Работа с перс. данными на примере облачного ПО для банковского и страхового сектора Макеева Анна, ООО «КроСистем»
International Association of Microsoft Certified Partners (IAMCP) Кто имеет отношение к персональным данным Субъект персональных данных Оператор персональных данных Разработчик автоматизированных систем обработки данных (банк, бюро кредитных историй, поставщики баз данных) НЕСЕТ ВСЮ ПОЛНОТУ ОТВЕТСТВЕННОСТИ! В ЗАКОНЕ НЕ ОБОЗНАЧЕН! Персональные данные
International Association of Microsoft Certified Partners (IAMCP) Федеральный закон 152-ФЗ «О персональных данных» ТребованиеКто отвечает Способы обеспечения соответствия требованию Ст. 5 п. 1. Соответствие принципам, установленным в законе Оператор 1.Создание локального нормативного акта (далее - ЛНА), регулирующего обработку персональных данных в процессе кредитования Ст. 5 п. 2. Требование об уничтожении персональных данных по достижению цели их обработки Оператор Разработчик (предусмотреть такую возможность в системе) 1.Определение целей обработки персональных данных и сроков их хранения с целью достижения указанных целей в ЛНА. 2.Обеспечение возможности уничтожения персональных данных по достижении условий, обозначенных в ЛНА Оператора. Ст. 6 п. 1. Наличие письменного согласия субъекта персональных данных на их обработку Ст. 9 п. 3. Обязанность предоставить доказательство получения согласия Ст. 9. П. 4. Соблюдение формата предоставления согласия Субъект Оператор 1.Подписание согласия на обработку 2.Создание унифицированной формы согласия субъекта персональных данных, обеспечение ее подписания субъектом и хранение в течение установленного ЛНА срока. Ст. 7. П. 1 Обеспечение конфиденциальности полученных сведений Оператор Разработчик (предусмотреть такую возможность в системе) 1.Описание в ЛНА системы мер по обеспечению конфиденциальности информации (организационных, технических и т.д.) 2.Приведение программных средств в соответствие с ЛНА Заказчика (включая интеграцию криптографических и шифровальных средств)
International Association of Microsoft Certified Partners (IAMCP) Федеральный закон 152-ФЗ «О персональных данных» ТребованиеКто отвечает Способы обеспечения соответствия требованию Ст. 16 п. 1. Запрет на принятие решений, имеющих юридические последствия, только на основании автоматической обработки данных Оператор 1.Приведение процесса выдачи кредита в соответствие с данным требованием (окончательное утверждение решения сотрудником), и описание данного процесса в ЛНА. Ст. 19 п. 1. Защита персональных данных «от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» Оператор Разработчик (предусмотреть такую возможность в системе) 1.Описание в ЛНА системы мер по обеспечению защиты персональных данных. 2.Приведение программных средств в соответствие с ЛНА. Ст. 21 пп. 1-2 Блокировка ПД в случае обнаружения их недостоверности Оператор Разработчик (предусмотреть такую возможность в системе) 1.Описание в ЛНА процесса уточнение у субъекта ПД его данных и снятие блокировки. Определение лиц, ответственных за этот процесс. 2.Предоставление технических средств для блокировки обработки ПД в случае подтверждения их недостоверности.
International Association of Microsoft Certified Partners (IAMCP) Положение об обеспечении безопасности персональных данных при их обработке в информационных системах перс. данных ТребованиеКто отвечает Способы обеспечения соответствия требованию П. 2 абзац 2. Осуществление защиты ПД с помощью системы мер (организационных и технических) Оператор Разработчик (предусмотреть такую возможность в системе) 1.Описание системы мер, применяемых Оператором для защиты ПД, в ЛНА. 2.Обеспечение соответствия программных средств требованиям законодательства РФ и Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности РФ. Приведение программных средств в соответствие с требованиями ЛНА Заказчика. П. 5. Прохождение процедуры оценки соответствия Не указан П. 7. Защита каналов связи, по которым проходит обмен ПД Оператор П. 10. Обеспечение безопасности ПД при их обработке в ИС Оператор (или уполномоченное лицо) 1.Оператор несет полную ответственность по обеспечению безопасности ПД при их обработке П. 11а. Несанкционированный доступ Оператор Разработчик (предусмотреть такую возможность в системе) 1.Определение в ЛНА списка лиц, имеющих доступ к ПД, процедуры допуска, а так же прав указанных лиц при обработке ПД. 2.Приведение программных средств в соответствие с ЛНА П. 12. Система мер по обеспечению ПД Оператор1.Все меры, указанные в данном пункте, Оператор должен описать в ЛНА, внедрить и контролировать.
International Association of Microsoft Certified Partners (IAMCP) Положение об обеспечении безопасности персональных данных при их обработке в информационных системах перс. данных ТребованиеКто отвечает Способы обеспечения соответствия требованию П. 15. Фиксация запросов к ИС в журнале обращений Оператор Разработчик (предусмотреть такую возможность в системе) 1.Определение формата фиксации информации о запросах и формата хранения журнала обращений, а также установление периодичности контроля журнала и ответственных лиц. 2.Обеспечение технической возможности ведения журнала обращений, а также его соответствие требованиям Заказчика. П. 16. Контроль за нарушениями порядка работы с ПД и создание системы работы со случаями нарушений Оператор Разработчик (предусмотреть такую возможность в системе) 1. Определение регламента работы с ПД с использованием информационных систем в ЛНА. 2. Обеспечение соответствия ПО требованиям НПА и ЛНА Заказчиков Пп Обеспечение защиты информации в средствах защиты информации Оператор Разработчик (предусмотреть такую возможность в системе) 1.Примечание: на разработчиков средств защиты информации, а не самих информационных систем
International Association of Microsoft Certified Partners (IAMCP) Порядок проведения классификации информационных систем персональных данных (утв. Приказом Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. 55/86/20) ТребованиеКто отвечает Способы обеспечения соответствия требованию П. 2. Субъект, ответственный за классификацию и исполнение необходимых требований Оператор Данная обязанность, в соответствии с Приказом, возлагается исключительно на Оператора, т.к. классификация ИС ПД во многом зависит от конкретных условий ее использования, определяемых в ЛНА или системе ЛНА Оператора.
International Association of Microsoft Certified Partners (IAMCP) Следствия для разработчика Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи В системе не должно быть автоматического принятия окончательного решения, может быть только рекомендация системы В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. Система должна обеспечивать возможность оперативного и полного удаления данных Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. Требуется доработка ранее разработанных систем и их приведение к соответствию с законом. Требование закона «О персональных данных»Следствие для разработчика
International Association of Microsoft Certified Partners (IAMCP) Критерии классификации систем Классификация осуществляется в соответствии с приказом ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 г. N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных". Категория обрабатываемых данных Объем обрабатываемых данных
International Association of Microsoft Certified Partners (IAMCP) Категории персональных данных Категория 1 Категория 2 Категория 3 Категория 4 Персональные данные, касающиеся расовой принадлежности, политических взглядов, религиозных философских убеждений, состояния здоровья Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 Персональные данные, позволяющие идентифицировать субъекта персональных данных Обезличенные персональные данные
International Association of Microsoft Certified Partners (IAMCP) Объем обрабатываемых данных Категория 1 Категория 2 Категория 3 В информационной системе одновременно обрабатываются персональные данные о более субъектов В информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов В информационной системе одновременно обрабатываются персональные данные менее, чем 1000 субъектов
International Association of Microsoft Certified Partners (IAMCP) 4 класс информационной системы Информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. Следствие для разработчика: относительно стандартные приемы разработки без специальных условий.
International Association of Microsoft Certified Partners (IAMCP) 3 класс информационной системы Управление доступом - идентификация и проверка подлинности пользователя при входе в по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Регистрация и учет пользоват елей - регистрация входа (выхода) пользователя в систему (из системы). Обеспечение целостности - контроль целостности своей программной и информационной части. Целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ. Периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа. Наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности. Следствие для разработчика: Информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
International Association of Microsoft Certified Partners (IAMCP) 2 класс информационной системы Информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных. Требования к системам 3 класса + Применение средств межсетевого экранирования при использовании подключения к Internet. Следствие для разработчика:
International Association of Microsoft Certified Partners (IAMCP) 1 класс информационной системы Требования к системам 2 класса + Регистрация выдачи печатных (графических) документов на бумажный носитель - дата и время выдачи (обращения к подсистеме вывода), краткое содержание документа (наименование, вид, код), спецификация устройства выдачи (логическое имя (номер) внешнего устройства). Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета. Дублирующий учет защищаемых носителей информации. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних носителей информации; Регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки персональных данных - дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор пользователя, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный). Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам - дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого файла. Регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта (логическое имя (номер)). Следствие для разработчика: информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. International Association of Microsoft Certified Partners (IAMCP)
Суммарные требования к классам систем Требование к системе1 Класс2 Класс3 Класс4 Класс Управление доступом Регистрация и учет пользователе Обеспечение целостности Периодическое тестирование функций системы Наличие средств восстановления системы защиты персональных данных Применение средств межсетевого экранирования Регистрация выдачи печатных (графических) документов на бумажный носитель Учет всех защищаемых носителей информации Дублирующий учет Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти Регистрация запуска (завершения) программ и процессов Регистрация попыток доступа программных средств Регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа
International Association of Microsoft Certified Partners (IAMCP) Последствия законодательства для облака Система обработки данных ? ? Не очевидно как и где хранятся и обрабатываются данные, кто несет ответственность. По законодательству ответственность будет нести организация, предоставляющая хостинг для системы (хранящая у себя информацию) Системы в облаке без специальной регистрации могут обрабатывать информацию, не относящуюся к персональной (например, о юридических лицах) Организация, предоставляющая хостинг, получает статус оператора персональных данных Использование системы в частном облаке между организациями кредитно- финансового сектора, где одна из организация (или все) сертифицировали систему должным образом и имеют необходимые статусы