2. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Основные темы
Вероятные изменения положений закона в
ближайшее время
Актуальные проблемы закона в фокусе
обсуждения в Государственной Думе
Рекомендации для операторов
персональных данных
Необходимые шаги при ведении проектов
по построению систем защиты
персональных данных
3. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Срок готовности: будет ли сдвиг?
Изменение срока приведения в соответствие с
требованиями закона
Информационные системы персональных данных
должны быть приведены в соответствие с
требованиями настоящего Федерального закона не
позднее 1 января 2011 года. (Проект изменений в
закон № 284213-5 )
Решено: «принять законопроект в первом чтении;
представить поправки к законопроекту в
десятидневный срок со дня принятия
постановления»
Скорее всего последует ряд других изменений в
первой половине 2010 года
4. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Срок готовности: будет ли сдвиг?
Еще одного переноса сроков не будет.
5. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Понятие «персональные данные»
Определение понятия "персональные данные"
несет неопределенность
Какой набор данных однозначно определяет
физическое лицо:
ФИО? + адрес? + ИНН?
Прозвище?
Какой вообще потенциальный ущерб от хранения
где-то моего ФИО?
Строгий ключевой ID или узнаваемость?
Что такое "обезличенные" персональные данные?
6. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Понятие «персональные данные»
Необходимо явное категорирование данных с учетом
потенциального ущерба в случае их компрометации
Сравните:
Иванов был на больничном vs Иванову поставлен
грипп A/H5N1
Иванову присвоена инвалидность III гр. vs Иванову
присвоена инвалидность III гр. в связи с диабетом
Иванов имеет счет в Сбербанке РФ vs Иванов имеет
расчетный счет в Сбербанке на сумму NNNN руб. с
дистанционным обслуживанием
Иванов обучался в МГУ на юридическом факультете vs
… и получил «УДОВ.» по коммерческому праву
7. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Понятие «персональные данные»
Реальный объект защиты – лишь некоторые
наборы данных, хранимые в определенных
учреждениях
«… условное выделение основных сфер
жизнедеятельности… и составление минимальных
перечней персональных данных» (Предложение
Роскомнадзора на Парламентских слушаньях 20.10.09)
Данные о банковском счете
Детали постановки диагноза и лечения
Имущество в собственности, доход
Коммуникации: номера телефонов (мобильный, домашний,
внутренний рабочий), e-mail
Данные о семейном положении
8. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Актуальные технические проблемы:
Лицензирование деятельности
Использование сертифицированных
средств защиты
Аттестация информационных систем
Защита от инсайдеров
Применение криптозащиты
9. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Лицензирование деятельности по защите информации
Требуется получение лицензии на деятельность по
технической защите конфиденциальной
информации (РД «Основные мероприятия по
организации и техническому обеспечению
безопасности..» ФСТЭК России, 15.02.2008 г.)
Обязанность – непосредственно у оператора
ИС 1, 2 классов и распределенные ИС 3 класса
Затрагивает практически каждую организацию
▫ Как быть школам? Детским садам? Больницам?
Привлечение исполнителя – лицензиата ФСТЭК
России
Централизованная обработка с
перераспределением ответственности
10. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Лицензирование деятельности по защите информации
«До конца 2009 года внести изменения в
Федеральный закон от 8 июля 2001 г. № 128-ФЗ «О
лицензировании отдельных видов деятельности»
в части:
исключения необходимости получения лицензии на
техническую защиту информации ограниченного
доступа (не составляющей государственную тайну)
при обработке такой информации для собственных
нужд…»
(Рекомендации Парламентских слушаний от 20 октября
2009 года)
11. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Использование сертифицированных средств защиты
ПО, используемое для защиты информации, должно
быть сертифицировано на соответствие
определенному уровню контроля отсутствия
недекларированных возможностей (НДВ)
Правовой статус Руководящих документов
Гостехкомиссии?
«Документ может использоваться как нормативно-
методический материал…» (РД от 30.03.1992)
Насколько обязательным является требование?
«При выборе технических средств защиты следует
использовать сертифицированные средства защиты
информации» (Рекомендации по обеспечению
безопасности персональных данных.. Утверждены
ФСТЭК России 15 февраля 2008 г.)
12. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Использование сертифицированных средств защиты
Подход предполагал статичность кода ПО
Время прохождения сертификации от 3 мес.
Отсутствует прозрачное предложение услуг
Проблема функциональной полноты: как выглядит
идеальная программа по уровню НДВ?
Отсутствует правовое регулирование
сертификации средств защиты информации в
ИСПДн по ТУ
НДВ – не панацея: практика «заложенных
уязвимостей»
Крах системы управления уязвимостями
13. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Требование аттестации ИСПДн
Необходимость проведения финальной аттестации
информационной системы ПДн (РД «Основные
мероприятия по организации и техническому
обеспечению безопасности..» ФСТЭК России,
15.02.2008 г.)
