Марков Алексей Сергеевич, к.т.н., с.н.с., CISSP, SBCI, Генеральный директор ЗАО «НПО «Эшелон» Особенности защиты персональных данных в организациях малого и среднего бизнеса Особенности защиты персональных данных в организациях малого и среднего бизнеса

Российский бизнес: Выполнять или не выполнять требования? Если выполнять, то как минимизировать расходы? Если выполнять, то когда? 2 Актуальные вопросы

Малый и средний бизнес К малому и среднему бизнесу отнесены компании, где: Средняя численность работников до 100 и до 250 чел. соответственно; Выручка от реализации товаров (работ, услуг) без учета налога на добавленную стоимость или балансовая стоимость активов (остаточная стоимость основных средств и нематериальных активов) за предшествующий календарный год не должна превышать 400 млн. руб. и 1 млрд. руб. соответственно. ФЗ 209 "О развитии малого и среднего предпринимательства в Российской Федерации", ст.4. 3

Малый и средний бизнес Малый и средний бизнес – это: 92-96% всех субъектов хозяйственной деятельности >56% ИТ- бюджета страны более 8 млн. компаний 4 Немного статистики

Малый и средний бизнес Малый и средний бизнес неоднороден по многим показателям: уровень образования и квалификация сотрудников IT-уровень и уровень внутреннего менеджмента ИБ-уровень, опыт защиты информации ограниченного доступа степень обработки государственного информационного ресурса значимость для компании обработки (информационных услуг) ПДн и категория обрабатываемых ПДн и др. 5 Неоднородность – нет единого похода

Малый и средний бизнес 6 Проблемные сегменты МСБ Причины, по которым в компаниях МСБ затруднена защита ПДн Дефицит бюджета Дефицит ИБ-специалистов Специализированные уникальные IT-решения Непонимание или отсутствие опыта защиты информации ограниченного доступа и др.

Малый и средний бизнес 7 Статистика (выборка из практики)

Защищать персональные данные? Аргументы «за»: 8 Мы имеем: Законодательство Нормативно-методические требования Уголовная, административная и иная ответственность Проверки со стороны регуляторов Судебная практика Положительные примеры создания систем защиты ПДн

Анализ рисков: возможный ущерб от нарушений Что может быть в случае невыполнения требований: 9 Остановка деятельности Прямой материальный ущерб Косвенный материальный ущерб Нематериальный ущерб (имидж) Ущерб моральной концепции компании (коллектива) Персональный ущерб (смена руководителя, его ответственность)

Анализ рисков: возможный ущерб от нарушений Вероятность проверок 10 Плановые проверки регуляторов Внеплановые проверки регуляторов Перекрестные и смежные проверки Инциденты, жалобы сотрудников и недобросовестная конкуренция Недобросовестные партнеры и соисполнители

Анализ рисков: возможный ущерб от нарушений Роскомнадзор – проверок МСБ (план 2010) ФСБ России ФСТЭК России Прокуратура: сводный план проверок Другие … 11 Плановые проверки

План некоторых проверок на 2010 год 12 Утверждён план проверок Роскомнадзора субъектов предпринимательства на 2010 год по выполнению требований 152-ФЗ

Текущее состояние процесс защиты ПДн Число субъектов СМБ – более Число зарегистрированных операторов ПДн (Роскомнадзор) – Число лицензиатов ФСТЭК России (ТЗКИ) – Отношение СМБ пока настороженное

С чего начать? Два пути организации защиты ПДн 14 1.Организация защиты персональных данных как продолжение защиты информации ограниченного доступа (конфиденциальной информации) 2.Организация защиты информации с «нуля»?

