сертификация – одна из возможных форм оценки соответствияВолков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 21
  22. 22. Техническая защита персональных данных: проблемы… и решения? Оценка соответствия = Сертификация ? Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» П. 1.3. Для выбора и реализации методов и способов … оператором … может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. П. 1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы… П. 2.1. Методами и способами защиты информации от несанкционированного доступа являются: • реализация разрешительной системы …; • ограничение доступа пользователей в помещения…; • разграничение доступа пользователей …; • регистрация действий пользователей …; • учет и хранение съемных носителей …; • резервирование технических средств …; • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; • использование защищенных каналов связи; • размещение технических средств … в пределах охраняемой территории; • организация физической защиты помещений … ; • предотвращение внедрения … вредоносных программ … . Оценка соответствия СЗИ – один из ВЫБИРАЕМЫХ «методов и способов…»Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 22
  23. 23. Техническая защита персональных данных: проблемы… и решения? Оценка соответствия = Сертификация ? Федеральный закон «О техническом регулировании» № 184-ФЗ от 27 декабря 2002 г. Ст. 7 п. 3: «Технический регламент должен содержать перечень и (или) описание объектов технического регулирования, требования к этим объектам и правила их идентификации в целях применения технического регламента. Технический регламент должен содержать правила и формы оценки соответствия...». П. 2 Ст. 46: До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами. п. 1 ст. 5: В отношении … продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации…Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 23
  24. 24. Техническая защита персональных данных: проблемы… и решения? Оценка соответствия = Сертификация ? Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» П. 18: Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. П. 20: Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Все «намекает» на сертификацию, но где это явно указано ?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 24
  25. 25. Техническая защита персональных данных: проблемы… и решения? Оценка соответствия = Сертификация ? Постановление Правительства РФ от 15 мая 2010 г. № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну …» Носит ограничительный гриф «Для служебного пользования», недоступно для подавляющего большинства операторов, не зарегистрировано в Министерстве юстиции. Является рекомендательным документом (см. Постановление правительства № 1009 от 13.08.1997 г. «Об утверждении правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации», Федеральный закон "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26 декабря 2008 г. N 294-ФЗ, а также пункт 2 статьи 4 152-ФЗ «О персональных данных»).Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 25
  26. 26. Техническая защита персональных данных: проблемы… и решения? Оценка соответствия = Сертификация ? Техподдержка: «дело в том, что для корректной работы функции контроля, которая внедряется в приложения, работающие с такими устройствами как iPhone, WinMobile, Palm, Printers, Blackberry, требуется хотя бы 5 секунд после запуска приложения. Допустим, открыв документ WORD и сразу же отправив его на печать, при закрытом доступе для Всех печать пройдет и в аудит логе ничего не отобразится. Но если открыть документ и подождать 5-7 секунд перед отправкой на печать, то печать запретится. То же самое и с WinMobile: если WMDC довольно таки быстро Сертификат ФСТЭК № 2144 запускает все свои сервисы и начинает синхронизацию, то Дата внесения в реестр: 29.07.2010 она проходит, если немного замедляется, то инжект Срок действия сертификата: 29.07.2013 успевает перехватить действия». Краткая характеристика: Программное средство, предназначенное для защиты и администрирования локальных и сетевых компьютеров Пользователь: «как заставить пользователей подождать 5-7 путем предотвращения неконтролируемых действий пользователя секунд перед печатью после запуска приложения? Как такой при обмене информацией через компьютерные порты и устройства со "баг" позволил получить сертификат ФСТЭК, или сменными носителями сертифицированная версия чем-то отличается он Соответствие требованиям РД: Соответствует требованиям руководящего документа "Защита от несанкционированного доступа несертифицированной»? к информации. Часть 1. Программное обеспечение средств защиты Техподдержка: "поиск багов и глюков в продукте процедура информации. Классификация по уровню контроля отсутствия сертификации не включает". недекларированных возможностей" "Гостехкомиссия России, 1999) – Смотрите подробнее: http://anvolkov.blogspot.com/2010/09/devicelock.html по 4 уровню контроля, заданию по безопасности " Программный комплекс DeviceLock 6.4.1 Задание по безопасности D_L_6.4.1.ЗБ Версии 1.0", имеет оценочный уровень доверия ОУД 2 в соответствии Что дает оператору, а главное – субъекту, с требованиями руководящего документа "Безопасность использование исключительно информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002) и может сертифицированных средств защиты использоваться в автоматизированных системах до класса защищенности 1Г включительно. информации для обеспечения Схема сертификации: Серия Испытательная лаборатория: ООО "ЦБИ" безопасности персональных данных ?Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 26
  27. 27. Техническая защита персональных данных: проблемы… и решения? Сертифицированная криптография Рекомендательный документ «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утвержден руководством 8 Центра ФСБ России21 февраля 2008 года № 149/54–144–), раздел «методология формирования угроз», пункт 7. Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства. Сморите подробнее: http://lukatsky.blogspot.com/2010/11/blog-post_23.htmlВолков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 27
