CIO Congress Болдинская осень-2009 Защита персональных данных. Что ждёт нас за порогом ? Ершов Сергей Викторович Управление ФСТЭК России по Приволжскому федеральному округу
История вопроса 1970 г. – в Германии принят первый закон о защите персональных данных; 1973 г. – приняты законы в Швеции; 1974 г. – в Соединенных Штатах; 1978 г. – во Франции
1981 г. – Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» Цель: обеспечение прав и основных свобод человека на неприкосновенность частной жизни и особенно в связи с автоматической обработкой касающихся его персональных данных. Персональные данные – информация, касающаяся конкретного или могущего быть идентифицированным лица («субъекта данных») Страсбург, 28 января 1981 г. подписана Россией 7 ноября 2001 г. ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». от 19 декабря 2005 г. 160-ФЗ
1993 г. – Конституция Российской Федерации Статья Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2.Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Статья Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. 2.Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. 12 декабря 1993 г.
1997 г. – Перечень сведений конфиденциального характера o Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Указ Президента РФ 188 от 6 марта 1997 г.
Актуальность проблемы обеспечения безопасности персональных данных o значительное увеличение правонарушений, связанных с утечками персональных данных в организациях (компаниях); o увеличение тяжести последствий утечки персональных данных; o появление технологий, позволяющих правонарушителям воспользоваться полученными персональными данными; o персональные данные стали объектом торга
Распределение утечек по умыслу по типу конфиденциальной информации Компания InfoWatch – Глобальное исследование утечек 2008
ФЗ «О персональных данных» Регулирует отношения, связанные с обработкой персональных данных, осуществляемой: o органами государственной власти; o муниципальными органами; o юридическими лицами; o физическими лицами с использованием средств автоматизации без использования средств автоматизации 152-ФЗ от 27 июля 2006 г.
ФЗ «О персональных данных» Статья 2. Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 152-ФЗ от 27 июля 2006 г.
ФЗ «О персональных данных» Законом функции Уполномоченного органа по защите прав субъектов персональных данных возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомсвязь), находящуюся в ведении Министерства связи и массовых коммуникаций Российской Федерации 152-ФЗ от 27 июля 2006 г.
ФЗ «О персональных данных» Статья Оператор при обработке персональных данных ОБЯЗАН принимать необходимые орг. и технические меры, в т.ч. использовать шифровальные (криптографические) средства, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий 152-ФЗ от 27 июля 2006 г.
ФЗ «О персональных данных» Статья Правительство РФ устанавливает : o требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн); o требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных 152-ФЗ от 27 июля 2006 г.
Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн Постановление Правительства РФ от 17 ноября 2007 г. 781 Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне ИСПДн Постановление Правительства РФ от 6 июля 2008 г. 512
ФЗ «О персональных данных» Статья Контроль и надзор за выполнением требований, установленных Правительством РФ, осуществляется: o Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России) o Федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России) 152-ФЗ от 27 июля 2006
Процентное распределение по видам деятельности операторов, обрабатывающих персональные данные с нарушениями законодательства РФ (Отчёт о деятельности Роскомнадзора за 2008 год)
ФЗ «О персональных данных» Статья Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. 152-ФЗ от 27 июля 2006 г.
ПРОБЛЕМА – 2010 Что делать? ЗАЩИЩАТЬ ? ЗАКРЫВАТЬ ? ДА НЕТ НЕТ
Нормативно-методические документы ФСТЭК России Порядок проведения классификации ИСПДн* Базовая модель угроз безопасности ПДн при их обработке в ИСПДн. Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн * Приказ ФСТЭК, ФСБ и Мининформсвязи России от 13 февраля 2008 г. 55/86/20
Нормативно-методические документы ФСБ России Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в ИСПДн с использованием средств автоматизации. Приказ ФСБ России от 21 февраля 2008 г. 149/ Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн. Приказ ФСБ России от 21 февраля 2008 г. 149/6/6-622
В чём особенность требований действующих НМД? Требования к системам стали обязательными для любых организаций, независимо от формы собственности. Требования в ряде случаев более жесткие, чем ранее практикуемые при защите конфиденциальной информации. Требования сформулированы для новых сервисов, средств и мер защиты. Апробация нормативных документов только началась.
