Доклад: Правовые и технические аспекты защиты персональных данных в электронной коммерции
Форум: Экосистема электронной коммерции
(30 марта 2017, Москва, Шератон Палас)
3. www.corpsoft24.ru
sales@corpsoft24.ru
Основные тренды:
• Персонализация
• Директ-маркетинг
• Логистика
• Соцсети
• Омниканальность
Персональные данные
в e-commerce
Где применяются:
• Онлайн-ритейл
• Авиа и ЖД билеты
• Бронирование гостиниц
• Электронное страхование
• Онлайн-кредитование
• и многое другое…
ПДн - краеугольный камень
4. www.corpsoft24.ru
sales@corpsoft24.ru
Законодательное регулирование
обработки персональных данных
Основные законодательные и нормативные акты
Федеральный закон
№ 152-ФЗ от
27.07.2006
Федеральный закон «О
персональных данных»
Постановления
Правительства №
1119 от 01.11.2012
Требования к защите
персональных данных при их
обработке в ИС
Приказ ФСТЭК России
№ 21 от 18 февраля
2013
Организационно-технические
меры по обеспечению
безопасности ПДн
152-ФЗ
1119 ПП
21 приказ ФСТЭК
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Сфера действия настоящего
Федерального закона
1. Настоящим Федеральным законом
регулируются отношения, связанные с
обработкой персональных данных,
осуществляемой федеральными органами
государственной власти, органами
государственной власти субъектов
Российской Федерации, иными
государственными органами (далее -
государственные органы), органами
местного самоуправления, иными
муниципальными органами (далее -
муниципальные органы), юридическими
лицами и физическими лицами с
использованием средств автоматизации, использование облачных вычислений
регламентируется (договор, лицензии)i
6. Контролирующие органы их функции и полномочия:
Роскомнадзор - обработка ПДн и документы на ИСПДн;
ФСТЭК России - выполнение требований по технической защите ПДн;
ФСБ России - выполнение требований по применению СКЗИ;
• 17 ноября 2016 года Роскомнадзор внес LinkedIn в Реестр нарушителей закона
о персональных данных и заблокировал ее в России
• С 1 июля 2017 ужесточается ответственность до 75 000 (07.02.2017 № 13-ФЗ);
7. www.corpsoft24.ru
sales@corpsoft24.ru
ПП 1119 - Требования к защите ПДн
при их обработке в ИС
Категории персональных данных
Специальные Касающиеся расовой, национальной принадлежности, политических взглядов,
религиозных, философских убеждений, здоровья, интимной жизни;
Биометрические Характеризуют физиологические и биологические особенности человека, на
основании которых можно установить его личность и не относятся специальным;
Общедоступные Полученные только из общедоступных источников, созданных в соответствии со
статьей 8 ФЗ №152;
Иные Не относятся к специальным, биометрическим, общедоступным;
Типы актуальных угроз
Тип 1 Связаны с наличием НДВ в системном ПО, используемом в ИСПДн;
Тип 2 Связаны с наличием НДВ в прикладном ПО, используемом в ИСПДн;
Тип 3 Не связаны с наличием НДВ в системном и прикладном ПО, используемом в ИСПДн;
8. Определение требуемого
уровня защищенности
(1119 ПП)
Типы
актуальных
угроз
ИСПДн-С
специальные
ИСПДн-Б
биометрические
ИСПДн-И
иные
ИСПДн-О
общедоступные
ПДн сотрудников оператора