  28. 28. Техническая защита персональных данных: проблемы… и решения? Сертифицированная криптография Только отечественные алгоритмы (ГОСТ) Для разработки и производства, распространения, ОБСЛУЖИВАНИЯ, предоставления услуг необходима соответствующая ЛИЦЕНЗИЯ Использование несертифицированных решений на территории РФ ЗАПРЕЩЕНОВолков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 28
  29. 29. Техническая защита персональных данных: проблемы… и решения? Сертифицированная криптография HTTPS -> SSL -> RSA НЕСЕРТИФИЦИРОВАННЫЙ криптографический алгоритмВолков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 29
  30. 30. Техническая защита персональных данных: проблемы… и решения? Сертифицированная криптографияВолков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 30
  31. 31. Техническая защита персональных данных: проблемы… и решения? Неутешительный итог Многие положения 152-ФЗ сформулированы так, что предполагают несколько вариантов их трактовки. Поэтому операторам, регуляторам и судам зачастую приходится «включать» понятийный аппарат, а при определении «истины» в большей степени влияет авторитет определяющего. Некоторые положения 152-ФЗ противоречат Конституции РФ. В частности, нарушена ч.3 ст.17 Конституции в отсутствии баланса интересов и абсолютизации права субъекта, а также установлена презумпция виновности оператора ПДн (обязанность доказать наличие согласия) вместо презумпции добросовестности субъектов сделки и презумпции добросовестности субъектов предпринимательской деятельности. Главная цель 152-ФЗ – защита ПРАВ и законных интересов субъекта ПДн, в том числе путем компенсации нанесенного ему ущерба. Однако операторы озабочены защитой ДАННЫХ исключительно для того, чтобы не «подставиться» перед регуляторами, не смотря на жесткие требования которых, ответственность за любые инциденты несет исключительно оператор. На деле про ущерб субъекту никто не вспоминает, и уж тем более – никто не оценивает.Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 31
  32. 32. Техническая защита персональных данных: проблемы… и решения? Чего ждать в будущем. Сертификация. Проекты изменений в Федеральный закон «О техническом регулировании» 184-ФЗ: • Законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях применения их в РФ, введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских стандартов, другой – на требованиях иностранных технических регламентов (директив) и стандартов; • Свобода выбора заявителем документов, применяемых при подтвержении соответствия; • Обеспечение условий для взаимного признания в РФ и иностранных государствах результатов подтверждения соответствия и результатов проведения измерений (испытаний); • Обязательное подтверждение соответствия для продукции, на которую не распространяются действия техрегламентов и которая не включена в обязательный перечень продукции, подлежащей обязательной сертификации и декларирования соответствия, НЕ ТРЕБУЕТСЯ. Постановлением Правительства № 455 от 17.06.2010 г. внесены изменения в ПП 163 от 24.02.2009 г. «Об аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по подтверждению соответствия». Наличие официально изданных действующих нормативных правовых актов, документов в области стандартизации, принятых на основе международных норм, устанавливающих требования к объектам подтверждения соответствия.Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 32
  33. 33. Техническая защита персональных данных: проблемы… и решения? Чего ждать в будущем. Лицензирование. Проекты изменений в Федеральный закон «О лицензировании отдельных видов деятельности» № 128-ФЗ: Ст. 9 ч. 1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: П. 1: Разработка, производство, распространение шифровальных (криптографических) средств, … выполнение работ, оказание услуг …, техническое обслуживание … шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения СОБСТВЕННЫХ НУЖД юридического лица или индивидуального предпринимателя). П. 3: деятельность по технической защите конфиденциальной информации – пока оставлен без изменений  Ст. 10 ч. 4. К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции.Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 33
  34. 34. Техническая защита персональных данных: проблемы… и решения? Чего ждать в будущем. Регулирование. Поправки правительства РФ к проекту федерального закона № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных", внесенному депутатом Государственной Думы В. М. Резником, принятому Государственной Думой в первом чтении 5 мая 2010 г. Ст. 19 п. 2. Правительство РФ устанавливает требования к защите персональных данных … Ст. 19 п. 3. Состав и содержание организационных и технических мер для защиты персональных данных … устанавливаются … < ФСТЭК и ФСБ > … в пределах их полномочий. Ст. 19 п. 7. Контроль и надзор за выполнением мер по обеспечению безопасности персональных данных … при обработке персональных данных в государственных информационных системах персональных данных осуществляются … < ФСТЭК и ФСБ > … в пределах их полномочий… Ст. 24 п. 2. В случае нарушения положений настоящего Федерального закона, повлекшего за собой … неправомерные действия в отношении персональных данных, субъект … вправе требовать от оператора … выплаты компенсации в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по усмотрению суда. Ст. 24 п. 3. Оператор освобождается от ответственности в виде выплаты компенсации … если он обеспечил … уровень защищенности … путем выполнения установленных требований … или в случае если … неправомерные действия … произошли в результате возникновения чрезвычайного и непредотвратимого при данных условиях обстоятельства.Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 34
  35. 35. Техническая защита персональных данных: проблемы… и решения? НЕ ЗАБЫВАЙТЕ О ГЛАВНОМ Статья 2. Цель настоящего Федерального закона. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.Волков Алексей Николаевич, 2011 г. E-mail: anvolkov@lenta.ru 35
  36. 36. Спасибо за внимание! Волков Алексей Николаевич Блог: http://anvolkov.blogspot.com E-mail: anvolkov@lenta.ru
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×