Презентация с семинара про ПДн для разработчиков ИС и сайтов в сети Интернет

1. Хранение
ПДн
(в
контексте
проектирования
и
разработки
ИС
и
сайтов
сети
Интернет)
ПРОЗОРОВ
АНДРЕЙ,
CISM
2016-­‐04 1

2. 2016-­‐04 2
Прозоров
Андрей,
CISM
Руководитель
экспертного
направления
Solar
Security
Рабочие
группы
по
ПДн:
ФСТЭК
России,
Совет
Федерации,
Минздрав
России
Преподаю
юридические
аспекты
ИБ
в
РАНХиГС
при
Президенте
РФ
(MBA) и
НИУ
ВШЭ
Мой
блог:
80na20.blogspot.com
Мой
твиттер:
twitter.com/3dwave

3. Общие
вопросы
(чтобы
я
понимал
общий
уровень
подготовки
аудитории)
1. Кто
в
аудитории?
Юристы,
HR,
руководители
подразделений,
маркетинг,
подразделение
ИБ
и
др.?
2. Кто
знаком
с
темой
ПДн
и
читал
152-­‐ФЗ?
3. Кто
знаком
с
242-­‐ФЗ?
4. Кто
понимает,
чем
занимается
РКН?
5. Кто
знает,
что
такое
Приказ
№21?
6. А
Приказ
№378?
7. А
Приказ
№17?
2016-­‐04 3

4. Очень
короткий
курс,
2ч
2016-­‐04 4
• Ориентир
на
юристов
и
менеджеров
• Фокус
на
важнейшие
моменты
• Фокус
на
практическую
пользу
• Совсем
простые
вещи
обсуждать
не
хотелось
бы…

5. Общее
содержание
курса
1. Актуальность
темы
и
перечень
нормативных
документов
2. Базовые
термины
и
особенно
термин
«ПДн»
3. Видение
со
стороны
регуляторов
4. РКН
и
отчет
о
деятельности
за
2015
год
5. Типовые
нарушения
по
ПДн
6. Что
писать
в
Политике
оператора
и
Соглашении
с
субъектом
ПДн?
7. 242-­‐ФЗ
и
Реестр
нарушителей
прав
субъектов
ПДн
8. Требования
по
защите
ПДн
9. Аттестация,
сертификация
и
лицензирование
10. Защита
ГосИС
2016-­‐04 5

6. Почему
тема
ПДн
не
проста?
1. Слишком много нормативных документов, и они слишком часто обновляются.
2. Помимо «универсальных» требований (ФЗ, ПП, РКН, Минкомсвязь России,
ФСТЭК России, ФСБ России) есть еще и отраслевые требования и
рекомендации (ЦБ РФ, Минздрав России, про ПДн для гос.служащих,
стандарты НАПФ, рекомендации ДИТ Москвы и пр.)
3. Тема не нова, но регулярно получает «новое дыхание» (постоянное внимание
СМИ, обсуждение повышения штрафов, вывод РКН из-­‐под действия 294-­‐ФЗ (о
защите юр.лиц при гос.контроле), 242-­‐ФЗ (ПДн на территории России)…)
4. Слишком много спорных и сложных тем (суть термина «ПДн», трансграничная
передача, фото и биометрические ПДн, хранение БД на территории России,
передача 3м лицам, сертификация СЗИ, достаточность мер защиты,
актуальные угрозы и пр.)
5. Слишком много материалов (и устаревших) по теме, сложно вычленить
главное
6. Обычно темой занимаются юристы и отдел персонала, они «игнорируют»
вопросы информационной безопасности
7. Слишком мало проверок и слишком низкие штрафы (низкий приоритет работ,
«подождем еще»/«к нам не придут»)
2016-­‐04 6

7. Почему
темой
стоит
заниматься?
• Формальные
требования,
выполнять
обязаны.
Кстати,
давно
хотят
повысить
штрафы…
• Можем
попасть
под
проверку
/
систематический
контроль
• Могут
быть
репутационные
потери
(при
утечке
ПДн,
при
жалобах
клиентов,
при
неудачных
проверках
регулятором)
• «Все
занимаются
и
мы
займемся»
• Просто
красивое
маркетинговое
преимущество
• Можно
попасть
в
реестр
нарушителей
с
последующей
блокировкой
сайта
2016-­‐04 7