ИСПДн 1 и 2 классов: обязательная аттестация по
требованиям безопасности информации
ИСПДн 3 класса: декларирование соответствия
требованиям по безопасности информации
Не определен порядок проведения аттестации
Границы повторной аттестации при изменении
объекта
Высокая цена: от 30 до 100 тыс. за рабочее место
14. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
ЕСТЬ защита от НСД - НЕТ защиты от утечек
Защите персональных данных от
несанкционированного доступа реализуется в
рамках подсистем системы защиты:
▫ управления доступом, регистрации и учета
(авторизация)
▫ обеспечения целостности (умышленный вред
системе, вредоносный код)
▫ криптографической защиты (утрата носителя)
▫ антивирусной защиты, обнаружения вторжений
(внешние программные угрозы)
О какой угрозе забыли?
15. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
ЕСТЬ защита от НСД - НЕТ защиты от утечек
Ст. 19 Закона явно требует организации
защиты персональных данных от
распространения
Защита от незаконных действий
авторизованного пользователя не
регламентируется в РД
Предотвращение утечки данных по каналам электронной
почты и web-почты
Управление парком переносных носителей
Контроль заданий печати
Мониторинг обращений к базам данных
Контроль действий пользователей в сети
16. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Использование средств криптозащиты
Передача данных по открытым каналам,
разделяемые области на дисках, переносные
носители информации, мобильные устройства –
необходимость использования очевидна
Статья 19. Меры по обеспечению безопасности
персональных данных при их обработке
▫ 1. Оператор при обработке персональных данных обязан принимать
необходимые организационные и технические меры, в том числе
использовать шифровальные (криптографические) средства, для
защиты персональных данных от неправомерного или случайного
доступа к ним, уничтожения, изменения, блокирования, копирования,
распространения персональных данных, а также от иных
неправомерных действий.
Использование средств шифрования для защиты в
ИСПДн регулируется в РД ФСБ России
17. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Актуальные организационные
проблемы исполнения
требований закона
(в свете обсуждения на Парламентских
слушаньях)
18. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Актуальные организационные проблемы
Право субъекта на отзыв согласия на
обработку данных
Потенциальная остановка множества
основных бизнес-процессов
обслуживания клиента
Возможно судебное принуждение
субъекта персональных данных
Сложности с получением справок
(например, об образовании) – снижение
качества риск-оценок
19. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Актуальные организационные проблемы
Требование уничтожения
персональных данных , если они не
являются необходимыми для
заявленной цели обработки
Как хранить данные в CRM для
последующей работе с клиентом?
Как исполнять требования хранения
архивов кадровых служб?
Как исполнять требования закона о
противодействии «отмыванию» средств?
20. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Актуальные организационные проблемы
Необходимость получения согласия
субъекта до вступления в договорные
отношения
Как быть с дистанционной торговлей?
Абитурьенты? Кандидаты?
Как обрабатывать кредитные заявки?
21. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Актуальные организационные проблемы
Права на получение информации об
обработке данных: способы, цели,
вовлеченные лица, сроки обработки и
хранения, сведения о том, какие
юридические последствия может
повлечь обработка данных.
Своего рода «DDoS»-атаке может
подвергнуться любая организация,
ведущая массовое обслуживание
22. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Рекомендации для операторов
персональных данных
(тем, кто еще не завершил
построение системы обработки ПДн
)
23. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Рекомендации для операторов
1. Проведите программу повышения
осведомленности сотрудников:
Директорат
Юристы
Информационная безопасность
Линейные менеджеры процессов,
вовлеченных в обработку ПДн
Внутренние аудиторы
и назначьте ответственных.
24. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Рекомендации для операторов
2. Подготовьтесь к юридической работе:
В законе о ПДн и подзаконной нормативной
базе широкое поле для работы юриста
Вспомните положения о защите прав
юридических лиц при проведении проверок
Если вы в списке плановых проверок
Роскомнадзора, откройте проект по
подготовке к проверке
Будьте готовы к проведению документарной
проверки
25. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Рекомендации для операторов
3. Проведите инвентаризацию ПДн,
субъектов и процессов:
Составьте карту основных процессов по
обработке ПДн
Выделите основные роли в обработке
данных
Выделите группы субъектов ПДн
Подготовьте формы ответов на запросы
субъектов и формы получения их согласия
26. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Рекомендации для операторов
4. Планируйте будущий проект :
Это поможет оценить и заложить бюджет
Это поможет при работе в рамках проверки
Проведите инвентаризацию ИТ-решений
Проведите обследование информационных
систем силами сторонней компании
Опросите владельцев информации: что им
на самом деле критически важно для
работы?
27. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Рекомендации для операторов
5. Постарайтесь выделить варианты
«обезличивания данных» :
Пример «Медицинские карты»
Пример «Электронный дневник»
Пример «Система активации ПО»
Пример «Карта покупателя»
28. Актуальные вопросы защиты персональных данных:
как выжить после 01.01.10
Класс системы – сложность проекта
Управление
количеством
К1
К2
К3
К4
Управление
составом
данных
Управление
доступом