Общность организации защиты информации ограниченного доступа и защиты ПДн 15 Традиционные требования по защите конфиденциальной информации (СТР-К) ЧТЗ, ТЗ, ТП, модель нарушителя, модель угроз Лицензии по ТЗКИ Сертифицированные СЗИ Аттестованные объекты информатизации Организационно-распорядительная и эксплуатационная документация на АСЗИ Наличие квалифицированных специалистов Дополнительные требования (мет.документы по ПДн) Идентификация и классификация ИСПДн Частная модель угроз – оптимизация системы ЗИ Доп.организационно-распорядительная документация Возможна модернизация СЗИ (ИСПДн К1), а также доп.СЗИ

Основные этапы Обследование информационной системы и объекта информатизации Проектирование системы защиты персональных данных Макетирование системы защиты персональных данных Реализация системы защиты персональных данных Сертификация СЗИ, проверка СЗИ и ПО на отсутствие недекларированных возможностей (при необходимости) Аттестация (декларация) ИСПДн по требованиям безопасности Обучение персонала Подготовка к получению лицензии ФСТЭК России на ТЗКИ Сопровождение системы защиты персональных данных 16 Построение системы защиты ПДн

Ключевые требования по защите ПДн Должны быть выполнены необходимые организационные и технические мероприятия в зависимости от класса ИСПДн Средства защиты информации должны быть сертифицированы Программное обеспечение должно пройти проверку на отсутствие недекларированных возможностей ИСПДн К1, К2 (К3) должны быть аттестованы по требованиям безопасности информации 17

Построение системы защиты ПДн Проблемные вопросы практической реализации Лицензирование деятельности по ТЗИ. Дополнительные требования к составу и возможностям СЗИ Необходимость сертификации СЗИ при отсутствии соответствующего сертификата. Предоставление разработчиками исходных кодов для проведения процедуры сертификации ПО на отсутствие НДВ Аттестация и декларация ИСПДн Ограниченные сроки – уже до ! Необходимость дополнительных инвестиций. 18

Построение системы защиты ПДн Перечень применяемых СЗИ в ИСПДн средства предотвращения несанкционированного доступа антивирусные средства средства защиты информации при межсетевом взаимодействии средства анализа защищенности средства обнаружения вторжений криптографические средства защиты информации средства от утечки за счет ПЭМИН (для 1-2 класса ИСПДн К 1,2)

Средства защиты информации Сертифицированы в ФСТЭК России СЗИ для ИСПДн К1 – 47 СЗИ для ИСПДн К2 – 201 СЗИ для ИСПДн К3 –

Построение системы защиты ПДн Минимизация масштабов ИСПДн Унификация решений Аутсорсинг ИБ Как оптимизировать бюджет?

Построение системы защиты ПДн Как оптимизировать бюджет? Оптимизация состава обрабатываемых ПДн. Обоснованная классификация ИСПДн. Правильное моделирование угроз безопасности ПДн. Оптимизация структуры ИСПДн и процессов обработки ПДн. В том числе локализация ПДн в защищённом сегменте ИСПДн, разделение ИСПДн на сегменты разных классов. Оптимизация состава применяемых организационных и технических мер обеспечения безопасности ПДн. Унификация состава применяемых СЗИ. 22 Привлечение специализированных организаций, имеющих лицензии на право деятельности в области защиты информации конфиденциального характера.

Сроки 23 по технической защите персональных данных Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года (ст.25 ФЗ-152)

Возможные сроки 24 по защите персональных данных МСБ Обследование – 2 мес. Проектирование – 1 мес. Поставка – 2 мес. Реализация – 2 мес. Сертификация – 5 мес. Аттестация – 1 мес. Обучение – 0.5 мес.

Заключение 25 Позитивные моменты: -повышение общего уровня осведомленности МСБ в области защиты информации ограниченного доступа и осознание ответственности за нарушения, а также понимание прав субъектов персональных данных -внедрением взвешенного организационно-технического подхода к защите информации, основанного на разработке модели угроз и связанных с ней оптимальных технических решений, а также оценке их соответствия. В то же время, очевидны направления доработки методических документов, связанных с исключением противоречий, касающихся самих документов, соотношения с требованиями к защите разного рода тайн, а также гармонизации с современными стандартами.

Спасибо за внимание! 26 Марков Алексей Сергеевич ЗАО «НПО «Эшелон» Тел./факс:+7 (495) (495) Сайт: Информационная поддержка: