Инфосекьюрити Сервис

СТАНДАРТ
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В
ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРАМИ –
ПРОФЕССИОНАЛЬНЫМИ УЧАСТНИКАМИ РЫНКА ЦЕННЫХ БУМАГ
© «Инфосекьюрити Сервис», 2011, Москва
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
1
Предпосылки
Неопределённости и коллизии в нормативно-методическом регулировании
деятельности в области защиты персональных данных; потребность в
«отраслевом толковании» и «отраслевой адаптации» требований по
обеспечению безопасности ПДн; ожидания организаций – членов НАУФОР
Пример Банка России (Комплекс СТО БР ИББС ред.2010 года)
Статья 17 (Стандарты организаций) ФЗ «О техническом регулировании»
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
2
Ретроспектива
Наименование этапа
31.08
Разработка и утверждение ТЗ на работы, в том числе
сбор исходных данных, оценка обстановки и
построение типовых моделей ИСПДн
‫ކ‬
30.09
‫ކ‬
Разработка проекта (рабочей версии) Стандарта
Обсуждение и согласование рабочей версии
29.10
‫ކ‬
Разработка Стандарта
30.11
‫ކ‬
Утверждение Стандарта
30.12
‫ކ‬
2010
2011
ЯНВАРЬ – МАРТ
Согласование с Регуляторами
Отзывы:
РОСКОМНАДЗОР – полож_но;
ФСТЭК – 9 замечаний;
ФСБ – 5 замечаний
МАЙ
Вторая редакция
ИЮНЬ
Согласование с
Регуляторами
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
ИЮЛЬ
«новая редакция»
152-ФЗ
АВГУСТ
Третья редакция
СЕНТЯБРЬ
Согласован
Регуляторами
3
Структура и Содержание
4.
Концептуальная модель обеспечения безопасности персональных данных в
информационных системах персональных данных
5.
Общие рекомендации по обработке персональных данных
6.
Классификация информационных систем персональных данных
7.
Рекомендации по обеспечению безопасности персональных данных в
информационных системах персональных данных
8.
Компенсационные меры
9.
Оценка и подтверждение соответствия обработки персональных данных в
Организации Федеральному закону «О персональных данных» и принятым в
соответствии с ним нормативным правовым актам, требованиям к защите
персональных данных, Политике обработки и защиты ПДн и локальным актам
Организации
10
Обеспечение безопасности персональных данных с использованием средств
криптографической защиты
5.
Общий подход к составлению Отраслевой частной модели угроз
6.
Исходные данные Отраслевой частной модели угроз
7.
Таблицы. Анализ угроз безопасности персональных данных исходя из
режимов обработки ПДн и структур ИСПДн
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
4
Общий подход
Анализировать угрозы,
оценить вред для субъекта
ПДн
Реализовать
«общие» меры
Классифицировать ИСПДн
Реализовать технические
меры исходя из класса
Подтвердить соответствие
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
Исходя из типа ИСПДн
В соответствии со ст. 2 152-ФЗ
производится оценка ущерба
(вреда),
возникшего
в
результате нарушения прав и
свобод человека и гражданина
(субъекта ПДн), в том числе
прав на неприкосновенность
частной жизни, личную и
семейную тайну.
На основании анализа
исходных данных, в т.ч.
анализа актуальных угроз
и оценки вреда для
субъекта ПДн
Допускается внедрение
компенсационных мер
5
Особенности
Классификация ИСПДн
Приказ от 13 февраля 2008 года ФСТЭК России № 55, ФСБ
России № 86, Мин. ИТ и связи РФ № 20 «Об утверждении
порядка проведения классификации информационных систем
персональных данных»
В Стандарте НАУФОР
категории обрабатываемых персональных данных
объем обрабатываемых персональных данных
структура информационной системы персональных данных
наличие подключений информационной системы к сетям связи
общего пользования и (или) сетям международного
информационного обмена
характеристики взаимодействия ИСПДн с другими сетями
режимы обработки ПДн – мн.п. / о.п.
все мн.п. – с различными правами
режим разграничения прав доступа пользователей ИСПДн
местонахождение технических средств ИСПДн
перечень актуальных угроз безопасности ПДн, оценка ущ_ба
ИСПДн Организаций, как правило, относятся к специальным информационным системам персональных данных
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
6
Особенности
Классификация ИСПДн
категории персональных данных:
категория
1 (специальная категория) - персональные данные, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья,
интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и
получить о нем дополнительную информацию, за исключением персональных данных, относящихся к
категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
национальность (от лат. natio
— племя) – в значении слов
«народ, народность, этнос» и
им подобных понятий, но
исключая понятие
«гражданство»
под дополнительной
информацией
понимаются: сведения
об имуществе, доходах
субъекта ПДн, сведения
о его профессии,
трудовой деятельности,
образовании и другие
данные
категория 4 - обезличенные и (или) общедоступные персональные данные.
Определение класса специальной ИСПДн следует из частной модели угроз
«К1С»; «К2С»; «К3С»; «К4С»
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
7
Особенности
Классификация ИСПДн
Термины
Оценка риска нарушения безопасности персональных данных: процесс выявления и анализа информации, позволяющей
максимально точно определить характер и размер риска нарушения безопасности персональных данных.
В контексте отраслевой частной модели угроз и в контексте Стандарта НАУФОР (книга 1), понятия «оценка риска» и «оценка вреда» тождественны.
Риск нарушения безопасности персональных данных: имеющий обоснование и/или подтверждение ущерб (вред),
возникший в связи с нарушением прав и свобод человека и гражданина (субъекта персональных данных) и являющийся
следствием реализации угрозы.
С использованием составленного
перечня актуальных угроз
С использованием данных о
категории персональных данных
производится оценка вреда, который может быть причинён
субъектам ПДн в случае нарушения законодательства в
области персональных данных
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
8
Особенности
Оценка угроз
Применительно к Организациям – членам НАУФОР определены следующие типы ИСПДн:
автономное рабочее место, не имеющее подключения к сетям связи общего пользования и (или) сетям международного
информационного обмена;
автономное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям международного
информационного обмена;
локальная ИСПДн с разграничением прав доступа и не имеющая подключения к сетям связи общего пользования и (или)
сетям международного информационного обмена;
локальная ИСПДн с разграничением прав доступа и имеющая подключение к сетям связи общего пользования и (или) сетям
международного информационного обмена;
распределенная ИСПДн с разграничением прав доступа и имеющая подключение к сетям связи общего пользования и (или)
сетям международного информационного обмена.
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
9
Особенности
Классификация ИСПДн
Процедура оценки вреда – экспертная оценка, производимая работниками Организации (Уполномоченным лицом) с привлечением
специалистов в области юриспруденции, защиты информации, риск-менеджмента и т.п.
Оценка вреда состоит из двух основных этапов:
1. Определение размера ущерба (вреда)
2. Соотнесение размера ущерба (вреда) с критериями, приведёнными в кодексах РФ ….
Пример подхода к оценке: В соответствии со сложившейся практикой, степень тяжести ущерба, для субъекта ПДн допустимо
определить по аналогии с методикой определения риска: Риск = вероятность реализации угрозы * размерность и величина
вреда (R=P*L), где R – риск; P – вероятность реализации угрозы; L – вред, выраженный в стоимостной и/или не стоимостной
величине.
По аналогии с приведённой выше формулой расчёта риска, определение негативных последствий для субъекта ПДн
допустимо провести по формуле: E(n)=P*L(d+m), где En - Effects (negative) – негативные последствия; L(d+m) - Loss
(direct+mediated) – непосредственный и опосредованный вред (ущерб); P – вероятность реализации угрозы. При расчётах
допустимо принять P = Y ; где Y - коэффициент реализуемости угрозы. Из того, что в ИСПДн обрабатываются ПДн
совокупности субъектов, и для каждого конкретного субъекта ущерб, может значительно отличаться от непосредственного
ущерба любого другого (субъекта), явно следует, что L может находиться в диапазоне от 0 до +∞.
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
10
Особенности
Классификация ИСПДн
Категории ПДн
Объём ПДн
> 100000
1
от 1000 до 100000
< 1000
значительный вред[1]
К1С
значительный вред
К1С
вред[2]
2
К2С
вред
незначительный вред[3]
значительный вред
3
К3С
К3С
К2С
вред
незначительный вред
4
Класс
ИСПДн
отсутствие вреда[4]
К3С
К3С
К4С
Результаты оценки вреда, который может быть причинён субъектам ПДн
[1]
Нарушение заданных характеристик безопасности ПДн может привести к значительным негативным последствиям для субъектов ПДн.
