Вторая Всероссийская конференция-семинар «Персональные данные». Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2266/ Презентация Евгения Чугунова, Эксперта по информационной безопасности компании КРОК

1. КЛИЕНТ ХОЧЕТ ЗНАТЬ!
АРГУМЕНТЫ ПО ЗАЩИТЕ ПДН:
ОПЫТ КРОК, СПЕЦИФИКА ОТРАСЛЕЙ
И ВИДОВ БИЗНЕСА
Евгений Чугунов
ЭКСПЕРТ ПО
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК

2. СОДЕРЖАНИЕ
• Основные понятия
• Определение статуса организации
• Получение согласия субъектов
• Обеспечение безопасности ПДн
• Создание системы защиты ПДн
• Трансграничная передача ПДн

3. ВВЕДЕНИЕ
• Персональные данные о сотрудниках организации
«Внутренние данные»
«Внешние данные»
• Персональные данные не сотрудников организации
Акцент на обработке «внешних» ПДн

4. СТАТУС КОМПАНИЙ С ВНЕШНИМИ ПДН
• Определяет цели обработки
• Осуществляет (организует) обработку ПДн
Оператор всех данных
• Частично определяет цели обработки
• Целиком осуществляет (организует)
Уполномоченное лицо:
• Осуществляет обработку
• Организует обработку
… и тот и другой:

5. СТАТУС - ВЕЩЬ НЕ ПРОСТАЯ!
Признак: ИНТЕНСИВНЫЙ ОБМЕН ПДн между юр. лицами
Актуально для:
• Групп компаний, холдингов
• Партнерских сетей, сбытовых сетей
• Компаний, оказывающих услуги
Характерно для:
• Финансового сектора
• Гос. Организаций
• Транспортных компаний
• Ритейла

6. НЕ ОПЕРАТОР – НЕ ДОЛЖЕН…
• … взаимодействовать с субъектами
• … уведомлять регулятора
• … получать согласие
• … и т.д.
Должен:
• Проработать договор с Оператором
• Выполнять договор с Оператором

7. И ВСЕ ЖЕ … ОПЕРАТОР
Сложности и вопросы:
• Как получить согласие от ВСЕХ субъектов?
• Как взаимодействовать с регулятором?
• Как обеспечить безопасность ПДн?
• Надо ли получать лицензии?
• Как осуществлять трансграничную передачу?
Есть мнение, все
просто?...

8. КАК ПОЛУЧИТЬ СОГЛАСИЕ?
• Письменно! не всегда возможно… как быть?
• Принцип: публичная оферта
− характерен для: интернет бизнеса
− необходим для: оказания услуг для нового клиента без
его присутствия
• Принцип: молчание – знак согласия
− характерен для: фин. сектора, ритейла и др.
− необходим для: обработки данных бывших
или существующих клиентов
Железобетонно? Нет, но лучше чем ничего.

9. ВЗАИМОДЕЙСТВИЕ С РЕГУЛЯТОРОМ
• 321 плановая проверка в 2009 г.
• 854 проверки запланировано на 2010 г.
• 19 предписаний за 2008 г.
• 0 случаев запрета обработки ПДн.
Роскомнадзор
• Уведомление об обработке
• Запросы, пишите запросы!
• Согласование планов. Возможно ли?
• Консультационный совет

10. КАК ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ?
Камни преткновения
• Как классифицировать специальную систему?
• Как оценить ущерб субъекту ПДн?
• Как выбрать нужные мероприятия
и средства защиты ПДн?
• Надо ли получать лицензии ФСТЭК и ФСБ?
Есть мнение, в
точку...

11. КЛАССИФИКАЦИЯ ИСПДН
Типовые
Специальные
1 класс
Для всех ИСПДн необходимо обеспечить конфиденциальность ПДн
2 класс 3 класс 4 класс
В ИСПДн имеются данные
о состоянии здоровья
В ИСПДн автоматически
принимается решение,
порождающее
юридические последствия
Либо при необходимости обеспечения
защищенности от уничтожения,
изменения, блокирования,
а также иных
несанкционированных действий

12. АЛГОРИТМ КЛАССИФИКАЦИИ КРОК
Анализ
ИСПДн
Типовая
?
Анализ
характер
истик
?
К1 К2 К3 К4
Да
Построение
Модели
угроз
Ущерб
?
К1
К2
К3
К4
Нет
+
Контр. меры из
Модели

13. ОПРЕДЕЛЕНИЕ УЩЕРБА СУБЪЕКТУ
• Непосредственный ущерб субъекту
• Опосредованный ущерб субъекту
• Определение шкалы и величины ущерба
• Значительный негативный ущерб субъекту: ущерб
жизни и здоровью
• Негативный ущерб: материальный и/или
значительный моральный ущерб
• Незначительный ущерб: моральный вред

14. КАК ВЫБРАТЬ МЕРОПРИЯТИЯ
ПО ЗАЩИТЕ ПДН?
Стратегия защиты:
• Централизация обработки ПДн
• Неавтоматизированная обработка на местах
Модель угроз – основа компромисса:
• Только актуальные системе угрозы
• Основа выбора способов защиты,
предусмотренных для соответствующего класса
информационных систем
Постановление 781 п. 12 б)

15. СТРАТЕГИЯ ЦЕНТРАЛИЗОВАННОЙ
ЗАЩИТЫ ПДН
Дочернее
Общество
Пользователи
ПДн
«Центральная» ИСПДн
Ex: Биллинг
ИСПДн
Специальная
Платежная система
Дочерние
Общества
Ex: ERP, CRM

16. СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ. ПРОЕКТ
Что внедряется в рамках СЗПДн?
Подсистема управления доступом
Подсистема регистрации и учета
Подсистема обеспечения целостности
Подсистема антивирусной защиты
Подсистема контроля защищенности
Подсистема криптографической защиты
Подсистема обнаружения вторжений
Акустическая защита
ПЭМИН К1 и К2
Только К1
Только К1

17. СИСТЕМА ЗАЩИТЫ. БАЗОВЫЕ
Сертифицированные системы доверенной загрузки
и контроля целостности
Сертифицированные средства
межсетевого экранирования, сегментация ИСПДн
Сертифицированные средства обнаружения
и предотвращения вторжений (сетевых атак)
Сертифицированные средства и системы
антивирусной защиты
Сертифицированные средства контроля
защищенности

18. СИСТЕМА ЗАЩИТЫ. РАСШИРЕННЫЕ
Сертифицированные ОС, СУБД
и приложения по требованиям
безопасности
Сертификация средств защиты
по уровню отсутствия НДВ
Сертифицированные ФСБ средства
криптографической защиты

19. СИСТЕМА ЗАЩИТЫ. РЕДКИЕ
ПЭМИН: обеспечение необходимой контролируемой
зоны, использование генераторов
электромагнитных помех
Акустическая защита помещений: организационные
мероприятия, звукоизоляция, использование зашумления
Сертифицированные по уровню отсутствия НДВ
компоненты ИСПДн

20. ЗАЩИТА ВНЕШНИХ КАНАЛОВ СВЯЗИ
• Угроза: перехват ПДн во внешних каналах связи
• Мероприятия ФСТЭК не могут минимизировать
угрозу
• Использование сертифицированных СКЗИ:
− Разработка модели нарушителя ФСБ
− Выбор соответствующего СКЗИ
− Реализация мероприятий по защите СКЗИ от НСД и
ПЭМИН
Почему не ФСТЭК?

21. НЕОБХОДИМА ЛИ ЛИЦЕНЗИЯ?
• Текущее положение дел
(Комитет Государственной Думы
по собственности, Комитет
Государственной Думы
по безопасности)
• Требования регуляторов
(ФСТЭК – ИСПДн 1 и 2 класса; ФСБ
(при использовании
криптографических СЗИ – лицензия
на обслуживание, и т.д.)
• Рекомендации КРОК

22. КАК ОБРАБАТЫВАТЬ ПДН ЗА РУБЕЖОМ?
• Нельзя запрещать передачу (за исключением …)
• Необходимо иметь свидетельства адекватной
защиты ПДн
• Не требуется согласия регулятора
• Регулятора достаточно уведомить
• Необходимо письменное согласие субъекта,
если нет адекватной защиты ПДн
Актуально для: международных компаний
Необходимо для: оказания услуг, управления
компанией и проч.

23. ЗАЩИТА ВНЕШНИХ КАНАЛОВ СВЯЗИ
• Нельзя ввозить зарубежные СКЗИ
• Нельзя вывозить отечественные СКЗИ
• Защита каналов связи:
− Встроенными в ОС средствами
− Встроенными в средства МЭ
− Встроенными средствами приложений
Трансграничная передача

24. ПЛАН МЕРОПРИЯТИЙ КРОК
Этап 1. Проведение аудита
Этап 2. Разработка модели угроз для ИСПДн.
Классификация ИСПДн
Этап 3. Создание нормативно-методической базы
Этап 4. Техническое проектирование СЗПДн
Этап 5. Сертификация средств защиты
Этап 6. Внедрение СЗПДн
Этап 7. Получение лицензии на ТЗКИ
Этап 8. Проведение аттестации ИСПДн
www.CROC.ru/PD

25. СПАСИБО ЗА ВНИМАНИЕ!
Евгений Чугунов
ЭКСПЕРТ ПО
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
Тел: (495) 974 2274
E-mail: echugunov@croc.ru