или ПДн менее чем 100 000 субъектов, не являющихся сотрудниками оператора
АУ 3 типа
(без НДВ)
УЗ-3 УЗ-3 УЗ-4 УЗ-4
АУ 2 типа
(НДВ ПО)
УЗ-2 УЗ-2 УЗ-3 УЗ-3
АУ 1 типа
(НДВ ОС)
УЗ-1 УЗ-1 УЗ-1 УЗ-2
ПДн более чем 100 000 субъектов, не являющихся сотрудниками оператора
АУ 3 типа
(без НДВ)
УЗ-2 УЗ-3 УЗ-3 УЗ-4
АУ 2 типа
(НДВ ПО)
УЗ-1 УЗ-2 УЗ-2 УЗ-2
АУ 1 типа
(НДВ ОС)
УЗ-1 УЗ-1 УЗ-1 УЗ-2
9. www.corpsoft24.ru
sales@corpsoft24.ru
21 приказ ФСТЭК
организационно-технические меры
по обеспечению безопасности ПДн
- Ответственность провайдера - Ответственность оператора и провайдера
Меры по обеспечению безопасности СЗИ, СКЗИ (Комплексное облачное решение)
Идентификация, аутентификация, авторизация; Secret Net; ОС РОСА; Континент; vGate;
Ограничение программной среды; Secret Net; ОС РОСА;
Защита машинных носителей; Secret Net; ОС РОСА;
Регистрация событий безопасности; Secret Net; ОС РОСА; Континент; vGate;
Антивирусная защита; DrWeb; Kaspersky;
Обнаружение (предотвращение) вторжений; АПКШ Континент; SSEP;
Контроль (анализ) защищенности ПДн; Secret Net; SSEP; XSpider;
Обеспечение целостности ПДн и ИСПДн; Secret Net; ОС РОСА; Континент; vGate;
Обеспечение доступности ПДн; АПКШ Континент; Veeam B&R;
Защита среды виртуализации; vGate; DrWeb; Kaspersky; SSEP; Veeam B&R;
Защита технических средств; Инфраструктура ЦОД; СКУД; СВН;
Защита подсистем связи и передачи данных; АПКШ Континент; ViPNet;
Выявление инцидентов и реагирование на них; Secret Net; ОС РОСА; Континент; SSEP;
Управление конфигурацией ИСПДн и СЗ ИСПДн;
10. www.corpsoft24.ru
sales@corpsoft24.ru
Организационно-распорядительные
документы (ОРД)
• Акт определения уровня защищенности;
• Акт оценки потенциального вреда субъектам;
• Положение об обработке ПДн;
• Регламент взаимодействия с субъектами ПДн;
• Регламент обеспечения безопасности ПДн;
• Матрица доступа к информационной системе;
• Политика в отношении обработки ПДн;
Приказы: об утверждении перечней ПДн, ИСПДн, подразделений и лиц, помещений, о
назначении ответственных, о применении СКЗИ;
Журналы: учета СЗИ, СКЗИ, машинных носителей, изменений прав доступа, проведения
мероприятий, проверок, инструктажа, фиксации нарушений, обращений субъектов;
Инструкции: по обращению с носителями информации, по антивирусной защите, резервному
копированию и восстановлению, действия в нештатной ситуации;
Формы: согласие на обработку ПДн, соглашения о неразглашении;
Модель угроз ИСПДн;
11. www.corpsoft24.ru
sales@corpsoft24.ru
Договор – поручение
на обработку ПДн
Требования 152-ФЗ:
• Перечень операций с ПДн;
• Цели обработки ПДн;
• Обязанность провайдера соблюдать
конфиденциальность ПДн;
• Обязанность провайдера обеспечивать
безопасность ПДн;
• Требования к защите ПДн
(меры по обеспечению безопасности);
12. www.corpsoft24.ru
sales@corpsoft24.ru
Лицензии, необходимые провайдеру
для оказания услуг по хостингу ИСПДн
Лицензия Роскомнадзора
России на оказание
телематических услуг связи
Лицензия Роскомнадзора
России на оказание услуг по
передаче данных
Лицензия ФСТЭК России на
деятельность по технической
защите конфиденциальной
информации
Лицензия ФСБ России на
разработку, производство и
