Нормотворчество в области защиты информации
advertisement
Федеральный закон "О персональных данных" (ФЗ- 152) Захаров Александр Анатольевич Зав. кафедрой Информационной безопасности ТюмГУ azaharov@utmn.ru Моб. +79068273880 Федеральный закон "О персональных данных" (ФЗ- 152) Закон должен был вступить в силу с 1 января 2010 года, но на год эту дату перенесли, и народ расслабился. Тем не менее: • оргмеры применять все равно надо • технические средства закупать все равно надо потому что закон никто не отменял и переносить сроки больше не будут. __________________________________________________________ возможно, появится новый вариант закона о защите персональных данных, (например, в Венгрии, закон о защите персональных данных принимали три раза), но последние парламентские слушания на эту тему были 20 октября 2009 года, следующие пока не запланированы В каком направлении с технологической точки зрения развивается тема персональных данных в РФ: • Планируется новая версия документа ФСТЭК (Приказ ФСТЭК России от 5 февраля 2010 г. N 58 о методах и способах защиты информации в системах персональных данных). • Готовится новый приказ ФСБ. • Разработаны стандарты Центрального Банка России для финансовых структур. • Разработаны стандарты по безопасности персональных данных для операторов связи. • Разработаны рекомендации по персональным данным у минздравсоцразвития и Рособразования. •Разрабатывают отраслевые стандарты страховщики, Росатом, РЖД. •Роскомнадзор планирует изменить сумму штрафа до 1 миллиона рублей. Законопроект внесен, но пока не принят ПЛАН введение в защиту ИСПДн 1. Основные понятия по теме « защита конфиденциальной информации» 2. Законотворчество в области защиты информации 3. История законотворчества в области защиты ПДн 4. Минимизация (оптимизация) средств выделяемых на защиту ПЛАН введение в защиту ИСПДн ШАГ 1. Распределение ответственности ШАГ 2. Определение правовых оснований обработки ПДн ШАГ 3. Получение согласий на обработку ПДн ШАГ 4. Определение порядка реагирования ШАГ 5. Уведомление (в случае необходимости) уполномоченного органа по защите ПДн ШАГ 6. Выделение и классификация ШАГ 7. Разработка моделей угроз ШАГ 8. Проектирование и реализация СЗПДн ШАГ 9. Описание СЗПДн. Оценка соответствия (аттестация) ШАГ 10. Обработка ПДн без использования средств автомат СЗПДн изации ШАГ 11. Постоянный контроль Что такое информация ? Определение этого понятия, дано в ст.2 ФЗ "Об информации, информатизации и защите информации" от 20.02.95г. №24-ФЗ, информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. "документированная информация (документ)" зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать (ст.2 ФЗ "Об информации ...", ст.2 ФЗ "Об участии в международном информационном обмене" от 4.07.96г. №85-ФЗ) Что такое конфиденциальная информация ? С точки зрения этимологии, слово "конфиденциальный" происходит от латинского confidentia - доверие и в современном русском языке означает "доверительный, не подлежащий огласке, секретный Согласно утвержденному 6 марта 1997 года Указу Президента РФ №188, к сведениям конфиденциального характера можно отнести: • персональные данные гражданина; • тайна следствия и судопроизводства; • служебная тайна; • врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.; • коммерческая тайна; • сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. По разным оценкам к конфиденциальной информации относится от 60% до 80% всей информации, циркулирующей в информационных системах государственных и, коммерческих предприятий. Защита конфиденциальной информации в РФ В СССР существовала, и в РФ естественно существует жесткая регламентация деятельности в области защиты сведений, составляющих государственную тайну. (Трое способны хранить государственную тайну, если двое из них мертвы). Грифы секретности для носителей сведений отнесенных к государственной тайне : "особой важности", "совершенно секретно" и "секретно" Защита конфиденциальной информации в СССР и РФ до 2001 г. никак не регламентировалась. Первый закон был принят Государственной Думой 13 июля 2001 и вступил в действие через 6 месяцев с момента подписания. В законе, в статье 17 перечислены виды деятельности, на осуществление которых требуется соответствующая лицензия. В т.ч. к таким видам деятельности отнесены: • деятельность по разработке и (или) производству средств защиты конфиденциальной информации; • деятельность по технической защите конфиденциальной информации. • криптографическая защита, ЭЦП, область шифровальных средств и услуг Нормотворчество в области защиты информации – законодательные акты 1. Конституция Российской Федерации (1993 г.) 2. Закон РФ "О безопасности" от 05.03.1992г. № 2446-1 3. Закон РФ "О государственной тайне" от 21.07.1993г. №5485-1 (с изм. и доп., вступающими в силу с 15.12.2007) 4. ФЗ "Об органах Федеральной Службы Безопасности в Российской Федерации" 03.04.95 №40-ФЗ (СЗ №15-95 г. ст.1269) 5. ФЗ РФ "О лицензировании отдельных видов деятельности" от 8 августа 2001 года, N 128 6. ФЗ РФ "Электронной цифровой подписи" от 10 января 2002 г. N 1-ФЗ 7. ФЗ "О техническом регулировании" от 27 декабря 2002 г. N 184-ФЗ 8. ФЗ РФ "О связи" 7 июля 2003 г. N 126-ФЗ 9. ФЗ РФ "О коммерческой тайне" от 29 июля 2004 г. N 98-ФЗ 10. ФЗ РФ "Об информации, информационных технологиях и о защите информации" от 27.07.2006г. №149-ФЗ 11. ФЗ РФ "О персональных данных" от 27 июля 2006 г. N 152-ФЗ 12. ФЗ РФ "Об обеспечении единства измерений" от 26 июня 2008 года № 102-ФЗ 13. Приказ ФСТЭК №58 от 5.02.2010г. "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" 14. Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Нормотворчество в области защиты информации – Нормативные правовые акты Президента РФ 1. Указ "Об основах государственной политики в сфере информатизации" N 170 от 20.01.94г. 2. УП РФ "Об утверждении перечня сведений конфиденциального характера" от 6 марта 1997 г. № 188 3. УП РФ "Концепция национальной безопасности Российской Федерации" от 17 декабря 1997 г. № 1300 в редакции Указа Президента РФ от 10 января 2000 г. № 24 4. Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ 9.09.2000г. №Пр-1895) 5. УП РФ "Вопросы Федеральной службы безопасности Российской Федерации" от 11 июля 2003 года №960 6. УП РФ "Вопросы Межведомственной комиссии по защите государственной тайны" от 6 октября 2004 г. № 1286 7. УП РФ "Вопросы федеральной службы по техническому и экспортному контролю" от 16 августа 2004 г. № 1085 (с изменениями и дополнениями от 22 марта 2005 г. № 330; от 20 июля 2005 г. №846; от 30 ноября 2006 г. № 1321) 8. УП РФ "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17 марта 2008 г. N 351 Нормотворчество в области защиты информации – Постановления Правительства РФ 1. 2. 3. 4. 5. 6. 7. 8. 9. Постановление Совета Министров — Правительства РФ от 15.09.1993 № 912-51 «Об утверждении Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» Постановление Правительства РФ от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" Постановление Правительства РФ “О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" от 15 апреля 1995 г. № 333 Положение о сертификации средств защиты информации Утверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 (с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808) Постановление Правительства РФ "Об организации лицензирования отдельных видов деятельности" от 26.01.2006г. № 45 Постановление Правительства РФ "О лицензировании деятельности по технической защите конфиденциальной информаци" от 15.08.06 № 504 Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации Утверждено постановлением Правительства Российской Федерации от 31 августа 2006 г. № 532 Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" от 15.09.2008г. №687 Нормотворчество в области защиты информации – Нормативно-технические документы по защите информации: • Специальные требования и рекомендации по защите информации, от утечки по техническим каналам (СТР-К) • Сборник норм защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) • Документы, устанавливающие критерии оценки защищенности информации (нормы эффективности защиты) и методы их контроля (в том числе при проведении сертификационных испытаний) • РД. Показатели защищенности информации, обрабатываемой средствами ВТ и в АС, от НСД • РД. Защита от несанкционированного доступа к информации. Общие технические требования • Методики оценки защищенности информации от утечки по техническим каналам • • • • • Нормотворчество в области защиты информации – Основные национальные стандарты в области защиты информации ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью. ГОСТ Р ИСО 7498-2-99 Государственный стандарт Российской Федерации Информационная технология взаимосвязь открытых систем базовая эталонная модель ГОСТ Р 51241-98 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний. ГОСТ Р 50.1.053- 2005 Информационные технологии, основные термины и определения в области технической защиты информации ГОСТ Р 50922-2006. Защита информации. Основные термины и определения Нормотворчество в области защиты информации – нормативнометодические документы по защите информации от НСД: • Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. • Руководящий документ. Концепция защиты СВТ и АС от несанкционированного доступа к информации. • Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. • Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. • Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. От кого (чего) следует защищаться – согласно нормативным документам? На данное время существуют следующие угрозы информационной безопасности: • • • • • • • • • Деятельность технических разведок Угрозы криминального и террористического характера Рост преступности в высокотехнологичной сфере (киберпреступность, хакинг) Рост инсайдерских угроз (персонал организации) Неправомерный сбор и распространение конфиденциальной информации, хищение баз данных Создание и распространение компьютерных вредоносных программ Загрязнение информационной среды (СПАМ) Угрозы техногенного характера (сбои технических средств и программного обеспечения) Разработка "информационного" оружия (например, для воздействия на информационно-телекоммуникационные системы и сети) От кого (чего) следует защищаться ? Статистика по конфиденциальным данным Статистика первоочередных причин повреждения, хищения или утраты конфиденциальной информации: ХАЛАТНОСТЬ – (раздолбайство) • Вследствие неумышленных ошибок, сделанных самим человеком – владельцев информации – 52 процента случаев; • Вследствие перегрева носителей и пожаров – 15 процентов; • Вследствие повреждения водой, попавшей извне или конденсата внутри – около 10 процентов случаев; ПЛОХАЯ ЗАЩИТА • Вследствие умышленных действий инсайдеров – 10 процентов; • Оставшиеся 13 проценты – тем или иным образом связанные с действиями злоумышленников в сети. От кого (чего) следует защищаться ? – каналы утечки по персональным данным 1. кража или потеря носителей (ноутбуков, флэшь накопителей, дисков) с ПДн; 2. утечка через Web в результате случайной публикации ПДн в общедоступных местах (Internet или Intranet); 3. спланированный инсайд — умышленная кража информации сотрудником, имеющим легальный доступ к ней; 4. бумажная утечка — печать и распространение ПДн на бумажных носителях; История защиты ПДн и Врачебной тайны ПДн Франция запретила публикацию фактов о частной жизни 1858 г., Норвегия 1889 г. 1980 г Рекомендации ОЭСР (Европейская Организация по экономическому сотрудничеству и развитию) о защите неприкосновенности частной жизни и международных обменов ПДн. 1981 г. - Европейская Конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», Директивы 95/46ЕС , 97/66/EC 19.12.2005 №160-ФЗ о ратификации конвенции… 2007 начал свое действие отечественный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ Врачебная тайна– понятие, которое развивалось на протяжении многих столетий. В России еще Петр I ввел в законодательство нормы, регулирующие врачебную деятельность. Технологии защиты ПДн в Европе 2 Европейцы сформулировали задачи, которые национальное законодательство должно решать при регулировании работы с персональными данными: • защита персональных данных от несанкционированного доступа к ним со стороны других лиц, в том числе представителей государственных органов и служб, не имеющих на то необходимых полномочий; • обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе при передаче по каналам связи; • обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий персональных данных; • обеспечение контроля над использованием персональных данных со стороны самого гражданина; • создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав гражданина на защиту его персональных данных (например, создание должности Уполномоченного по защите персональных данных). Наш закон во многом повторяет основные положения европейского 3 иерархия документов по защите ПДн. Конвенция и международные договора Директивы Евросоюза Законы Рекомендации ОЭСР ФЗ 152 от 2006 ФЗ 160 от 2005 Постановления правительства Приказы и иные документы Европейская конвенция "Приказ трех" от 13.02.2008 №781 от 17.11.2007 4 "закрытых документа ФСТЭК" №687 от 15.09.2008 2 открытых документа ФСБ №512 от 06.07.2008 Проект регламента осуществления контроля и надзора Что такое персональные данные? 4 • Согласно третьей статье ФЗ-152 «О персональных данных», персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. • Согласно ФЗ от 19.12.2005 №160 «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных) Регуляторы по защите ПДн 6 «Зоны ответственности» регуляторов ФСТЭК Выработка требований; Классификация ИСПДн; Определение каналов утечек; Аттестация, сертификация и экспертиза; Согласование правил пользования СЗИ; Учет СЗИ. 7 ФСБ Выработка требований; Классификация ИСПДн; Определение каналов утечек; Тематические исследования, сертификация и экспертиза; Согласование правил пользование СЗИ; Учет СЗИ; Эксплуатация и услуги в области шифрования; Россвязькомнадзор Рассматривает обращения субъектов ПДн; Проверка сведений в заявлений; Требование изменение незаконно полученных ПДн; Принимать меры; Обращаться в суд по факту нарушения; Направлять заявления о приостановлении лицензии; Привлекать к административной ответственности; Направлять в органы прокуратуры материалы по нарушениям; Главные препятствия внедрения закона: 8 1. высокая стоимость реализации технической защиты; 2. нежелание оказаться под контролем со стороны еще нескольких органов исполнтельной власти; 3. неясные последствия отказа от выполнения требований закона для органов власти, бизнеса и руководителей. Иногда дешевле будет заплатить штраф, но не усложнять информационную систему и не вкладывать деньги в ее защиту; 4. отсутствие в нашей стране примеров реальной потери репутации компании в результате утечки персональных данных; 5. отсутствие четкого понимания процедуры государственного контроля и надзора за безопасностью ПД, влияние этого контроля на деятельность предприятий и организаций. Врачебная тайна 8 Согласно ст. 61 Основ законодательства Российской Федерации об охране здоровья граждан, под врачебной тайной понимается информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания, а также иные сведения, полученные при его обследовании и лечении. В соответствии с вышеупомянутой статьей гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений. Во исполнение требований ст. 61 ФОМС РФ издал методические рекомендации от 27 октября 1999 г. и приказ от 25 марта 1998 г. № 30. Врачебная тайна - наказание 8 За незаконное разглашение врачебной тайны предусмотрена также и уголовная ответственность. Согласно ст. 137 УК, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан, наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев. Минимизация затрат на мероприятия по защите ПДн Стратегия: •Разделение и обезличивание •Уменьшение количества •Обособление Тактика : Разделение мероприятий на группы – •рутинные •творческие Классический вариант Паспортные и медицинские данные хранятся вместе Паспортные (персональные) данные Код ФИО Адрес … … … … … Медицинские данные БД Результаты анализов Код Показатель 1 … … Показатель n … … … Результаты обследований Код Диагноз Заключение … … … … … Разделение и обезличивание данных Паспортные (персональные) данные БД - ПДн Код ФИО Адрес … … … … … Медицинские данные (обезличенные) Результаты анализов БД – ОБ.Л Хеш кода Показатель 1 … Показатель n … … … … … Результаты обследований Хеш кода Диагноз Заключение … … … … … Пользователи ПДн Регистратура Пациент Паспортные данные Код пациента Паспортные данные БД Паспортные (персональные) данные пациента Пользователи Врач Медицинские данные БД обезличенная Медицинские данные пациента Пациент Разделение и обезличивание Пользователи ПДн Обезличенные сводные отчеты Пользователи Сервер приложений ПДн Обезличенная БД и сервер приложений БД ПДн Уменьшение количества Пользователи ПДн Сервера приложений ПДн БД ПДн Пользователи ПДн Пользователи БД ПДн Ограниченное Кол-во записей Обезличенная БД и сервер приложений Обособление Пользователи ПДн Сервер приложений ПДн МЭ Обезличенные данные Пользователи не обрабатываюшие ПД БД ПДн Проблемы с документальным оформлением класса ИСПДн Согласно букве закона: Все ИСПДн будут специальными, т.к. используют или автоматизированное принятие решений или ориентированы на защиту от более чем одной угрозы (нарушения конфиденциальности). Присвоить класс специальной ИСПДн вы не можете, т.к. отсутствует методика. Защищать вы не можете, т.к. мероприятия описаны для классифицированных и типовых ИСПДн. Согласно сути закона: Абсолютное большинство ИСПДн может быть классифицировано по 1-2-му классам (для типовых ИСПДн) многопользовательские с разными правами. Проверить правильность выбранного вами класса очень сложно. Для этого необходимо получить доступ к самим защищаемым ПДн, чтобы посчитать число субъектов ПДн или проанализировать их тип. А это проблематично, т.к. потребует уже от самого регулятора выполнять все требования ФЗ-152. Проблемы с анализом рисков Согласно ГОСТ Р 51901.1-2002, ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002 риск от несанкционированных действий описывается комбинацией следующих элементов: • • • • вероятность нанесения ущерба, тяжесть возможного ущерба (последствия), вероятность возникновения угрозы, частота и продолжительность воздействия угрозы. Проблемы с оборудованием для защиты ИСПДн - Большинство средств защиты позволяют защитить типовые информационные системы персональных данных 3, 2 класса, для 1 класса представлено мало СЗИ. - Существуют пустующие ниши в секторах межсетевых экранов, систем обнаружения компьютерных атак. - На рынке представлено небольшое количество специализированных для защиты ИСПДн СЗИ от НСД - Производители антивирусных программ оказались не готовы к необходимости постоянно сертифицировать обновления для своих продуктов, поэтому на рынке мало (практически одно) сертифицированных антивирусных программ. Для конкретной ИСПДн средства защиты подбираются с учётом всех особенностей (конфигурации, класса, режима работы), поэтому окончательное решение по выбору системы защиты принимается после предварительного обследования.
