close

Вход

Забыли?

вход по аккаунту

?

НАЗВАНИЕ ПРЕЗЕНТАЦИИ

код для вставкиСкачать
Приведение в соответствие
ФЗ 152:
Компромисс между
затратами, безопасностью и
соответствием
законодательству
Максим Эмм, MBA, CISA, CISSP, QSA
Директор департамента аудита
ЗАО НИП «Информзащита»
Основные законодательные и
нормативные правовые акты
• Конвенция о защите физических лиц в отношении
автоматизированной обработки данных личного
характера от 28 января 1981 г. EST № 108
• Директива 95/46/ЕС Европейского парламента и
Совета Европейского Союза от 24 октября 1995 г. «О
защите прав частных лиц применительно к обработке
персональных данных и о свободном движении таких
данных»
• Директива 97/66/ЕС Европейского парламента и
Совета Европейского Союза от 15 декабря 1997 г. по
обработке персональных данных и защите
конфиденциальности в телекоммуникационном секторе
Нормативные правовые акты
Федеральный закон от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных»
Принципы обработки персональных данных:
1) законность целей и способов обработки персональных данных
и добросовестность;
2) соответствие целей обработки персональных данных целям,
заранее определенным и заявленным при сборе персональных
данных, а также полномочиям оператора;
3) соответствие объема и характера обрабатываемых
персональных данных, способов обработки персональных
данных целям обработки персональных данных;
4) достоверность персональных данных, их достаточность для
целей обработки, недопустимости обработки персональных
данных, избыточных по отношению к целям, заявленным при
сборе персональных данных;
5) недопустимость объединения созданных для несовместимых
между собой целей баз данных информационных систем
персональных данных.
Нормативные правовые акты
•
Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите
информации»
• Постановление Правительства от 17 ноября 2007 г. № 781
«Об утверждении Положения об обеспечении безопасности
персональных данных при их обработке в информационных
системах персональных данных»
• Постановление Правительства РФ от 15 сентября 2008 г. N 687
"Об утверждении Положения об особенностях обработки
персональных данных, осуществляемой без использования
средств автоматизации»
• Постановление Правительства РФ от 6 июля 2008 г. N 512
"Об утверждении требований к материальным носителям
биометрических персональных данных и технологиям хранения
таких данных вне информационных систем персональных
данных»
4
Нормативные правовые акты
• Приказ Федеральной службы по надзору в сфере связи, информационных
технологий и массовых коммуникаций от 1 декабря 2009 г. № 630 «Об
утверждении Административного регламента проведения проверок
Федеральной службой по надзору в сфере связи, информационных
технологий и массовых коммуникаций при осуществлении федерального
государственного контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства Российской
Федерации в области персональных данных» (прошел государственную
регистрацию 28 января 2010 г.
№ 16095)
• Приказ Министерства связи и массовых коммуникаций РФ от 30 января
2010 г. № 18 «Об утверждении Административного регламента
Федеральной службы по надзору в сфере связи, информационных
технологий и массовых коммуникаций по исполнению государственной
функции «Ведение реестра операторов, осуществляющих обработку
персональных данных» (прошел государственную регистрацию 24 марта
2010 г. № 16717)
5
Организация взаимодействия при защите
прав субъектов персональных данных
Роскомнадзор
ФСБ
России
ФСТЭК
России
права и
законные
интересы
граждан
Генеральная
прокуратура
РФ
МВД России
ОСНОВНЫЕ ИТОГИ ДЕЯТЕЛЬНОСТИ
(РОСКОМНАДЗОР)
С момента возложения на Роскомнадзор полномочий
по защите прав субъектов персональных данных
проведено 1327 проверок в области персональных
данных, из них:
плановые проверки
– 886
внеплановые проверки
– 441
Результат:
устранено свыше 3000 нарушений в
области
персональных данных
выдано 1 917 предписаний
составлено 1 633 протокола об АП
взыскано штрафов на сумму более 2,1 млн. руб.
Динамика поступления обращений
в Уполномоченный орган 1296
1200
1000
800
Поступило обращений
465
600
400
146
200
0
0
2007 год
11%
6%
2008 год
6%
2009 год
Жалобы на действия операторов
65%
12%
остальные
СМИ
9 месяцев
2010 года
операторы связи
кредитные учреждения
организации ЖКХ
Результаты рассмотрения обращений
360 (28 %)
даны разъяснения
положений ФЗ
в 2010 году в
Уполномоченный
орган поступило 1
936 (72 %) – жалобы, из них:
296 обращений
от физических и
юридических
лиц, из них:
338 (36%)
материалы
направлены в
прокуратуру
456 (48 %)
факт нарушений
не установлен
142 (16 %)
находятся на
рассмотрении
Насколько это серьезно?
СТАТЬЯ
НАЗВАНИЕ
НАКАЗАНИЕ
13.11
КоАП
Нарушение установленного законом порядка сбора,
хранения, использования или распространения
информации о гражданах (персональных данных)
До 10 000 руб.
13.12
КоАП
Нарушение правил защиты информации
13.13
КоАП
Незаконная деятельность
информации
19.5
КоАП
Невыполнение в установленный срок законного
предписания
органа,
осуществляющего
государственный надзор (контроль)
в
области
защиты
137 УК Нарушение неприкосновенности частной жизни
140 УК Отказ в предоставлении гражданину информации
171 УК Незаконное предприниматеьство
До 20 000 руб. и/или
конфискация
несертифицированных средств
и/или приостановление
деятельности на срок
до 90 суток
До 500 000 руб. и/или
дисквалификация должностного
лица до 3-х лет
От 200 000 руб. штрафа…
Контроль и надзор
Последствия
• Роскомнадзор вправе (часть 3 статьи 23 федерального
закона «О персональных данных»):
принимать в установленном законодательством РФ порядке меры по
приостановлению или прекращению обработки персональных данных,
осуществляемой с нарушениями требований закона;
направлять заявление в орган, осуществляющий лицензирование
деятельности оператора, для рассмотрения вопроса о принятии мер по
приостановлению действия или аннулированию соответствующей лицензии в
установленном законодательством РФ порядке.
• Роскомнадзор обязан принимать в установленном
законодательством порядке по представлению ФСБ или
ФСТЭК меры по приостановлению или прекращению
обработки персональных данных (часть 5 статьи 23
федерального закона «О персональных данных»).
12
ШАГ 1: ИНВЕНТАРИЗАЦИЯ РЕСУРСОВ
Проанализировать все
эксплуатируемые
информационные системы и
традиционные хранилища данных,
выявить все, где присутствуют и
обрабатываются персданные.
ШАГ 2: ФОРМИРОВАНИЕ ПЕРЕЧНЯ
ПЕРСОНАЛЬНЫХ ДАННЫХ
ФЗ «О персональных данных»
Статья 9. Письменное согласие
субъекта персданных на обработку
своих персональных данных должно
включать в себя …перечень
персональных данных, на обработку
которых дается согласие субъекта
Статья 14. Субъект персданных
имеет право на получение …
информации, касающейся обработки
его персданных, в том числе
содержащей … перечень
обрабатываемых персданных и
источник их получения
Личная карточка работника УФ № Т-2
Утверждена Постановлением Госкомстата России от
05.01.2004 № 1
Фамилия, имя, отчество
Дата и место рождения
Гражданство
ИНН
Номер свидетельства государственного
пенсионного страхования
Пол
Знание иностранного языка
Образование
Профессия
Состояние в браке
Состав семьи
Номер паспорта, дата и место его
выдачи
Место жительства и дата регистрации
Сведения о воинском учете
Дополнительные сведения
ШАГ 3: УСТАНОВЛЕНИЕ СРОКОВ
ОБРАБОТКИ ПЕРСДАННЫХ
Определить и зафиксировать документально предельные
сроки хранения персональных данных после расторжения
(прекращения) договора с работником, контрагентом,
исходя из сроков, определенных требованиями
законодательства:
• гражданского
• трудового
• пенсионного
• о безопасности и правоохранительной
деятельности
а также сроков исковой давности
Утверждаю
Руководитель______________
________
Дата утверждения
Перечень
персональных данных, обрабатываемых
в _______________
№№
пп
1
Основания
для
обработки
Глава 14
Трудового
кодекса
Содержание сведений
Фамилия, имя, отчество
Дата и место рождения
Гражданство
ИНН
Номер свидетельства
государственного пенсионного
страхования
…
Др. сведения унифицированной
формы № Т-2
Срок
хранения,
условия
прекращения
обработки
75 лет
ШАГ 4: ПЕРЕСМОТР ДОГОВОРОВ
Пересмотреть договора с
собственными работниками,
клиентами и контрагентами в
части обработки персональных
данных и, особенно, их
распространения (передачи) и
защиты
ШАГ 5: СОГЛАСИЕ СУБЪЕКТОВ НА
ОБРАБОТКУ
Оценить наличие
предусмотренных законом
оснований для обработки
персональных данных, в случаях,
когда они отсутствуют – получить
согласие субъекта.
