ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? (требования, комментарии, рекомендации) Сергей ВИХОРЕВ Директор Аналитического Департамента ОАО «ЭЛВИС-ПЛЮС» 2009 год © ОАО «ЭЛВИС-ПЛЮС», 2008 г., ВНИМАНИЕ! Материалы, изложенные в данной презентации рассматривают только основные аспекты проблемы безопасности информации и не претендуют на полноту анализа российского законодательства ПРОЛОГ Одной из основных задач развития информационного общества в РФ является совершенствование системы государственных гарантий конституционных прав человека и гражданина в информационной сфере, в том числе гарантий неприкосновенности его частной жизни «Стратегия развития информационного общества в РФ» № Пр-212 от 7.02.2008 г. Особую значимость приобретает проблема обеспечения безопасности информации об обстоятельствах частной жизни граждан (персональных данных) накапливаемой и обрабатываемой в информационных системах ПРОЛОГ В соответствии с Законом «О персональных данных» организация или физическое лицо, осуществляющее и/или организующее обработку персональных данных, является оператором персональных данных и обязано обеспечить их защиту. До 1 января 2010 года все операторы обязаны обеспечить защиту персональных данных. По оценкам Роскомнадзора на сегодняшний день требования Закона касаются около 7 млн. организаций-операторов. Нормативная база Закон 2006 г. № 152-ФЗ «О персональных данных» Постановление Правительства РФ от 17.11. 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИС персональных данных» Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» В соответствии с полномочиями, ФСТЭК России и ФСБ России введены в действие ряд нормативных и методических документов в области защиты персональных данных Методическая база 1. Порядок проведения классификации ИСПДн. 2. Базовая модель угроз безопасности ПДн при их обработке в ИСПДн 3. Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн 4. Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн 5. Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн 6. Типовые требования по организации и обеспечению ункционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн. 7. Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации. Понятийный аппарат Федеральный Закон № 152-ФЗ «О персональных данных» Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки Кто за что отвечает? Федеральный Закон № 152-ФЗ «О персональных данных» Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий (ст. 19, ч. 1) Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке (ст. 19, ч. 2) Федеральные органы в области обеспечения безопасности и ПД ТСР и ТЗИ (ФСБ России и ФСТЭК России) осуществляют контроль и надзор Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность Что надо сделать? Обязанности операторов ПДн провести инвентаризацию ИР, определить перечень ПДн урегулировать правовые вопросы обработки ПДн направить в Роскомнадзор уведомление (при необходимости) разработать модель угроз провести классификацию ИСПДн получить лицензию на деятельность по ТЗИ (не для всех) определить требования по защите ПДн спроектировать Систему защиты ПДн и реализовать проект провести оценку соответствия ИСПДн требованиям организовать контроль соблюдения использования СЗИ Какие требования выполнять? Необходимость реализации единого и комплексного подхода к защите ИС На практике нет «чистых» ИС, только для обработки ПДн. В реальных ИС организаций могут обрабатываться: сведения, относящиеся к коммерческой тайне персональные данные другая информация Для реальных ИС используются требования РД ФСТЭК России по классу 1Г, СТР-К, ГОСТ Р 52448-2005 (для операторов связи), требования по защите ПДн Какие требования применять? Проблема выбора требований Методические документы определяют требования к классам ИС, но для ряда параметров требования не определены Класс ИС ПДн Режим обработки Права доступа Однопользов. СМ СКЗИ AVP ID&P ПЭМИН Многопользов. Х Х Х ? Равные Х Х Х Х ? Разные Х Х Х Х ? =Х Х =Х =Х ? Х Многопользов. Равные =Х Х =Х =Х ? Х Разные =Х =Х =Х ? ? Х =Х =Х =Х =Х ? =Х Равные =Х =Х =Х Х Х ? =Х Разные =Х =Х =Х ? Х ? =Х Однопользов. I IAM Х Однопользов. II КД Определяется Оператором ПДн в зависимости от ущерба от НСД IV III Требуемые подсистемы защиты ПДн Многопользов. Необходимо уточнить уже используемые в существующих ИС требования с требованиями по защите ПДн Как выбирать требования? Предлагаемый алгоритма определения требований ИСПДн Анализ ИД об ИСПДн Формирование модели угроз Определение класса ИСПДн Внесение изменений: 1. 2. 3. 4. 5. Сегментирование ИСПДн Локализация мест хранения ПДн Снижение категорий ПДн Сокращение объема ПДн Обезличивание ПДн и др. Окончательный набор требований нет Предварительный набор требований РД по ОБ ПДн Анализ реализуемости требований да Как строить систему защиты ? Рекомендации по созданию СЗПДн Мероприятия по защите ПДн должны сочетать реализацию правовых, организационных и технических мер защиты Состав мероприятий зависит для типовых ИСПДн от категории и объема ПДн, для специальных – от состава актуальных угроз Для защиты должны использоваться рекомендованные СЗИ (www.fstec.ru) Мероприятия по защите ПДн реализуются в рамках подсистем: управления доступом регистрации и учёта обеспечения целостности криптографической защиты антивирусной защиты обнаружения вторжений защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов) Все мероприятия одинаково значимы, а невыполнение одних сводит на нет результаты реализации других Как удешевить систему защиты ? Пути минимизации затрат на защиту ПДн максимальное использование возможностей уже имеющихся в ИС средств защиты информации, возможностей ОС и прикладного ПО принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены сокращение количества АРМ, обрабатывающих ПДн, разделение функций пользователей, минимизирование одновременной обработки ПДн из разных систем обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.); разделение ИС межсетевыми экранами на отдельные сегменты (ИСПДн), классификация каждого сегмента и снижения требований к ним организация терминального доступа к ИСПДн исключение из ИСПДн части ПДн, хранение их на бумажных или иных носителях Когда применять криптографию ? Наиболее вероятные случаи использования криптографии В системах, где АРМ или ЛВС объединены средствами связи. Необходимость криптографической защиты возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю (незащищенные от НСД средства хранения информации, каналы связи) В системах, в которых в соответствии с моделью угроз возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами Решение о необходимости защиты ПДн с использованием криптографических средств принимается оператором Как оценить достаточность защиты ? Порядок оценки соответствия ИСПДн требованиям безопасности Специальные ИСПДн: обязательно – сертификация (аттестация) ИСПДн 1 и 2 класса: обязательно – сертификация (аттестация) ИСПДн 3 класса: по решению оператора – декларация соответствия или сертификация (аттестация) ИСПДн 4 класса: по решению оператора – оценка Аттестация – официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований Кто осуществляет контроль ? Порядок контроля и надзора за выполнением требований по защите ПДн Порядок осуществления государственного контроля и надзора будет установлен специальным нормативным актом «Порядком осуществления контроля и надзора за соблюдением требований законодательства РФ в области защиты персональных данных», вводимым в действие совместным приказом Минкомсвязи России, ФСБ Росси и ФСТЭК России. Ориентировочный срок введения в действия – 2-3 кв.2009 г.