«Основные мероприятия по организации и техническому обеспечению безопасности ПДн» Для ИСПДн: 1 и 2 классов – ОБЯЗАТЕЛЬНАЯ сертификация (аттестация) по требованиям безопасности информации; 3 класса – декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (ПО РЕШЕНИЮ ОПЕРАТОРА); 4 класса – оценка соответствия проводится по решению оператора
Условия применения сертифицированных средств защиты Категория информации Государственная тайна Конфиденциальная информация Открытая общедоступная Государственный информационный ресурс всегда при доступе из международных сетей общего пользования Негосударственный информационный ресурс - в АСУ экологически опасных производств, ключевых систем, критически важных объектов, потенциально опасных объектов инфраструктуры РФ в игровых автоматах (на отсутствие НДВ) на аттестованных объектах информатизации персональные данные не проводится
В нормативных документах по ПДн в качестве обязательных определены следующие СЗИ: - средства предотвращения несанкционированного доступа, - средства защиты информации при межсетевом взаимодействии, - антивирусные средства, - средства анализа защищённости, - средства обнаружения вторжений, - криптографические средства.
Где найти средства защиты ПДн ? На сайте ФСБ России ( – 22 СКЗИ включены в Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну (по состоянию на 1 февраля 2009 года). На сайте ФСТЭК России ( – в Государственный реестр сертифицированных средств защиты информации внесено 170 СЗИ (ПДн) См. внимательно!
НОРМАТИВНЫЕ ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ПДн В сертификате важно обратить внимание, на соответствие каким документам проведены сертификационные испытания. Для ФСТЭК России это может быть: - руководящие документы (РД) Гостехкомиссии России по защите от несанкционированного доступа (НСД) к информации (для АС, СВТ или МЭ), - РД Гостехкомиссии России по уровню контроля отсутствия недекларированных возможностей (НДВ); - техническое условие или формуляр; - задание по безопасности (по требованиям ГОСТ ИСО/МЭК ).
ДОПОЛНИТЕЛЬНЫЕ ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ПДн В сертификате важно также обратить внимание: - на срок действия сертификата; - на какое количество СЗИ выдан сертификат (единичный экземпляр, определённое количество средств, серия)
Кто будет это делать? Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн 1, 2 классов и распределённых информационных системах 3 класса ДОЛЖНЫ в установленном порядке получить лицензию на осуществление деятельности по технической защите конфиденциальной информации
Положение о лицензировании деятельности по технической защите конфиденциальной информации Наличие в штате соискателя лицензии специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации. Постановление Правительства РФ от 15 августа 2006 г. 504
Кто будет это делать? Может быть, мы сами? o НП «Клуб IT-директоров» Либо Аутсёрсеры: o Лицензиаты ФСТЭК России (желательно из числа аккредитованных органов по аттестации таких, например, как НИИИС); o Лицензиаты ФСБ России
Значит, БУДЕМ ЗАЩИЩАТЬСЯ, а НЕ ЗАКРЫВАТЬСЯ, как игорные дома? Статья 24 ФЗ «О персональных данных» гласит, что лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность
Невыполнение требований закона несёт угрозу не просто информационным ресурсам или интересам отдельных клиентов – возникает угроза для нормального функционирования самого бизнеса. Именно поэтому задача построения защиты персональных данных выходит далеко за рамки полномочий подразделений, отвечающих за IT и информационную безопасность, и все важнейшие решения по обеспечению защиты персональных данных должны приниматься на уровне высшего менеджмента организации.
Благодарю за внимание! ?
Post Scriptum: Уважаемые коллеги! На официальном сайте ФСТЭК России ( размещены выписки из двух документов, которые в полном объёме являются «Для служебного пользования»: 1. Рекомендации по обеспечению безопасности персональных данных при их обработке в ИСПДн Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Пожалуйста пользуйтесь! Мой е-mail: