Двенадцатая международная научно-практическая конференция НОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ОБРАЗОВАНИИ Формирование новой информационной среды образовательного учреждения с использованием технологий "1С" Обеспечение защиты персональных данных в условиях изменения действующего законодательства Баймакова Ирина Александровна, эксперт 31 января - 1 февраля 2012 г. История вопроса 1981 год - Конвенция «О защите физических лиц при автоматизированной обработке персональных данных»; 2006 год – Федеральный закон «О персональных данных» № 152-ФЗ; 2007 год – создание Управления по защите прав субъектов персональных данных; 2008 год – издание подзаконных и нормативных правовых актов 2011 год – существенное изменение Федерального закона «О персональных данных» 2 Изменения законодательства Федеральным законом от 25.07.2011 № 261-ФЗ были внесены изменения в Федеральный закон «О персональных данных» Изменения затронули: Применяемую терминологию; Порядок получения согласия субъектов ПДн и случаи обработки ПДн без согласия; Требования к уведомлению; Требования к оператору персональных данных при передаче информации для обработки третьим лицам; Введение уровней защищенностей. 3 Терминология (ст. 3 Федерального закона 152-ФЗ) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн); автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники; распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц; предоставление ПДн - действия, направленные на раскрытие Пдн определенному лицу или определенному кругу лиц; обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн; 4 Принципы и условия обработки ПДн (ст. 5 и 6 Фед. закона № 152-ФЗ) Основополагающие принципах и условиях обработки ПДн, в том числе: обработка ПДн должна осуществляться на законной и справедливой основе; обработка ПДн должна быть ограничена достижением конкретных целей; обрабатываемые ПДн не должны быть избыточными по отношению к целям их обработки; оператор должен принимать меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. 5 Нормативно-правовое регулирование Федеральный закон № 152-ФЗ до 261-ФЗ Пунктом 2 статьи 19 закона предусмотрено, что Правительство РФ устанавливает требования к обеспечению безопасности Пдн при их обработке в ИСПДн, требования к материальным носителям биометрических Пдн и технологиям хранения таких данных вне ИСПДн. В Постановлении Правительства № 781 от 17.11.2007 года предусмотрено (п.6), что Порядок проведения классификации информационных систем устанавливается совместно ФСТЭК России, ФСБ РФ и Министерством информационных технологий и связи РФ. Приказ ФСТЭК РФ, ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 № 55/86/20 Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» (пришел на смену Основным мероприятиям …) 6 Нормативно-правовое регулирование Федеральный закон № 152-ФЗ с учетом 261-ФЗ Правительство РФ с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает: - уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных; - требования к защите Пдн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн; - требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн. 7 Состав и перечень мер по защите ПДн (ст. 18.1 Фед. закона № 152-ФЗ) Определен состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством о защите ПДн. К таким мерам могут относиться: назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн; издание документов, определяющих политику оператора в отношении обработки ПДн; применение правовых, организационных и технических мер по обеспечению безопасности ПДн; осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн установленному порядку; оценка вреда, который может быть причинен субъектам ПДн; ознакомление работников оператора с организацией работы с ПДн. 8 Обязанности оператора ПДн (п. 2 ст. 19 Фед. Закона № 152-ФЗ) Требование 1. Определение угроз безопасности ПДн при их обработке в ИСПДн 2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн 3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации 4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн Реализация Модель угроз (документ) ? Уровни защищенности ПДн должны быть установлены Правительством РФ Перечень сертифицированных СЗИ приведен на сайте ФСТЭК России (ЗПК «1С:Предприятие 8.2z») ? 9 Обязанности оператора ПДн (п. 2 ст. 19 Фед. закона № 152-ФЗ) Требование 5. Учет машинных носителей ПДн 6. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер 7. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним Реализация Организационные меры (журнал учета) Технические меры (ПО фирмы 1С) Организационно-технические меры (деятельность системного администратора и ПО фирмы 1С) 8. Установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн Организационно-технические меры (регламентация правил доступа внутри компании + настройка ПО фирмы 1С) 9. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн Организационные меры (назначение ответственного и периодический контроль) 10 Обязанности оператора ПДн Среди обязательных мероприятий, которые должны быть проведены всеми операторами ПДн, необходимо выделить: получение согласия физических лиц на обработку персональных данных; направление уведомления в Роскомнадзор для включения в реестр операторов персональных данных; назначение ответственного за организацию обработки персональных данных; разработка положения об обработке и защите персональных данных. 11 Деятельность «1С» по обеспечению требований законодательства о ПДн Сертификация средств защиты информации; Доработка конфигураций; Разработка подсистемы «Защита персональных данных» Методическая поддержка партнеров и пользователей 12 Сертификация ПО фирмы «1С» Что учтено в решениях фирмы «1С» на платформе 8.2 (с учетом требований, предусмотренных Приказом ФСТЭК России № 58) Управление доступом – предусмотрена возможность настройки доступа с паролем состоящим из любого количества символов (возможности платформы дают возможность вводить запрет на простые пароли, а также возможность указания пароля на нескольких регистрах) Регистрация и учет: регистрации событий аутентификации и отказа в аутентификации; регистрация событий доступа и отказа в доступе к конкретным персональным данным; получение сведений о зарегистрированных событиях; регистрация изменений прав пользователя. Обеспечение целостности – предусмотрена проверка информационной базы на физическую целостность с использованием ПП ФИКС 2.0 13 Доработки технологической платформы Начиная с версии 8.2.10 в платформе «1С:Предприятие 8.2» дополнительно реализовано: Регистрация аутентификации и отказа в аутентификации (реализовано в версии 8.2.9); Регистрация изменений прав пользователей позволяет определить когда какие роли назначались пользователю; Регистрация фактов отказа в доступе Регистрируются все факты отказа в доступе пользователю. Например, для поиска массовых попыток обращения к недоступным для пользователя ресурсам Регистрация доступа к защищаемым ресурсам: - Разработчик включает регистрацию для доступа к определенным полям по определенным объектам метаданных; - Разработчик описывает какую ключевую информацию необходимо включать в события журнала регистрации для поиска событий; - Система реализует отражение всех фактов доступа к указанной информации; - Система предоставляет возможность отбора зарегистрированных событий по метаданным и данным. 14 Условия продажи и применения ЗПК Защищенный программный комплекс «1С:Предприятие, версия 8.2z»: прошел регистрацию в 2010 году; сертификат ФСТЭК РФ № 2137; может применяться в ИСПДн до класса К1 Порядок продажи ЗПК определен в инфописьме № 12891 от 29.12.2010; Существует два варианта ЗПК: 4601546081315 ЗПК «1С:Предприятие 8.2z» (x86-32) – 10 000 руб.; 4601546081322 ЗПК «1С:Предприятие 8.2z» (x86-64) – 30 000 руб. ЗПК может применяться с любыми конфигурациями, разработанными на 8.2; 1 экз. ЗПК может устанавливаться на несколько рабочих мест/серверов; Осуществляется регулярное ежеквартальное обновление вновь выходящих релизов (последним сертифицирован релиз – 8.2.14.533); Бесплатное получение обновлений в течение года после приобретения. Вопросы по применению ЗПК можно направлять по адресу – SZI@1c.ru 15 Зарплатные конфигурации В «1С:Зарплата и управление персоналом» и «1С:Зарплата и кадры бюджетного учреждения» реализовано : настройка режима защиты персональных данных по областям (личные данные, данных о доходах, данные о профессии и образовании, данные об имуществе); просмотр сведений о зарегистрированных событиях аутентификации и отказа в аутентификации, доступа и отказе в доступе; уничтожение персональных данных по запросу субъекта; автоматическое уничтожение персональных данных кандидата по истечении срока предоставления персональных данных. 16 Автоматическое уничтожение ПДн Данные, предоставленные на определенный срок, будут уничтожены автоматически по истечении этого срока Срок обработки указывается в анкете кандидата в месяцах Автоматическое уничтожение включается в форме «Настройки программы» 17 Обработка персональных данных В типовую анкету (анкета резюме кандидата) может быть дополнительно введено два вопроса: • • «Разрешить обработку персональных данных» «Срок предоставления персональных данных, мес.» Программа позволяет осуществить настройку «обязательности ответа» на данные вопросы. 18 Обработка персональных данных При вводе сведений о кандидате следует в явном виде указать согласие на обработку персональных данных, в противном случае документ не будет записан 19 Подсистема «Защита персональных данных» Обработка «Согласие на обработку персональных данных» Команда и форма ввода данных для печати Роль «Подготовка согласия на обработку персональных данных» 20 Методическая поддержка Раздел на сайте Buh.ru Обучающий курс на базе Учебного центра № 1 21 Методическая поддержка Вопросы защиты персональных данных рассматриваются: в методическом пособии, разработанном специалистами 1С, "Обеспечение защиты персональных данных" (3-я редакция); в мультимедийном курсе «1С:Электронное обучение. Обеспечение защиты персональных данных». Вопросы, предложения – szi@1c.ru 22 Двенадцатая международная научно-практическая конференция НОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ОБРАЗОВАНИИ Спасибо за внимание! Баймакова Ирина Александровна, эксперт 31 января - 1 февраля 2012 г.