[2]
Нарушение заданных характеристик безопасности ПДн может привести к негативным последствиям для субъектов ПДн.
[3]
Нарушение заданных характеристик безопасности ПДн может привести к незначительным негативным последствиям для субъектов ПДн.
[4]
Нарушение заданных характеристик безопасности ПДн не приводит к негативным последствиям для субъектов ПДн.
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
11
Особенности
Компенсационные меры
Компенсационные меры могут применяться, если Организация не может исполнить определенное положение Стандарта в явном
виде, в конкретное время и в отношении конкретного ресурса (элемента, компонента) ИСПДн по причине технических, или
бизнес - ограничений, однако риск, связанный с невыполнением этого требования, может быть снижен до необходимого уровня
путем принятия других (компенсационных) мер.
Компенсационные меры должны соответствовать цели исходного положения Стандарта и предоставлять уровень защиты
относительно рассматриваемой угрозы, соответствующий тому, который обеспечивает исходное положение Стандарта.
Основным принципом в реализации компенсационной меры является – разнесение по времени и месту (элементу, компоненте
ИСПДн) того, или иного положения Стандарта. Организационные процедуры, приведённые в настоящем Стандарте не могут
быть заменены компенсационными мерами.
Эффективность компенсационной меры зависит от конкретной ИСПДн, в которой реализуется эта мера и взаимодействия мер
защиты между собою. Организация должна осознавать, что какая-то конкретная компенсационная мера не может быть
эффективной во всех ИСПДн.
При каждой оценке соответствия требованиям Стандарта необходимо тщательно оценивать компенсационные меры, чтобы
убедиться, что каждая мера позволяет адекватно минимизировать угрозу безопасности персональных данных, которую должно
снижать исходное требование Стандарта.
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
12
Согласование
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
13
Внедрение
http://www.naufor.ru/search.asp
… профессиональные участники рынка ценных бумаг должны привести свои системы, в которых
обрабатываются
данные,
профессиональными
в
соответствие
участниками
требований
с
законодательством.
законодательства,
В
НАУФОР,
целях
выполнения
совместно
с
ООО
«Инфосекьюрити Сервис» разработала Стандарт ….
Правила членства
Саморегулируемой (некоммерческой) организации
«Национальная ассоциация участников фондового рынка»
29. Члены НАУФОР обязаны:
29.3. соблюдать принятые НАУФОР правила и стандарты …
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
14
Внедрение
Проблемные вопросы
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
15
Продвижение
"Практика реализации"
для комплаенс-контролеров
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
16
Неразрешённые вопросы
НАУФОР считает необходимым упорядочить нормативную базу в области средств
защиты конфиденциальной информации
Национальная ассоциация участников фондового рынка считает необходимым провести
редактирование
и
уточнение
нормативной
базы
в
области
средств
защиты
конфиденциальной информации, в связи с чем направила письмо в Федеральную службу по
техническому и экспортному контролю (ФСТЭК России), в котором указала на проблемы в
области
подтверждения
соответствия
средств
защиты
информации,
вызванные
несовершенством существующей системы подтверждения их соответствия.
Как говорится в письме, проблемы вызваны несовершенством системы подтверждения
соответствия средств защиты информации требованиям нормативных правовых актов РФ, и
порождают
существенные
риски
для
операторов
персональных
данных
и
других
организаций.
В письме НАУФОР также содержится просьба о подтверждении возможности оценки
соответствия средств защиты информации, предназначенных для защиты персональных
данных, в системах добровольной сертификации.
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
17
Письмо НАУФОР в ФСТЭК России
http://www.naufor.ru/tree.asp?n=9297
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
18
Адрес: г. Москва, Протопоповский пер., д.40
Тел.: +7 495 680-48-52
Факс: +7 499 500-94-48
E-mail: mail@infosecservice.ru
Контактное лицо:
Калганов Игорь
Моб. тел. +7 (916) 441-54-09
E-mail: kalganov@infosecservice.ru
Стандарт НАУФОР
© «Инфосекьюрити Сервис», 2011, Москва
19