Особые вопросы:
передача персональных данных
третьим лицам (выдача справок,
содержащих персданные,
информирование, добровольное
страхование, бронирование
билетов, заказ гостиниц для
персонала и т.п.)
обработка персданных
работников контрагентов
ШАГ 5: СОГЛАСИЕ СУБЪЕКТОВ НА
ОБРАБОТКУ
Обязанность предоставить
доказательство получения согласия
субъекта персональных данных на
обработку его персональных
данных, а в случае обработки
общедоступных персональных
данных обязанность доказывания
того, что обрабатываемые
персональные данные являются
общедоступными, возлагается на
оператора
ШАГ 6: ОГРАНИЧЕНИЕ ДОСТУПА
РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ
Положение об обеспечении
безопасности персональных
данных при их обработке в
ИСПДн
12. Мероприятия по обеспечению
безопасности персональных данных
при их обработке в информационных
системах включают в себя … учет лиц,
допущенных к работе с
персональными данными в
информационной системе
14. Лица, доступ которых к
персданным, обрабатываемым в
информационной системе, необходим
для выполнения служебных (трудовых)
обязанностей, допускаются к
соответствующим персданным на
основании списка, утвержденного
оператором или уполномоченным
лицом.
ШАГ 7: ДОКУМЕНТАЛЬНАЯ
РЕГЛАМЕНТАЦИЯ РАБОТЫ С
ПЕРСДАННЫМИ
Статья 86. Общие требования при
обработке персональных данных
работника и гарантии их защиты
8) работники и их представители
должны быть ознакомлены под
роспись с документами
работодателя, устанавливающими
порядок обработки персональных
данных работников, а также об их
правах и обязанностях в этой
области
ШАГ 8: ФОРМИРОВАНИЕ МОДЕЛИ
УГРОЗ ПЕРСДАННЫМ
Положение об обеспечении
безопасности персональных
данных при их обработке в
ИСПДн
12. Мероприятия по обеспечению
безопасности персональных данных
при их обработке в ИС включают в
себя:
а) определение угроз безопасности
персональных данных при их
обработке, формирование на их основе
модели угроз
15.02.2008 г. Заместителем директора ФСТЭК России
утверждены:
Базовая модель угроз безопасности ПД при их обработке в
ИСПД
Методика определения актуальных угроз безопасности ПД при их
обработке в ИСПД
ШАГ 8: ФОРМИРОВАНИЕ МОДЕЛИ
УГРОЗ ПЕРСДАННЫМ
Актуализация угроз:
Полномочия, но не произвол
оператора
Необходимость следования
методологии регуляторов и
установленным критериям
актуализации
Необходимость принятия мер по
нейтрализации актуальных угроз
ШАГ 8: ФОРМИРОВАНИЕ МОДЕЛИ
УГРОЗ ПЕРСДАННЫМ
На основе исходных данных,
указанных в акте классификации
и актуализированной модели
угроз определяются:
механизмы безопасности, которые
должны быть реализованы в
системе защиты
конкретные требования к
функциональности этих механизмов
ШАГ 9: КЛАССИФИКАЦИЯ ИСПДн
Приказ ФСТЭК/ФСБ/Мининформсвязи от 13.02 2008 №
55/86/20
«Об утверждении порядка проведения классификации
ИСПДн»
15. Класс типовой информационной системы определяется
в соответствии с таблицей.