8. Требования
(самые
важные)
1. Федеральный закон N 149-­‐ФЗ "Об информации, информационных технологиях и о
защите информации"
2. Федеральный закон N 152-­‐ФЗ "О персональных данных"
3. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований
к защите персональных данных при их обработке в информационных системах
персональных данных"
4. Постановление Правительства РФ от 19.08.2015 N 857 "Об автоматизированной
информационной системе "Реестр нарушителей прав субъектов персональных
данных"
5. "Трудовой
кодекс
Российской
Федерации"
(Глава
14.
Защита
персональных
данных
работника)
6. Постановление
Правительства
РФ
от
15.09.2008
N
687
"Об
утверждении
Положения
об
особенностях
обработки
персональных
данных,
осуществляемой
без
использования
средств
автоматизации"
7. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных
данных при их обработкев информационных системах персональных данных"
2016-­‐04 8
Общий
список
тут
-­‐ http://80na20.blogspot.ru/p/blog-­‐page_17.html

9. Важные
термины
152-­‐ФЗ
2016-­‐04 9
1) персональные данные -­‐ любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор -­‐ государственный орган, муниципальный орган, юридическое или физическое
лицо, самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели обработки
персональных данных, состав персональных данных, подлежащих обработке, действия
(операции), совершаемые с персональными данными;
3) обработка персональных данных -­‐ любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
10) информационная система персональных данных -­‐ совокупность содержащихся в базах
данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
11) трансграничная передача персональных данных -­‐ передача персональных данных на
территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.

10. «Если совокупность данных необходима и достаточна для
идентификации лица, такие данные следует считать
персональными данными, даже если они не включают в себя
данные документов, удостоверяющих личность.
При этом данные нельзя считать персональными в том случае,
если без использования дополнительной информации они не
позволяют идентифицировать физическое лицо.
Изложенный подход допустимо рассматривать как
учитывающий баланс интересов всех участников отношений.»
10
РКН
про
термин
ПДн
2016-­‐04

11. «Следующие данные также можно рассматривать как
персональные, несмотря на то, что в их отношении остается
некоторыйаспект вероятного совпадения:
фамилия, имя, отчество, дата рождения, место прописки;
фамилия, имя, отчество, дата рождения, должность;
фамилия, имя, отчество (возможно, фамилия и инициалы) плюс
любая информация, выделяющая субъекта из уже ограниченного
круга лиц.
Например, житель дома А.А. Иванов имеет такие-­‐то долги. Скорее
всего, подобное объявление в подъезде однозначно
идентифицирует субъекта, по меньшей мере, для жителей этого
дома. Пока, однако, неясно, как точно дать определение
ограниченного круга лиц, потому что «жители Москвы» — тоже
ограниченный круг лиц, а житель Москвы А.А. Иванов — это уже не
конкретный субъект (вместе с тем пример с «жителем дома А.А.
Ивановым»подтверждается судебной практикой).»
112016-­‐04

12. «Членами рабочей группы также были представлены
отдельные примеры, основанные на опыте работы с
персональными данными. Так, к числу данных, которые не
могут рассматриваться, по крайней мере, по отдельности
друг от друга в качестве персональных, могут быть отнесены:
фамилия, имя, отчество, адрес проживания, электронный
адрес, номер телефона, дата рождения.
Другие идентификаторы сами по себе не определяют
однозначно конкретное физическое лицо. Такие данные
должны быть отнесены к персональным данным только в том
случае, если они хранятся и обрабатываются совместно с
идентификаторами, которые сами по себе определяют
физическое лицо.»
122016-­‐04

13. Вопросы
про
данные
на
веб-­‐сайтах
• Какая
СОВОКУПНОСТЬ
данных
обрабатывается?
• Какая
ЦЕЛЬ
обработки
такой
совокупности
данных?
• Какое
ОСНОВАНИЕ
для
обработки
ПДн?
• Проверяются
ли
ПДн
при
вводе?
Может
ли
субъект
внести
любые
данные,
представится
другим
лицом?
• Позволяют
ли
данные
ИДЕНТИФИЦИРОВАТЬ
субъекта
ПДн?
• Можно
ли
СОКРАТИТЬ
перечень
собираемой
информации?
2016-­‐04 13
Может
на
веб-­‐сайте
не
обрабатываются
ПДн?
И
не
стоит
усложнять?
Может
стоит
удалить
упоминание
об
обработке
ПДн
на
сайте?

