280 likes | 455 Views
Межрегиональная общественная организация «Ассоциация защиты информации». ОРГАНИЗАЦИЯ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ – МЕТОДОЛОГИЯ УСПЕХА Докладчик: Статьев В.Ю. – советник Председателя Совета МОО «АЗИ». Драйверы рынка информационной безопасности. Источник : Ernst&Young.
E N D
Межрегиональная общественная организация «Ассоциация защиты информации» ОРГАНИЗАЦИЯ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ – МЕТОДОЛОГИЯ УСПЕХА Докладчик: Статьев В.Ю. – советник Председателя Совета МОО «АЗИ»
Драйверы рынка информационной безопасности Источник : Ernst&Young
Сдерживающие факторы индустрии ИБ Источник : Ernst&Young
Персональные данные – гуманитарная проблема 152-ФЗ «О персональных данных»имеет цель – обеспечить конфиденциальность частной жизни, сохранность личной, семейной и других видов тайн, обязывает руководителей организаций и учреждений независимо от формы собственности четко организовать работу по реализации требований этого закона.
Персональные данные – гуманитарная проблема За последние 30 лет более чем в 20 европейских государствах были приняты нормативные акты по защите персональных данных, в которых были закреплены механизмы правового регулирования оборота персональных данных.
Персональные данные – гуманитарная проблема Принципы обработки ПД • Законность целей и способов обработки ПДн, добросовестность оператора; • Соответствие целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям оператора; • Соответствие объема и характера обрабатываемых ПДн, способов обработки ПДн целям их обработки; • Достоверность ПДн, их достаточность для целей обработки, недопустимость обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн; • Недопустимость объединения созданных для несовместимых между собой целей ИСПДн.
Нормативная база ФЗ от 27 июля 2006 года № 152-ФЗ «О персональных данных» Постановление Правительства РФ от 17 ноября 2007 года № 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Совместный приказот 13 февраля 2008 г. № 55/86/20 ФСТЭК, ФСБ, Мининформсвязь, утверждающий «Порядок проведения классификации информационных систем персональных данных» Законодательство РФ Документы ФСТЭК: «Базовая модель………. …» «Методика ………….……….» «Основные мероприятия …» «Рекомендации …………….» Документы ФСБ: «Типовые требования……….. …» «Методические рекомендации...»
Порядок классификации Информация оператора Идентификация систем обработки персональных данных Определение характеристик персональных данных Первичная классификация систем обработки персональных данных Система обработки персональных данных с использованием средств автоматизации Система обработки персональных данных без использования средств автоматизации
Порядок классификации систем обработки персональных данных с использованием средств автоматизации Определение типа системы обработки персональных данных Типовая информационная система обработки персональных данных по требованиям ФСТЭК России Специальная информационная система обработки персональных данных по требованиям ФСТЭК России Информационная система обработки персональных данных по требованиям ФСБ России
Характеристики ИСПДн Характеристики системы персональных данных • Категория обрабатываемых в информационной системе персональных данных; • Объем обрабатываемых персональных данных; • Заданные оператором характеристики безопасности персональных данных; • Структура информационной системы; • Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международногоинформационного обмена; • Режим обработки персональных данных; • Режим разграничения прав доступа пользователей информационной системы; • Местонахождение технических средств информационной системы.
Характеристики ИСПДн Категории персональных данных Категория 1- персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; Категория 2- персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; Категория 3- персональные данные, позволяющие идентифицировать субъекта персональных данных; Категория 4- обезличенные и (или) общедоступные персональные данные
Характеристики ИСПДн Объем персональных данных • В информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; • В информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; • В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
Характеристики ИСПДн Характеристики безопасности ОСНОВНЫЕ: • Конфиденциальность(обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания» • Целостность(способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения)) • Доступность (обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости) ДОПОЛНИТЕЛЬНЫЕ: • Неотказуемость (способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут ) • Учетность (обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту) • Аутентичность (идентичность объекта тому, что заявлено) • Адекватность (свойство соответствия преднамеренному поведению и результатам)
Типовая ИСПДн класс 1 (К1)- информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2)- информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3)- информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4)- информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Типовая ИСПДн Таблица классификации
Специальная ИСПДн • Конфиденциальность + ……………. • Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья объектов персональных данных; • Информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Специальная ИСПДн Классификация 1. Целостность 2. Доступность …………………..
Типовые отраслевые методические рекомендации Решение НТС Министерства связи и массовых коммуникаций РФ от 26 августа 2009 года «…………………. 5. Считать целесообразным подготовку типовых отраслевых методических рекомендаций по защите информационных систем персональных данных. ……………….…»
Необходимость типовых методических рекомендаций • Необходимо выполнить требования Федерального законодательства и регуляторов (ФСБ, ФСТЭК, РКСН) в области защиты персональных данных; • Необходимо наличие единой для компанийотрасли и согласованной с регуляторами отраслевой нормативной базы в области защиты персональных данных; • Необходимо наличие единых для компаний отрасли и согласованных регламентов взаимодействия с внешними организациями в процессе циркуляции персональных данных.
