Сокращение издержек на реализацию задач по приведению информационных систем в соответствие с требованиями закона «О персональных данных» по опыту крупного телеком-оператора Сергей Миронов начальник отдела информационной безопасности ЗАО «АКАДО-Столица» Москва, 2011 • Закон № 152-ФЗ «О персональных данных»: Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года. • Финансово-экономическое обоснование к проекту федерального закона «О персональных данных»: Реализация федерального закона "О персональных данных" не повлечет дополнительных финансовых расходов из федерального бюджета. Опыт компании АКАДО по приведению ее информационных систем в соответствии с требованиями закона № 152-ФЗ • 1. 2. 3. 4. 5. Идентификация информационных систем обработки ПДн. Классификация ИС ПДн. Построение модели угроз для ИС ПДн. Построение системы защиты. Аттестация. Закон «О персональных данных»: • информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ст. 2) п. 2. Статьи 7 Обеспечения конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных. Способы снижения издержек: 1. 2. 3. 4. 5. Объединение всех серверных систем в одну информационную систему Минимизация объема персональных данных, обрабатываемых на рабочих местах и объединение их в соответствующие информационные системы. Например, ИС операторов Call-центра, ИC бухгалтерии Обезличивание сведений. Например, в личном кабинете уход от полного ФИО на обращение по имени отчеству Приведение в программном обеспечении терминологии не однозначно связанной с персональными данными абонента. Например, вместо адреса использовать – «адрес установки оборудования», вместо мобильного и домашнего телефона – «контактный телефон» Приведение сведений справочных систем к категории «общедоступных сведений» с получением соответствующего согласия от сотрудников Приказ ФСТЭК, ФСБ, Минкомсвязи 13.02.08 г. N 55/86/20: Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»: п. 5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Способы снижения издержек: 1. 2. 3. 4. Переход от типовых систем к специальным Обоснование типа специальной системы – автоматизированное принятие решений , порождающие юридическое последствие Классы К1-К4 относятся к типовым системам Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных Способы снижения издержек: • Модель угроз для ИСПДн не должна совпадать с моделью угроз компании • При описании определенных типов нарушителей можно использовать термин «лояльный сотрудник» и для него не рассматривать угрозы • Для каждой ИС ПДн использовать свою опасность угроз. • Существующие системы обеспечения безопасности использовать при оценке исходной защищенности даже если они не сертифицированы по требованиям безопасности Построение системы защиты – лицензируемый вид деятельности. Аттестат может выдать оператор и регулятор. Способы снижения издержек: • • • • При выборе способа построения защиты (своими силами или аутсорсинг) можно оценить затраты на ФОТ + получение лицензий и стоимость проектирования системы защиты у интегратора Если у вас в компании используется средство защиты и оно находится на поддержке, и у производителя есть сертификат на эту версию, то можно обратиться к производителю за формуляром Аттестацию специальных систем должны проводить только на соответствие модели угроз, а не по классам руководящих документов При аттестации в системе ФСТЭК России вы снимаете с себя риски по штрафам за утечку сведений из ИС ПДн, т.к. вас проверяет лицензиат ФСТЭК России и при проверке вам достаточно показать Аттестат на систему