ХПДН
3
2
1
категория 4
К4
К4
К4
категория 3
К3
К3
К2
категория 2
К3
К2
К1
категория 1
К1
К1
К1
ХПД
ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В
УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ
ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В
УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ
ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В
УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ
ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В
УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ
Персданные, обрабатываемые без уведомления
1) относящиеся к субъектам персданных, которых
связывают с оператором трудовые отношения
2) полученные оператором в связи с заключением
договора, стороной которого является субъект
персданных, если персональные данные не
распространяются, а также не предоставляются
третьим лицам без согласия субъекта персональных
данных и используются оператором исключительно для
исполнения указанного договора и заключения договоров
с субъектом
Представление персданных работников третьим лицам
Обработка персданных работников контрагентовюридических лиц
ШАГ 10: СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В
УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ
Составлено и направлено в суды 54
протокола об административных
правонарушениях.
Выявленные правонарушения были
классифицированы по статье 19.7
КоАП РФ, предусматривающую
административную ответственность по
следующим основаниям:
непредставление или несвоевременное
представление в Уполномоченный орган
уведомления об обработке персональных
данных;
непредставление либо несвоевременное
представление информации на запрос
Уполномоченного органа
непредставление сведений об изменении
информации, содержащейся в уведомлении
ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ
ПЕРСДАННЫХ В СООТВЕТСТВИИ С
ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ
ФЗ «О персональных
данных»
Статья 19. Меры по обеспечению
безопасности персональных данных
при их обработке
1. Оператор при обработке персданных
обязан принимать необходимые
организационные и технические меры
для защиты персональных данных от
неправомерного или случайного
доступа к ним, уничтожения,
изменения, блокирования, копирования,
распространения персональных
данных, а также от иных
неправомерных действий.
ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ
ПЕРСДАННЫХ В СООТВЕТСТВИИ С
ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ
15.02.2008 г. Заместителем директора ФСТЭК России
утверждены:
Базовая модель угроз безопасности ПД при их
обработке в ИСПД
Методика определения актуальных угроз безопасности
ПД при их обработке в ИСПД
05.02.2010 г. приказом директора ФСТЭК № 58
утверждено
Положение о методах и способах защиты информации
в информационных системах персональных данных
Зарегистрирован в Минюсте РФ 19.02.2010 № 16456
Опубликован в «Российской газете» 05.03.2010 г.
ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ
ПЕРСДАННЫХ В СООТВЕТСТВИИ С
ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ
21.08.2008 г. руководством 8 Центра ФСБ России
утверждены:
Типовые требования по организации и обеспечению
функционирования шифровальных (криптографических)
средств, предназначенных для защиты информации, не
содержащих сведений, составляющих государственную
тайну в случае их использования для обеспечения
безопасности персональных данных при их обработке в
информационных системах персональных данных
Методические рекомендации по обеспечению с помощью
криптосредств безопасности персональных данных при их
обработке в информационных системах персональных
данных с использованием средств автоматизации
ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ
ПЕРСДАННЫХ В СООТВЕТСТВИИ С
ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ
Мероприятия по защите:
технически сложные
требуют:
высокой квалификации
исполнителей
специальных знаний
глубокого понимания
функциональности:
• приложений,
обрабатывающих
персональные данные
• средств защиты информации,
необходимых для
нейтрализации актуальных
угроз персональным данным
ШАГ 11: ПРИВЕДЕНИЕ СИСТЕМЫ ЗАЩИТЫ
ПЕРСДАННЫХ В СООТВЕТСТВИИ С
ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ
Минимизация затрат на создание
систем безопасности ИСПДн:
максимальное использование
