ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? (требования и комментарии) ОАО «ЭЛВИС-ПЛЮС» 2008 год © ОАО «ЭЛВИС-ПЛЮС», 2008 г.,

Материалы, изложенные в данной презентации рассматривают только основные аспекты проблемы безопасности информации и не претендуют на полноту анализа изменений нормативной базы в области защиты персональных данных ВНИМАНИЕ!

Пролог В соответствии с Федеральным законом «О персональ- ных данных» организация или физическое лицо, осуществляющее и/или организующее обработку персональных данных, является оператором персональных данных и обязано обеспечить их защиту. С 1 января 2008 года деятельность операторов считается легализованной при наличии регистрации этих операторов в реестре. До 1 января 2010 года все операторы обязаны обеспечить защиту персональных данных. По оценкам Россвязькомнадзора на сегодняшний день требования Закона касаются более чем 7 млн. операторов ПДн.

Пролог В г.г. ФСТЭК России и ФСБ России во исполнение Постановления Правительства РФ от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИС персональных данных» разработаны и введены в действие ряд нормативных и методических документов в области защиты персональных данных: Порядок проведения классификации ИСПДн 4 документа ФСТЭК России (ДСП) 2 документа ФСБ России

Понятийный аппарат Федеральный закон 152-ФЗ «О персональных данных» Персональные данные (ПДн) субъекту ПДн Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор персональных данных - Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки. Информационная система персональных данных (ИСПДн) - Информационная система персональных данных (ИСПДн) - ИС, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.

«типовые» «специальные» ИС ПДн делятся на «типовые» (защита только конфиденциальности) и «специальные» (защита конфиденциальности + хотя бы одна характеристика безопасности дополнительно) «Порядок проведения классификации ИС ПДн» (Приказ 55/86/20, п ) обязанприниматьмеры «Оператор обязан принимать организационные и технические меры, для защиты ПДн от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий» (ФЗ «О персональных данных» ст. 19, ч. 1) Как обеспечить безопасность ПДн? Несогласованность правил классификации ИСПДн необходимостьдля всех ИСПДн только Т.е. Закон (ст. 19) устанавливает необходимость обеспечения для всех ИСПДн не только конфиденциальности, но и других характеристик безопасности, а нормативный документ выделяет ИС, в которых защищается только конфиденциальность Проблема: проведение корректной классификации ИС ПДн и, следовательно, определение обоснованных требований по их защите Отсутствуют критерии категорирования самих ПДн

Категория информации в ИС Требования к защите ГТ КИ КТ ПДн КС СТРХ СТР-КХХХ РД по АСХХХ РД по СВТХХХ РД по МЭХХХ РД по НДВХХХ Требования к МЭ с СКЗИ (ФСБ России)ХХХ Требования к СКЗИ (ФСБ России)ХХХХ Основные мероприятия по защите ПДнХ Рекомендации по защите ПДнХ Общие требования по защите КСХ Пособие по организации защиты КТХ Какие требования выбрать? Несогласованность требований понятиятребования Новые документы вводят новые понятия и новые требования не всегда учитывающие уже действующие Проблема: проведение гармонизации требований по защите с уже используемыми в существующих информационных системах

«чистых» На практике «чистых» ИС, используемых только для обработки ПДн, как правило, не существует. В реальных ИС организаций могут обрабатываться: сведения, относящиеся к коммерческой тайне персональные данные служебная тайна другая информация Для реальных ИС могут использоваться требования РД ФСТЭК России по защите от НСД, СТР-К, ГОСТ Р (для операторов связи), новые требования по защите ПДн, ряд национальных стандартов, ведомственные документы (ЦБ РФ) и др. Какие требования выполнять? Необходимость реализации единого и комплексного подхода к защите ИС Проблема: отсутствие механизма определения совокупных требований к реальным ИС

Класс ИС ПДн Режим обработки Права доступа Требуемые подсистемы защиты ПДн КДIAMСМ СКЗИAVPID&PПЭМИН IVОпределяется Оператором ПДн в зависимости от ущерба от НСД III Однопользов.ХХХХ? Многопользов. РавныеХХХХ? РазныеХХХХ? II Однопользов. = ХХ ?Х Многопользов. Равные = ХХ ?Х Разные= Х ??Х I Однопользов.= Х ? Многопользов. Равные= Х ХХ? Разные= Х ?Х? Какие требования применять? Неопределенность требований Новые документы определяют требования к классам ИС, но для ряда параметров требования не определены Проблема: согласование требований по защите ПДн с уже используемыми в существующих информационных системах

Какие СЗИ применять? Отсутствие прошедших оценку соответствия (сертифицированных) СЗИ проходят процедуру оценки Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия». Постановление Правительства РФ от г. 781, ст. 5 новыетребования Новые документы вводят новые требования к СЗИ ПДн Проблема: В настоящее время, как правило, отсутствуют СЗИ, которые формально можно применять для защиты ПДн.

Проблемы аттестации (1) Устаревшая нормативная база аттестации «Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится: для ИСПДн 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации, для ИСГЗДн 3 класса - декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора)». Основные мероприятия.., ФСТЭК России, 2008 г., п Положение по аттестации объектов информатизации по требованиям безопасности информации (Гостехкомиссия России, 1994 г.); СТР-К (Гостехкомиссия России, 2002 г.) Имеющаяся нормативная база аттестации:

Проблемы аттестации (2) Устаревшая нормативная база аттестации «Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия"» Положение по аттестации объектов информатизации по требованиям безопасности информации, Гостехкомиссия России, 1994 г., п. 1.4 Федеральным законом «О персональных данных» не предусматривается получение оператором персональных данных какого-либо разрешения на право их обработки в ИСПДн Проблема: Устаревшая нормативная база аттестации

Итог Или проблемы, требующие решения Как провести корректную классификацию ИСПДн и, следовательно, определить обоснованные требования по их защите (на базе имеющихся критериев) Как гармонизировать требования по защите ПДн с уже используемыми в существующих ИС (на базе анализа соответствия с действующими РД) Как определить совокупные требования к реальным ИС (на базе анализа существующих требований) Какие СЗИ, можно применять для защиты ПДн (использовать существующие СЗИ по согласованию со ФСТЭК России) Как правильно провести аттестацию (декларирование соответствия) ИСПДн (на основе существующих подходов – Положение и СТР-К)

Спасибо за внимание ! , МОСКВА, Зеленоград, Центральный проспект, 11 тел , факс