14. 2016-­‐04 14
http://www.museikino.ru

15. 2016-­‐04 15
https://crowd.nami.ru

16. 2016-­‐04 16
www.kia.ru

17. 2016-­‐04 17
https://bcspremier.ru

18. 2016-­‐04 18
http://klinikabudzdorov.ru

19. 2016-­‐04 19

20. Что
обычно
делают?
2016-­‐04 20
Выполнение
требований
по
защите
ПДн
Выполнение
требований
к
обработке
ПДн
(работники
и
клиенты)
Что-­‐нибудь
по
защите
ПДн
(разграничение
доступа,
режим
КТ,
правила
ИБ)
Обычно
крупные
компании
с
выделенным
отделом
ИБ
(банки,
гос.компании),
инициатива
со
стороны
ИБ
Обычно
компании,
обрабатывающие
большое
кол-­‐во
ПДн
клиентов
(транспортные
компании,
гостиницы,
страховые
и
пр.),
и
компании
с
«сильными»
HR
(ПДн
работников)
B2C

21. Тема
ПДн
глазами
регуляторов
2016-­‐04 21
Регулятор Что интересует?
РКН Соблюдение
прав
субъектов
ПДн
(обычно
клиентов, реже
работников).
Положения:
152-­‐ФЗ,
ПП687,
ПП211
(для
гос.
и
муниципальных
органов)
ФСТЭК
России Выполнение
требований
по
технической
защите
ПДн
(обычно
для
ГосИС, реже
для
лицензиатов)
Положения:
152-­‐ФЗ
ст.19,
ПП
1119,
Приказ
ФСТЭК
№21
(и
№17 для
ГосИС)
ФСБ
России Выполнение
требований
по
СКЗИ
(обычно
для
ГосИС,
реже
для
лицензиатов)
Положения:
ПП
1119,
Приказ
ФСБ
России
№378,
методические
рекомендации
по
МУ
Упрощенно…

22. РКН
– наше
все!
222016-­‐04

23. РКН
и
ПДн
2016-­‐04 23
http://rkn.gov.ru/personal-­‐data
http://pd.rkn.gov.ru

24. 24
ПДн
глазами
РКН
http://pd.rkn.gov.ru/faq/
2016-­‐04

25. 2016-­‐04 25

26. 2016-­‐04 26

27. 2016-­‐04 27

28. Веб-­‐сайты
и
ИСПДн
2016-­‐04 28

29. 2016-­‐04 29

30. 2016-­‐04 30

31. Отчет
РКН
за
2015
В 2015 году проведены 1 292 плановые проверки, из них 132 в отношении
государственных и муниципальных органов, а также 104 внеплановые
проверки. По результатам проведенных контрольно-­‐надзорных
мероприятий выдано 731 предписание об устранении выявленных нарушений.
РКН переходит на систематическое наблюдение.
Составлен 7 721 протокол об административных правонарушениях. По
результатам рассмотрения протоколов наложено административных штрафов
на общую сумму 10 454 600 рублей.
За 2015 год в адрес Роскомнадзора и его территориальных органов поступило
33 327 обращений граждан и юридических лиц, что на 60,4% больше, чем в
2014 году (20 132 обращения). От граждан поступило 32 647 обращений и
жалоб, от юридических лиц – 680. По результатам рассмотрения жалоб
граждан доводы заявителей подтвердились в 7,6% случаев.
Наибольшее количество жалоб граждан поступило на действия кредитных
учреждений, организаций ЖКХ, коллекторских агентств, на нарушения со
стороны интернет сайтов, в том числе социальных сетей.
2016-­‐04 31

32. Типовые
нарушения
по
ПДн
1. Представление в уполномоченный орган уведомления об обработке ПДн,
содержащего неполные и (или) недостоверные сведения
2. Отсутствие у оператора места (мест) хранения ПДн (материальных
носителей), перечня лиц, осуществляющих об работку ПДн либо имеющих к
ним доступ
3. Отсутствие в поручении лицу, ответственному за обработку ПДн,
обязанности соблюдения конфиденциальности ПДн и обеспечения их
безопасности, а также требований к защите обрабатываемых ПДн
4. Обработка ПДн в случаях, не предусмотренных законом. (В частности,
обработка при достижении целей обработки)
5. Отсутствие на сайте Политики оператора в отношении обработки ПДн и
контактов для связи
2016-­‐04 32