возможностей уже имеющихся в
КИС средств безопасности, а также
ОС и прикладного ПО,
сертифицированных или имеющих
перспективы сертификации в
системах ФСТЭК и ФСБ
четкое определение границ ИСПДн
принятие дополнительных мер,
позволяющих снизить требования
к части ИСПДн или сегментам
сети, где такие ИСПДн
расположены
ШАГ 12: ОРГАНИЗАЦИЯ ЭКСПЛУАТАЦИИ
ИСПДн И КОНТРОЛЯ ЗА БЕЗОПАСНОСТЬЮ
Положение об обеспечении
безопасности персональных
данных при их обработке в
ИСПДн
12. Мероприятия по обеспечению безопасности
персональных данных при их обработке в информационных
системах включают в себя:
з) контроль за соблюдением условий использования СЗИ,
предусмотренных эксплуатационной и технической
документацией;
и) разбирательство и составление заключений по фактам
несоблюдения условий хранения носителей ПДн,
использования СЗИ, которые могут привести к нарушению
конфиденциальности ПДн…
Шаг
Безопаснос
ть
Затраты
Complia
nce
1
Инвентаризация ресурсов
2
Формирование перечня персональных
данных
Установление сроков обработки
персданных
4
Пересмотр договоров
5
Согласие субъектов на обработку
6
Ограничение доступа работников к
персональным данным
Документальная регламентация работы
с персданными
Формирование модели угроз
персданным
Классификация ИСПДН
3
7
8
9
и направление в
10 Составление
уполномоченный орган уведомления
11
Приведение системы защиты
персданных в соответствии с
требованиями регуляторов
12 Организация эксплуатации ИСПДН и
контроля за безопасностью
План «Минимизация затрат»
Шаг
1
Инвентаризация ресурсов
2
Формирование перечня персональных данных
3
Установление сроков обработки персданных
4
Пересмотр договоров
5
Согласие субъектов на обработку
6
Ограничение доступа работников к персональным данным
7
Документальная регламентация работы с персданными
8
Формирование модели угроз персданным
9
Классификация ИСПДН
10
Составление и направление в уполномоченный орган уведомления
11
Приведение системы защиты персданных в соответствии с требованиями
регуляторов
12
Организация эксплуатации ИСПДН и контроля за безопасностью
План «Минимизация рисков регуляторов»
Шаг
1
Инвентаризация ресурсов
2
Формирование перечня персональных данных
3
Установление сроков обработки персданных
4
Пересмотр договоров
5
Согласие субъектов на обработку
6
Ограничение доступа работников к персональным данным
7
Документальная регламентация работы с персданными
8
Формирование модели угроз персданным
9
Классификация ИСПДН
10
Составление и направление в уполномоченный орган уведомления
11
Приведение системы защиты персданных в соответствии с требованиями
регуляторов, только сертифицированные СЗИ
12
Организация эксплуатации ИСПДН и контроля за безопасностью
План «Минимизация рисков ИБ»
Шаг
1
Инвентаризация ресурсов
2
Формирование перечня персональных данных
3
Установление сроков обработки персданных
4
Пересмотр договоров
5
Согласие субъектов на обработку
6
Ограничение доступа работников к персональным данным
7
Документальная регламентация работы с персданными
8
Формирование модели угроз персданным
9
Классификация ИСПДН
10
Составление и направление в уполномоченный орган уведомления
11
Приведение системы защиты персданных в соответствии с требованиями
регуляторов
12
Организация эксплуатации ИСПДН и контроля за безопасностью
План «Сбалансированный»
Шаг
1
Инвентаризация ресурсов
2
Формирование перечня персональных данных
3
Установление сроков обработки персданных
4
Пересмотр договоров
5
Согласие субъектов на обработку
6
Ограничение доступа работников к персональным данным
7
Документальная регламентация работы с персданными
8
Формирование модели угроз персданным
9
Классификация ИСПДН
10
Составление и направление в уполномоченный орган уведомления
11
Приведение системы защиты персданных в соответствии с требованиями
регуляторов, встроенные механизмы защиты и
несертифицированные СЗИ
12
Организация эксплуатации ИСПДН и контроля за безопасностью
Основные способы оптимизации затрат на
соответствие ФЗ 152
Ограничение объема и сроков хранения
ПД
Обезличивание ПД и раздельное
хранение
Централизация обработки ПД
Использование встроенных механизмов
защиты
Объединение ИСПДН
ВОПРОСЫ ?
Максим Эмм
Директор департамента аудита
(495) 980 23 45
maxus@infosec.ru
Документ
Категория
Презентации
Просмотров
8
Размер файла
3 827 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа