Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Анализ технических мер защиты персональных данных. Оптимизация затрат на тех. инфраструктуру Круглова Елена Владимировна директор по развитию (ИТ) ООО «Управляющая компания «КапиталЪ» ИТ директор ЗАО «Холдинг УК» План Этапы подготовки к проверке Роскомнадзора Анализ: где искать ПД ? Классификация: специальная или типовая ИС? Определение объема требований Оптимизируем! Точки контроля во время проверки 2 Порядок подготовки к проверке Этап 4. Оптимизация: - сокращение мест хранения - уничтожение/обезличивание данных - перевод в общедоступные ПД и др. Этап 1. Анализ обработки ПД - Источники получения ПД - Места хранения ПД (архивы, БД, серверные и тд) - Процессы перемещения/обработки носителей, информации между людьми/системами/местами хранения - Передача данных/документов/ носителей третьим лицам 3 Этап 2. Классификация ИС (Приказ №55/86/20). Этап 3. Определение объема требований к защите Нет Ресурсы? Этап N. Реализация защиты: - Написание Да документов - Введение адм. мер - Обучение персонала - Внедрение СЗИ Где искать ПД? (слайд 1) Программы, содержащие данные клиентов (физ. лиц): CRM, база данных потенциальных клиентов Система сбора заявок, анкетных данных (если есть) Внутренний/операционный учет Расчет НДФЛ База данных для передачи данных по НДФЛ в ФНС Системы ЭДО (Например, пайщики) Программы, содержащие данные представителей клиентов/контрагентов (юр. лиц): Системы ЭДО Программы учета (?) 4 Где искать ПД? (слайд 2) Программы, содержащие конф. данные сотрудников: Кадровый, воинский учет Расчет НДФЛ (!) База данных для передачи данных по НДФЛ в ФНС (!) База данных для передачи данных в ПФР Данные по зарплатным карточкам (для перевода средств) Банк-клиенты, системы ЭДО (?) (!) Базы данных для передачи данных по ОМС, ДМС Программы, содержащие общедоступные данные сотрудников: Сайт Внутренний корпоративный сайт Почтовая программа База данных пользователей сети у ИТ 5 Точки контроля Соответствие объема данных в ИС описанным во внутренних документах (PrintScrn) Отсутствие данных по клиентам или сотрудникам, с которыми расторгнуты отношения Отсутствие специальных категорий ПД: национальность (!поля «комментарий») Общедоступные источники: сравнение с Согласием 6 Анализ и классификация систем 1. Проведение классификации систем Категория обрабатываемых данных Объем обрабатываемых данных Заданные характеристики безопасности Структура ИС Наличие подключения ИС к сетям общего пользования Режим обработки ПД (однопользовательские и многопользовательские) Режим разграничения прав доступа пользователей ИС Местонахождение тех. средств ИС 2. Специальная или типовая ИС 3. Определение класса типовой ИС 7 Определение класса типовой ИСПДн Количество субъектов ПД < 1 000 Количество субъектов ПД 1 000 – 100 000 Количество субъектов ПД > 100 000 4 категория (обезличенные данные) К4 К4 К4 3 категория (идентифицировать субъект ПД) К3 К3 К2 2 категория (идент. и получить доп. информацию) К3 К2 К1 1 категория (специальная категория) К1 К1 К1 «..В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем..» 8 Основные требования к системам различных классов Приказ ФСТЭК №58 от 19.02.2010 Модель угроз Контроль отсутствия НВ Требования к защите от НСД и НД Требования к защите акустической информации К1 + + (могут применяться…) + + (если исп. голосовой ввод) К2 Целесообразн ость определяется оператором + (гос.стандарты) + - - + - К3 К4 9 Требования к защите от ПЭМИН Перечень мероприятий определяется оператором Оптимизация. Основные виды расходов На технические меры защиты информации: закупку/настройку/поддержку (Например, для защиты от НСД и неправомерных действий должны быть внедрены системы: управление доступом; регистрация и учет; обеспечение целостности; контроль отсутствия недекларированных возможностей; антивирусная защита; обеспечение безопасного межсетевого взаимодействия ИСПДн; анализ защищенности; обнаружение вторжений) На административные меры защиты информации: разработка внутренней документации, охрана и др. На изменение бизнес процессов, связанных с реализацией мер защиты, оптимизацией расходов На наем персонала, обучение На подготовку к получению лицензий ФСТЭК, ФСБ в случае необходимости На подготовку к аттестации СЗ ИСПДн 10 Методы оптимизации расходов на тех. средства Изменение класса ИСПДн (для типовых) - Изменение категории ПД - Изменение объема ПД Уменьшение объема технических требований (для заданного класса) - Специальные ИС - Другие способы Аутсорсинг (хранения, защиты и др.) 11 Оптимизация. Понижение класса ИС Изменение категории ПД Обезличивание Перевод в категорию общедоступных данных Отделение данных, позволяющих идентифицировать субъект ПД, от данных, позволяющих получить о нем дополнительную информацию Отказ от сбора части информации, заведение в ИС (например, графа национальность для сотрудников) Изменение объема ПД Дробление ИС на подсистемы (базы данных) с меньшим объемом «.. информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем..» Уничтожение данных, по которым истек срок полезного использования Организация архивов без использования средств автоматизации 12 Оптимизация. Понижение технических требований. Специальные ИС Специальные ИС - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Требования? 13 Оптимизация. Понижение технических требований. Слайд 2 Пересмотр схемы подключения к сетям общего пользования Пересмотр местонахождения тех. средств ИС Пересмотр границ ИС. Разделение сегментов сети разных классов. Терминальный доступ. 14 Оптимизация. Пример выделения ИСПДн ИСПДн 1 класса Их пользователи Интернет Межсетевой экран Межсетевой экран Межсетевой экран ИСПДн 2,3 классов Другие пользователи 15 Оптимизация. Аутсорсинг Создание холдингов, внешний хостинг Подряд внешних компаний 16 Защита. Организационные меры (ПП №781) По информационным системам (по каждой): Регламент выдачи прав доступа в ИС Матрица доступа; список лиц, обрабатывающих ПД Регламент уничтожения/обезличивания данных (включая резервные копии!) Инструкции операторам, и администратору безопасности ИС Описанный порядок действий с данными в ИС «Логи»: журналы учета данных и действий в ИС Документ описывающий передачу ПД между ИС Общие тех. документы: Перечень технических средств, участвующих в обработке ПД (можно в электронном виде, ПП №781) Комиссия по классификации Акт классификации ИС (Приказ № 55/86/20) Наличие модели угроз безопасности 17 Защита. Организационные меры Обучение персонала Данные журналистов, визитки (?) Резюме потенциальных кандидатов Пункт охраны (пропуска!) 18 ЗАКЛЮЧЕНИЕ Спасибо за внимание! Легких вам проверок и эффективной защиты! Круглова Елена Владимировна директор по развитию ООО «УК «КапиталЪ» +7 (495) 777-01-70 (доб. 2377, 2477) Elena.Kruglova@kapital-am.ru 19