33. Что
писать
в
Политике
(на
сайте)
1. Общие
понятия
и
принципы
обработки
ПДн.
(ст.3
и
5,
+принцип
"Конфиденциальности"
(ст.7))
2. Условия
и
цели обработки. (Ст.5,
6,
9,
10
(спецкатегории
ПДн)
+
ссылка
на
согласие)
3. Общее
описание
обработки
ПДн. (перечисляем
группы
субъектов
ПДн,
даем
ссылку
на
Перечень
ПДн,
перечисляем
действия
из
термина
«обработка
ПДн»,
упоминаем
трансграничную
обработку
ПДн
(ст.12),
специальные
категории
ПДн
(ст.10)
и
биометрические
ПДн
(ст.11),
а
также
про
"принятие
решения
на
основании
исключительно
автоматизированной
обработки"
(ст.16),
перечисляем
организаций
которым
передаются
ПДн
для
обработки)
4. Сроки
обработки
ПДн
и
порядок
прекращения
обработки.
5. Меры
в
области
обработки
и
защиты
ПДн. (ст.18.1
и
19)
6. Права
субъекта
ПДн (+
про
возможность
отзыва
согласия)
2016-­‐04 33
Рекомендуется
писать
максимально
общими
фразами
и
копи-­‐пастом
из
152-­‐ФЗ.

34. Уведомление
РКН
2016-­‐04 34
http://pd.rkn.gov.ru/operators-­‐registry/notification/form

35. 35
242-­‐ФЗ
242-­‐ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные
акты РФ…».
Суть:
Идея №1 (ст.15.5 149-­‐ФЗ): «В целях ограничения доступа к информации в
сети "Интернет", обрабатываемой с нарушением законодательства РФ в
области ПДн, создается автоматизированная информационная система
«Реестр нарушителей прав субъектов ПДн» …
Идея №2 (в ст.18.п.5 152-­‐ФЗ): «При сборе ПДн, в том числе посредством
информационно-­‐телекоммуникационной сети "Интернет", оператор
обязан обеспечить запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение ПДн граждан РФ с
использованием баз данных, находящихся на территории РФ за
исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6
настоящего ФЗ.» …
2016-­‐04

36. Про
реестр
нарушителей
ПП857
С 01.09.2015 по 31.12.2015
на основании
судебных
решений в реестр
было
внесено
105
записей;
29
интернет-­‐ресурсов
подверглись
блокировке.
РКН
получает
акт
об
ограничении
доступа
(судебное
решение),
в
течение
3х
дней
вносит
в
реестр
и
направляет
запрос
провайдеру.
В
реестр
вносят:
• Доменные
имена
и/или
указатели
страниц
сайтов
• Сетевые
адреса
• Указание
на
вступивший
в
силу
судебный
акт
• Дата
и
время
отсылки
информации
РКН
• Информация
об
устранении
нарушения
2016-­‐04 36

37. 37
Что
сейчас
про
ПДн?
1.Отсутствует
требование
о
запрете
хранения
ПДн
за
пределами
РФ
2.Отсутствует
требование
о
хранении
ПДн
только
на
территории
РФ
3.Отсутствуют
требования
и
рекомендации
по
использованию
«базы
данных»,
упомянутой
в
законе
4.Отсутствуют
требования
по
формату
и
сроку
хранения
ПДн
5.В
152-­‐ФЗ
остались
положения
про
трансграничную
передачу
ПДн
«Трансграничная передача ПДн -­‐ передача ПДн на территорию
иностранного государства органу власти иностранного
государства, иностранному физическому лицу или иностранному
юридическому лицу.»
2016-­‐04

38. 38
152-­‐ФЗ
ст.12
Статья 12. Трансграничная передача ПДн
1. Трансграничная передача ПДн на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о
защите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающих
адекватную защиту прав субъектов ПДн, осуществляется в соответствии с настоящим ФЗ и может быть запрещена или
ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов
граждан, обеспечения обороны страны и безопасности государства.
2. Уполномоченный орган по защите прав субъектов ПДн утверждает перечень иностранных государств, не являющихся
сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и обеспечивающих
адекватную защиту прав субъектов ПДн. Государство, не являющееся стороной Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке ПДн, может быть включено в перечень иностранных государств,
обеспечивающих адекватную защиту прав субъектов ПДн, при условии соответствия положениям указанной Конвенции
действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн.
3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн,
обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачиПДн.
4. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав
субъектов ПДн, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя
Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности
устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и
государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект ПДн;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения
согласия в письменной форме субъекта ПДн
2016-­‐04

39. 39
Что
делают
операторы?
Вариант
3.
Ничего,
формально и
так
используют
базы
данных,
находящихся
на
территории
Вариант
1.
Ничего,
риски
принимают
Возможные
штрафы
минимальны*
(10
000
рублей),
вероятность
проверки
минимальна.
Но
могут
заблокировать
сайт
в
сети
Интернет
Вариант
2.
Ничего,
выжидают
Законодательство
по
ПДн
слишком
часто
меняется:
152-­‐ФЗ
14
раз
(существенно
в
2011);
подход
по
защите
ПДн
уже
3й
(в
2012
утверждено
ПП1119)
Вариант
4.
Переделывают
ИТ-­‐инфраструктуру
Строят/арендуют
ЦОДы,
закупают
дополнительные
системы
хранения
данных
*
-­‐ хотя
уже
несколько
лет
ожидаем
повышение
штрафов…
2016-­‐04

40. 242-­‐ФЗ+
По
состоянию
на
31.12.2015,
сведения
по
п.
10
ч.
3
ст.
22
(про
местонахождение
базы
данных
ПДн)
Федерального
закона
представили
17 293
оператора,
что
составляет
5%
от внесенных
в
реестр.
2016-­‐04 40

41. МВА
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
(CSO) 41
242-­‐ФЗ
2016-­‐04

42. 42
Но
есть
97-­‐ФЗ
(о
блогерах)
97-­‐ФЗ
от
05.05.2014
(ред.
от
21.07.2014)
«О
внесении
изменений
в
149-­‐ФЗ…»
Суть:
Идея
№1
про
обязанности
организатора
распространения
информации
в
сети
"Интернет"
«Организатором распространения информации в сети "Интернет" является
лицо, осуществляющее деятельность по обеспечению функционирования
информационных систем и (или) программ для электронных вычислительных
машин, которые предназначены и (или) используются для приема, передачи,
доставки и (или) обработки электронных сообщений пользователей сети
"Интернет"». – довольно неконкретный термин, который можно очень гибко
использовать …
Идея
№2
про
блогеров
«Владелец сайта и (или) страницы сайта в сети "Интернет", на которых
размещается общедоступная информация и доступ к которым в течение суток
составляет более трех тысяч пользователей сети "Интернет"».
Идея
№3:
Новые
статьи
(штрафы)
в
КоАП
2016-­‐04

43. 43
Обязанности
организатора
Ст.10.1 п.3. Организатор распространения информации в сети "Интернет"
обязан хранить на территории РФ информацию о фактах приема,
передачи, доставки и (или) обработки голосовой информации,
письменного текста, изображений, звуков или иных электронных
сообщений пользователей сети "Интернет" и информацию об этих
пользователях в течение шести месяцев с момента окончания
осуществления таких действий, а также предоставлять указанную
информацию уполномоченным государственным органам,
осуществляющим оперативно-­‐разыскную деятельность или обеспечение
безопасности Российской Федерации, в случаях, установленных
федеральными законами.
…
+КоАП Статья 13.31 (новая). Неисполнение обязанностей организатором
распространенияинформации в сети "Интернет:… Штраф до 500 000 рублей
2016-­‐04

44. УЗ
ПДн
по
ПП1119
2016-­‐04 44
ИСПДн-­‐С
специальные
ИСПДн-­‐Б
биометрические
ИСПДн-­‐И
иные
ИСПДн-­‐О
общедоступные
ПДн
сотрудников
оператора
или
ПДн
менее чем
100
000 субъектов,
не
являющихся
сотрудниками
оператора
АУ
3
типа
(без
НДВ)
3 3 4 4
АУ
2
типа
(НДВ
ПО)
2 2 3 3
АУ
1
типа
(НДВ
ОС)
1 1 1 2
ПДн
более чем
100
000 субъектов,
не
являющихся
сотрудниками
оператора
АУ
3
типа
(без
НДВ)
2 3 3 4
АУ
2
типа
(НДВ
ПО)
1 2 2 2
АУ
1
типа
(НДВ
ОС)
1 1 1 2

45. Требования
по
ПП1119
2016-­‐04 45
Требования 1 2 3 4
1.Контроль
доступа
в
помещения
Организация
режима
обеспечения
безопасности
помещений,
в
которых
размещена
ИСПДн,
препятствующего
возможности
неконтролируемого
проникновения
или
пребывания
в
этих
помещениях
лиц,
не
имеющих
права
доступа
в
эти
помещения
+ + + +
2.Безопасность
носителей
Обеспечение
сохранности
носителей
ПДн
+ + + +
3.Перечень
лиц,
допущенных
к
обработке
ПДн
Утверждение
руководителем
оператора
документа,
определяющего
перечень
лиц,
доступ
которых
к
ПДн,
обрабатываемым
в
ИС,
необходим
для
выполнения
ими
служебных
(трудовых)
обязанностей
+ + + +
4.«Сертифицированные»
СЗИ
Использование
СЗИ,
прошедших
процедуру
оценки
соответствия
требованиям
законодательства
РФ
в
области
обеспечения
безопасности
информации,
в
случае,
когда
применение
таких
средств
необходимо
для
нейтрализации
актуальных
угроз
+ + + +
5.Назначение
ответственного
за
безопасность
ПДн
Назначение
должностного
лица
(работника),
ответственного
за
обеспечение
безопасности
ПДн
в
ИС
+ + + -­‐
6.Контроль
доступа
к
эл.журналу
сообщений
Обеспечение
доступа
к
содержанию
электронного
журнала
сообщений
исключительно
для
должностных
лиц
(работников)
оператора
или
уполномоченного
лица,
которым
сведения,
содержащиеся
в
указанном
журнале,
необходимы
для
выполнения
служебных
(трудовых)
обязанностей
+ + -­‐ -­‐
7.Автоматическая
регистрация
в
эл.журнале
безопасности
Автоматическая
регистрация
в
электронном
журнале
безопасности
изменения
полномочий
сотрудника
оператора
по
доступу
к
ПДн,
содержащимся
в
ИС
+ -­‐ -­‐ -­‐
8.Создание
структурного
подразделения
Создание
структурного
подразделения,
ответственного
за
обеспечение
безопасности
ПДн
в
ИС,
либо
возложение
на
одно
из
структурных
подразделений
функций
по
обеспечению
такой
безопасности
+ -­‐ -­‐ -­‐
9.Регулярный
контроль
за
выполнением
требований
Самостоятельно или
с
привлечением
лицензиата
по
ТЗКИ.
Не
реже
1
раза
в
3
года
+ + + +

46. Меры
защиты
по
Приказ
№21
2016-­‐04 46
I.
Идентификация
и
аутентификация
субъектов
доступа
и
объектов
доступа
(ИАФ)
II.
Управление
доступом
субъектов
доступа
к
объектам
доступа
(УПД)
III.
Ограничение
программной
среды
(ОПС)
IV.
Защита
машинных
носителей
персональных
данных
(ЗНИ)
V.
Регистрация
событий
безопасности
(РСБ)
VI.
Антивирусная
защита
(АВЗ)
VII.
Обнаружение
вторжений
(СОВ)
VIII.
Контроль
(анализ)
защищенности
персональных
данных
(АНЗ)
IX.
Обеспечение
целостности
информационной
системы
и
персональных
данных
(ОЦЛ)
X.
Обеспечение
доступности
персональных
данных
(ОДТ)
XI.
Защита
среды
виртуализации
(ЗСВ)
XII.
Защита
технических
средств
(ЗТС)
XIII.
Защита
информационной
системы,
ее
средств,
систем
связи
и
передачи
данных
(3ИС)
XIV.
Выявление
инцидентов
и
реагирование
на
них
(ИНЦ)
XV.
Управление
конфигурацией
информационной
системы
и
системы
защиты
персональных
данных
(УКФ)

47. Сертификация
и
лицензирование
Приказ №21
2. Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или
лицо, осуществляющее обработку ПДн по поручению оператора в соответствии
с законодательством РФ.
Для выполнения работ по обеспечению безопасности ПДн при их обработке в
информационной системе в соответствии с законодательством РФ могут
привлекаться на договорной основе юридическое лицо или индивидуальный
предприниматель, имеющие лицензию на деятельность по технической
защите конфиденциальной информации.
4. Меры по обеспечению безопасности ПДн реализуются в том числе
посредством применения в информационной системе средств защиты
информации, прошедших в установленном порядке процедуру оценки
соответствия, в случаях, когда применение таких средств необходимо для
нейтрализации актуальных угроз безопасности ПДн .
6. Оценка эффективности реализованных в рамках системы защиты ПДн мер по
обеспечению безопасности ПДн проводится оператором самостоятельно или с
привлечением на договорной основе юридических лиц и индивидуальных
предпринимателей, имеющих лицензию на осуществление деятельности по
технической защите конфиденциальной информации. Указанная оценка
проводится не реже одного раза в 3 года.
2016-­‐04 47

48. СЗИ
по
Приказ
ФСТЭК
№21
2016-­‐04 48
Уровни
защищенности
ПДн
1 2 3 4
СВТ 5+ 5+ 5+ 6+
СОВ 4+ 4+ 4+/5+ 5+
АВЗ 4+ 4+ 4+/5+ 5+
МСЭ 3+/4+ 3+/4+ 3+/4+ 5
НДВ 4+ 4+ -­‐/4+,
если АУ2
-­‐

49. Сертификация
и
лицензирование
Приказ №21
2. Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или
лицо, осуществляющее обработку ПДн по поручению оператора в соответствии
с законодательством РФ.
Для выполнения работ по обеспечению безопасности ПДн при их обработке в
информационной системе в соответствии с законодательством РФ могут
привлекаться на договорной основе юридическое лицо или индивидуальный
предприниматель, имеющие лицензию на деятельность по технической
защите конфиденциальной информации.
4. Меры по обеспечению безопасности ПДн реализуются в том числе
посредством применения в информационной системе средств защиты
информации, прошедших в установленном порядке процедуру оценки
соответствия, в случаях, когда применение таких средств необходимо для
нейтрализации актуальных угроз безопасности ПДн .
6. Оценка эффективности реализованных в рамках системы защиты ПДн мер по
обеспечению безопасности ПДн проводится оператором самостоятельно или с
привлечением на договорной основе юридических лиц и индивидуальных
предпринимателей, имеющих лицензию на осуществление деятельности по
технической защите конфиденциальной информации. Указанная оценка
проводится не реже одного раза в 3 года.
2016-­‐04 49

50. Защита
ГосИС
• Документы:
• Федеральный закон N 149-­‐ФЗ "Об информации, информационных технологиях
и о защите информации"
• Приказ
ФСТЭК
России
от
11.02.2013
N
17
"Об
утверждении
Требований
о
защите
информации,
не
составляющей
государственную
тайну,
содержащейся
в
государственных
информационных
системах"
(Зарегистрировано
в
Минюсте
России
31.05.2013
N
28608)
• "Методический
документ.
Меры
защиты
информации
в
государственных
информационных
системах"
(утв.
ФСТЭК
России
11.02.2014)
• Есть
обязательная
аттестация
и
сертификация
• Ожидаем
обновления
в
2016
году
(классов
защищенности
будет
3,
перечень
мер
будет
выровнен
с
21
и
31
приказами,
НДВ
4
будет
для
всех
классов)
• Ожидаем
расширение
области
действия
Приказа
№17
2016-­‐04 50

51. Сертификация
и
лицензирование
Приказ №17
10. Для проведения работ по защите информации в ходе создания и
эксплуатации информационной системы обладателем информации
(заказчиком) и оператором в соответствии с законодательством Российской
Федерации при необходимости привлекаются организации, имеющие
лицензию на деятельность по технической защите конфиденциальной
информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-­‐
ФЗ «О лицензировании отдельных видов деятельности»
11. Для обеспечения защиты информации, содержащейся в
информационной системе, применяются средства защиты информации,
прошедшие оценку соответствия в форме обязательной сертификации на
соответствие требованиям по безопасности информации в соответствии со
статьей 5 Федерального закона от 27 декабря 2002 г. N 184-­‐ФЗ «О
техническом регулировании»
2016-­‐04 51

52. Типовой
проект
по
ПДн
1. Делаем
своими
силами
2. Покупаем
шаблоны
документов
и
минимальный
консалтинг
3. Приглашаем
внешних
консультантов
(регламентирование
обработки
ПДн
и
проектирование
СЗПДн)
2016-­‐04 52

53. Прозоров
Андрей,
CISM
Мой
блог:
80na20.blogspot.com
Мой
твиттер:
twitter.com/3dwave
2016-­‐04 53
Спасибо
за
внимание!