распространение
шифровальных средств
13. www.corpsoft24.ru
sales@corpsoft24.ru
Комплексная услуга
Хостинг ИСПДн
Защищенная инфраструктура
«Облако ФЗ 152»
Сертифицированные
СЗИ, СКЗИ
Документация, проектирование,
аттестация
Центр обработки данных
c защищенной инфраструктурой;
Средства защиты среды виртуализации; Классификация ИСПДн; *
Защищенная сеть передачи
данных;
Средства межсетевого экранирования; Частная модель угроз; *
Защищенная сеть хранения
данных;
Средства защиты информации от
несанкционированного доступа;
Шаблоны ОРД; *
Отказоустойчивое серверное
оборудование;
Средства антивирусной защиты; Разработка модели угроз;
Защищенная платформа
виртуализации;
Средства криптографической защиты
информации;
Разработка комплекта ОРД;
Защищенная операционная
система;
Средства анализа защищенности и
поиска уязвимостей;
Разработка ТЗ на систему защиты ИСПДн;
Средства обнаружения вторжений; Технорабочий проект на СЗ ИСПДн;
Средства резервного копирования; Внедрение СЗ ИСПДн;
Аттестация ИСПДн;
- Базовый набор услуг - Опции * - предоставляется бесплатно
14. 21 приказ ФСТЭК - Состав и содержание
организационных и технических мер
по обеспечению безопасности
ЦОД Провайдера
Защищенный контур ИСПДн
Анализатор трафика
системы защиты
от сетевых-атак *
Интернет
Очиститель трафика
системы защиты
от сетевых-атак *
VLAN
Сервер анализа
защищенности и
поиска уязвимостей
VPN сервер + межсетевой
экран
Пользователи,
посетители сайта
(Субъекты ПДн)
Шифрование по ГОСТ
HTTPS / SSL
VPN - шифрованный трафик
(ГОСТ 28147–89);
Трафик не фильтруется
HTTPS, порт: 443,
шифрование: SSL(TLS);
* - Не входит в стандартную
схему
Сервер резервного
копирования
Офис
АПКШ
Удаленные АРМ
администраторов
ИСПДн
СКЗИ
Программный VPN-клиент
АРМ
администраторов ИСПДн
Виртуальные машины
ОС Windows/Linux
СЗИ от НСД
Средство
обнаружения
вторжений
Средство
антивирусной
защиты
Типовая схема
хостинга ИСПДн
15. www.corpsoft24.ru
sales@corpsoft24.ru
Требования к
Центру обработки данных
Расположение ЦОД
• ЦОД должен находиться на
территории Российской
Федерации;
Меры физической безопасности
• Контроль и управление
физическим доступом к средствам
обработки и защиты информации,
к средствам обеспечения
функционирования;
• Управление доступом к
машинным носителям, контроль
их перемещения за пределы
контролируемой зоны;
19. www.corpsoft24.ru
sales@corpsoft24.ru
Критерии выбора
облачного хостинг-провайдера:
• Локализация ЦОД на территории РФ;
• Наличие резервного ЦОД; *
• Соответствие ЦОД требованиям к физической безопасности;
• Уровень надежности ЦОД - Tier 3; *
• Договор-поручение на обработку ПДн;
• Сертифицированные СЗИ и СКЗИ;
• Организационно-распорядительная и техническая документация;
• Проектирование и внедрение нетиповых СЗ ИСПДн;
• Возможность аттестации ИСПДн;
• Наличие лицензий (Роскомнадзор, ФСТЭК, ФСБ);
20. НАШИ Контакты
www.corpsoft24.ru
sales@corpsoft24.ru
125190, Москва, Ленинградский пр-т, д. 80, к. 37
sales@corpsoft24.ru
www.corpsoft24.ru
+7 (495) 983-04-12
8-800-707-04-12 – для звонков из регионов РФ
ПРИСОЕДИНЯЙТЕСЬ К НАМ В СОЦ.СЕТЯХ
Наша группа в ВКонтакте: https://vk.com/corpsoft_24