Отраслевые методические материалы • Состав персональных • данных; • Предметные риски; • Классы специальных • информационных систем • персональных данных. Базовая модель / модель угроз верхнего уровня Типовая отраслевая модель угроз • Отраслевая легитимность; • Снижение ресурсных затрат; • Унификация технических решений. Частная / детализированная модель угроз информационной системы персональных данных
Рекомендации по формату и содержанию типовой отраслевой модели угроз 1. Общие положения 2. Характеристика объекта информатизации 3. Состав, категории и объем ПДн, обрабатываемых с использованием средств автоматизации. 4. Характеристики безопасности ПДн, обрабатываемых в ИСПДн организации. 5. Классификация ИСПДн 6. Угрозы безопасности ПДн для субъекта персональных данных 7. Угрозы безопасности ПДн, при их обработке в ИСПДн 8. Модель нарушителя безопасности ПДн 9. Требуемый уровень криптографической защиты 10. Заключение
Методология организации работы с персональными данными Организационно-правовое направление Организационно-правовое направление Выявление наличия/отсутствия признаков организации работы с персональными данными; Формирование перечня информации,относимой к персональным данным; Формирование перечня информационныхсистем персональных данных; Разработка или совершенствованиесуществующей нормативной правовой базы, регламентирующейобработку персональных данных Техническое направление Выявление уязвимых звеньев и возможных угроз безопасности персональным данным в информационной системе персональных данных Разработка концептуальных документов обеспечения безопасности персональных данных предприятияи в его информационных системах персональных данных Разработка новой или совершенствование существующей нормативной правовой базы, регламентирующей обеспечение безопасности в информационной системе персональных данных предприятия Организация работы с персональными данными в рамках разработки (модернизации) информационной системы персональных данных предприятия в соответствии с утвержденными концептуальными документами обеспечения безопасности персональных данных
Создание модели защиты ИСПДн Обеспечение защиты ИСПДн Проведение специальных работ Подготовка объекта информатизации Обеспечение эксплуатации ИСПДн Разработка документального описания модели защиты ИСПДн Реализация функций защиты ПДн Исследования и проверки в интересах ИСПДн Идентификация и аутентификация Разграничение доступа к функциям и данным Регистрация событий безопасности Контроль целостности Криптографическая защита Антивирусная защита Управление защитой Тематические исследования СЗИ: - функции защиты от НСД; - анализ наличия НДВ. Проведение спецпроверок и специсследований Проведение сертификационных (аттестационных) испытаний ИСПДн Определение объекта защиты (архитектура, процессы, ПДн) Модель нарушителя Модель угроз Политика информационной безопасности Требования по реализации защиты ПДн Комплексная методика по решению вопросов защиты персональных данных Реализация функций защиты на объектах ИСПДн Организация эксплуатации ИСПДн Инженерно-техническая защита Защита технических каналов: - ПЭМИН; - акустический и вибро- акустический; - визуально-оптический. Положение о режиме защиты ПДн Должностные инструкции Конструкторская и эксплуатационная документация Аттестат соответствия Обучение специалистов Аудит и актуализация нормативной базы Соответствие требованиям по защите ИСПДн
Возможные подходы к снижению уровня угроз персональным данным • Снижение категории и объема персональных данных, обрабатываемых в информационных системах персональных данных; • Обезличивание персональных данных; • Сегментирование ИСПДн; • Объединение различных подсистем ИСПДн; • Типизация ИСПДн; • Разделение баз данных; • Минимизация мест хранения ПДн в ИТ- инфраструктуре предприятия; • Сокращение числа АРМ, необходимых для обработки персональных данных; • Перевод обработки персональных данных в ИСПДн с автоматизированной на неавтоматизированную.
Обучение специалистов по организации работы с персональными данными Решение НТС Министерства связи и массовых коммуникаций РФ от 26 августа 2009 года «…………………. 8. Одобрить Программу учебного курса «Организация работы с персональными данными», разработанную МТУСИ совместно с представителями ЗАО «РНТ» и ООО «ИнфоТехноПроект» и предложения МТУСИ об организации повышения квалификации специалистов, осуществляющих обработку персональных данных. 9. Поручить МТУСИ подготовить предложения по внедрению Программы учебного курса «Организация работы с персональными данными» в других вузах и учебных центрах России. ……………….…» По окончании обучения слушателям выдается свидетельство о повышении квалификации государственного образца
Программа учебного курса «Организация работы с персональными данными»
Методология успеха • Осознание гуманитарности проблемы – защищается не информация организации, а конституционные права граждан; • Документальное оформление перечня и процесса обработки ПДн; • Следование основным принципам обработки ПДн; • Организация работы с ПДн в рамках отраслевой методики; • Снижение уровня угроз персональным данным; • Равнопрочная реализация функциональности и безопасности; • Документальное оформление режима защиты ПДн; • Обучение специалистов методам организации работы с ПДн.
ФУНКЦИОНАЛЬНОСТЬ И БЕЗОПАСНОСТЬ ИНФОРМАЦИИ – РАВНОПРОЧНАЯ РЕАЛИЗАЦИЯ Тел.: +7(495)777-75-77 svu@rnt.ru