Защита персональных данных. Требования к антивирусному

Защита персональных данных.
Требования к антивирусному
комплексу
Лафицкий Алексей
группа консалтинга и предпродажной поддержки
Alexey.Lafitsky@kaspersky.com
Немного предыстории

1981 г. Совет Европы принял Конвенцию «О защите личности
в связи с автоматической об работкой персональных данных»

25.11.2005г. Государственная Дума ратифицировала данную
Конвенцию

ФЗ от 19.12.2005г. № 160ФЗ «О ратификации Конвенции Совета
Европы о защите физических лиц при автоматической обработке
персональных данных»)
o

На Российскую Федерацию были возложены обязательства по
приведению в соответствие с нормами европейского законодательства
деятельность в области защиты прав субъектов ПДн
ФЗ от 27.07.2006г. № 152ФЗ«О персональных данных»

Закон вступил в силу в январе 2007 г.
Нормативная база по вопросам ПДн

Федеральные законы


Постановления Правительства Российской
Федерации


ФЗ от 27.07.2006г. № 152ФЗ «О персональных данных»
Постановление Правительства РФ от 17.11.2007 г. № 781 "Об
утверждении Положения об обеспечении безопасности персональных
данных при их обработке в информационных системах персональных
данных"
Документы уполномоченных федеральных
органов

ФСБ, ФСТЭК (ПП № 781)
Федеральный закон № 152-ФЗ
«О персональных данных»

Персональные данные (ПД) – любая информация, относящаяся к
определенному или определяемому на основании такой информации
физическому лицу (субъекту ПД), в том числе: фамилия, имя, отчество,
год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая
информация (ст.3.)

Оператор персональных данных – государственный орган,
муниципальный орган, юридическое или физическое лицо,
организующие и (или) осуществляющие обработку персональных данных,
а также определяющие цели и содержание такой обработки (ст.3.)
Федеральный закон № 152-ФЗ
«О персональных данных»

Операторами … должна обеспечиваться конфиденциальность персональных данных, за
исключением случаев, обезличенных и общедоступных персональных данных (ст. 7)

Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД,
уничтожения, изменения, блокирования, копирования, распространения и иных
неправомерных действий (ст. 19, ч. 1)

Правительство РФ устанавливает требования к обеспечению безопасности ПД при их
обработке (ст. 19, ч. 2)

Требования должны быть выполнены до 01.01.2010 г.

Федеральные органы в области обеспечения безопасности и ПД ИТР и ТЗИ (ФСБ России и
ФСТЭК России) осуществляют контроль и надзор

Лица, виновные в нарушении требований несут гражданскую, уголовную, административную,
дисциплинарную и иную, предусмотренную законодательством РФ ответственность
Кратко об ответственности
Статья
Кодекс
О чем статья?
Максимальное наказание
13.11
КоАП
Нарушение установленного законом порядка сбора, хранения,
использования или распространения информации о гражданах
(персональных данных)
10 000 руб.
13.12
КоАП
Нарушение правил защиты информации, а также Использование
несертифицированных средств защиты информации, если они
подлежат обязательной сертификации, а также Грубое нарушение
условий, предусмотренных лицензией на осуществление деятельности
в области защиты информации
20 000 руб. + конфискация
несертифицированных средств
+ приостановление
деятельности на срок
до 90 суток
19.4
КоАП
Невыполнение законных требований должностного лица органа,
уполномоченного в области экспортного контроля, а равно
воспрепятствование осуществлению этим должностным лицом
служебных обязанностей
10 000 руб.
19.5
КоАП
Невыполнение в установленный срок законного предписания
(постановления, представления, решения) органа (должностного лица),
осуществляющего государственный надзор (контроль), об устранении
нарушений законодательства, а также Невыполнение в установленный
срок законного предписания, решения органа, уполномоченного в
области экспортного контроля
500 000 руб. + дисквалификация
должностного лица до 3-х лет
137
УК
Незаконное собирание или распространение сведений о частной
жизни лица, составляющих его личную или семейную тайну, без его
согласия
300 000 руб. + исправительные
работы на срок до 240 часов +
арест до 6-ти месяцев
90
ТК
Нарушение норм, регулирующих получение, обработку и защиту
персональных данных работника
увольнение
А что в жизни?

432 проверки (284 плановые и 148 внеплановые)

557 предписаний об устранении нарушений

54 протокола об административных правонарушениях
(ст. 19.7 КоАП)

84 материала проверок направлено в прокуратуру (ст.
13.11 КоАП)

Общая сумма штрафов 20 600р.
Источник: Доклад Л.Васильевой Роскомнадзор 2010
Постановление Правительства РФ
от 17.11.2007 г. № 781

Безопасность ПД направлена на исключение несанкционированного доступа к
ним в результате которого возможно их уничтожение, изменение, блокирование,
копирование и распространение

Положение об обеспечении безопасности ПДн при их обработке в ИСПДн

возлагает на ФСТЭК России и ФСБ России разработку методов и способов защиты ПД в
информационных системах

возлагает на оператора ПД задачу обеспечения безопасности ПД и обязанность
классификации ИС

устанавливает, что работы по обеспечению безопасности ПД являются неотъемлемой
частью работ по созданию ИС ПД

устанавливает, что средства защиты ПД должны пройти оценку соответствия (в ФСТЭК
России и ФСБ России)

определяет, что достаточность принятых мер по обеспечению безопасности ПД
оценивается при проведении государственного контроля и надзора
Документы ФСТЭК России (до 05.03.2010)

«Порядок проведения классификации информационных систем ПД»
Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20

«Базовая модель угроз безопасности ПД при их обработке в ИС ПД»

«Методика определения угроз безопасности ПД при их обработке
в ИС ПД»

«Основные мероприятия по организации и техническому обеспечению
безопасности ПД, обрабатываемых в ИС ПД»

«Рекомендации по обеспечению безопасности ПД при их обработке
в ИС ПД»
Утверждены заместителем директора ФСТЭК России 14 - 15 февраля 2008 г.
Ситуация после 5 февраля 2010г

«Об утверждении Положения о методах и способах защиты
информации в информационных системах персональных данных»
Приказ ФСТЭК России от 5 февраля 2010 г. № 58

Решение ФСТЭК России от 5 марта 2010 г.
Утверждено первым заместителем директора ФСТЭК России

«В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 … не
применять с 15 марта 2010 г. для обеспечения безопасности персональных
данных при их обработке в информационных системах персональных данных
следующие методические документы ФСТЭК России:
o
Основные мероприятия по организации и техническому обеспечению безопасности
персональных данных, обрабатываемых в информационных системах персональных
данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
o
Рекомендации по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных, утвержденные заместителем
директора ФСТЭК России 15 февраля 2008 г.
Документы ФСТЭК России (после 15.03.2010)

«Порядок проведения классификации информационных систем ПД»
Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20

«Базовая модель угроз безопасности ПД при их обработке в ИС ПД»

«Методика определения угроз безопасности ПД при их обработке
в ИС ПД»

«Об утверждении Положения о методах и способах защиты информации в
информационных системах персональных данных»
Приказ ФСТЭК России от 5 февраля 2010 г. № 58
Приказ ФСТЭК № 58

Приказ издан с соблюдением всех процессуальных норм (в отличии от предыдущих
нелегитимных)




опубликована в открытой печатип
зарегистрирована в МинЮсте
подписан руководителем ФСТЭК
Приложение к приказу описывает основные требования ФСТЭК к защите ИСПДн

«Положение о методах и способах защиты информации в информационных системах
персональных данных»
o
Призван заменить 2 отмененных документа

Структура стала более четкой, формулировки содержат меньше противоречий

Несколько снижен уровень требований (2 класс ИСПДн переведен в 3)

Организационные моменты

отсутствуют требования по обязательной аттестации и декларированию информационных
систем персональных данных
o

Оценка на соответствие все равно требуется (п 2.1), но критерии заданы только для класса 1
ИСПДн
отсутствуют требования по лицензированию операторов
o
Согласно ФЗ -128 (ст. 17) «О лицензирование отдельных видов деятельности» деятельность по
технической защите конфиденциальной информации лицензируется
Порядок проведения классификации ИСПДн
Установлены следующие категории ПД

категория 1 - ПД, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных и
философских убеждений, состояния здоровья, интимной жизни

категория 2 - ПД, позволяющие идентифицировать субъекта ПД и
получить о нем дополнительную информацию, за исключением
ПД, относящихся к категории 1

категория 3 - персональные данные, позволяющие
идентифицировать субъекта ПД

категория 4 - обезличенные и (или) общедоступные ПД.
Пункт 6 Приказа №55/86/20
Порядок проведения классификации ИСПДн
ИС, обрабатывающие ПД, делятся по объему ПД на:

ИС, обрабатывающие ПД менее чем о 1000 субъектах ПД;

ИС, обрабатывающие ПД о 1000 – 100 000 субъектах ПД;

ИС, обрабатывающие ПД более чем о 100 000 субъектах ПД.
Пункт 7 Приказа №55/86/20
Порядок проведения классификации ИСПДн
ИС, обрабатывающие ПД, делятся на типовые и специальные:

Типовые ИС - информационные системы, в которых требуется
обеспечение только конфиденциальности ПД;

Специальные ИС - системы, в которых вне зависимости от необходимости
обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну
из характеристик безопасности ПД, отличную от конфиденциальности
(защищенность от уничтожения, изменения, блокирования, а также иных
несанкционированных действий)
Пункт 8 Приказа №55/86/20
Построение системы защиты ИСПДн


Для специальных ИС

«Базовая модель угроз безопасности ПД при их обработке в ИС ПД»

«Методика определения угроз безопасности ПД при их обработке
в ИС ПД»
Для типовых ИС, согласно классу (К1-К4)

Об утверждении Положения о методах и способах защиты информации в
информационных системах персональных данных»
Приказ ФСТЭК России от 5 февраля 2010 г. № 58
Порядок проведения классификации ИСПДн
В зависимости от последствий нарушений заданной
характеристики безопасности ПД, типовой ИС
присваивается один из классов:

класс 1 (К1) - ИС, для которых нарушения могу привести к значительным
негативным последствиям для субъектов ПД;

класс 2 (К2) - ИС, для которых нарушения могут привести к негативным
последствиям для субъектов ПД;

класс 3 (К3) - ИС, для которых нарушения могут привести к
незначительным негативным последствиям для субъектов ПД;

класс 4 (К4) - ИС, для которых нарушения не приводят к негативным
последствиям для субъектов ПД.
Пункт 14 Приказа №55/86/20
Порядок проведения классификации ИСПДн
Класс типовой ИС выбирается по таблице:
Пункт 15 Приказа №55/86/20
Классификация по уровню контроля отсутствия
недекларированных возможностей




1.1. Классификация распространяется на ПО, предназначенное для
защиты информации ограниченного доступа.
1.2. Устанавливается четыре уровня контроля отсутствия
недекларированных возможностей. Каждый уровень
характеризуется определенной минимальной совокупностью
требований.
…
1.5 Самый низкий уровень контроля - четвертый, достаточен для
ПО, используемого при защите конфиденциальной информации.
Руководящий документ Гостехкомиссии №114 от 4.06.99 г.
Сертификат сертификату – рознь!!!
Сертификаты ЛК
Выборка из госреестра сертифицированных СЗИ
(21.09.2009)
Государственные структуры
Для средств защиты от вредоносного ПО, относимых, согласно
системе сертификации средств защиты информации по
требованиям безопасности информации Гостехкомиссии
России (№ РОСС RU.0001.01БИ00) к средствам защиты от НСД,
требуется сертификат, подтверждающий уровень контроля
отсутствия недекларированных возможностей не ниже 4-го
для всех информационных систем обработки персональных
данных, кроме систем класса К4
Приказ Минкомсвязи РФ №104 от 25.08.2009

Настоящие требования распространяются на федеральные государственные информационные системы,
созданные или используемые в целях реализации полномочий федеральных органов исполнительной
власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской
Федерации и федеральных органов исполнительной власти, обязательных для размещения в
информационно-телекоммуникационной сети Интернет, утвержденном постановлением Правительства
Российской Федерации от 12 февраля 2003 г. N 98 "Об обеспечении доступа к информации о
деятельности Правительства Российской Федерации и федеральных органов исполнительной власти"
(Собрание законодательства Российской Федерации, 2003, N 7, ст. 658; 2008, N 48, ст. 5627) (далее информационные системы общего пользования).



10. При создании и эксплуатации информационной системы общего пользования класса I:


К классу I относятся информационные системы общего пользования: Правительства Российской Федерации,
федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых
осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных
этим федеральным министерствам.
К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти,
за исключением перечисленных в подпункте 9.1.
используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные
средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком,
определенным Федеральной службой безопасности Российской Федерации;
11. При создании и эксплуатации информационной системы общего пользования класса II:

используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные
средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком,
определенным их производителем;
Что есть сертифицированные продукты
Было:
 Kaspersky OpenSpace Security Media Pack
C августа 2009:
 Kaspersky WorkSpace Security Certified Media Pack
 Kaspersky BusinessSpace Security Certified Media Pack
 Kaspersky EnterpriseSpace Security Certified Media Pack
 Kaspersky Open Space Security Certified Media Pack Customized
Важно: cертифицируются не лицензии,
сертифицируются дистрибутивы!!!
Что внутри …




Дистрибутив с сертифицированной
версией
Формуляр
Голограмма ФСТЭК
Заверенная копия сертификата
Благодарю за внимание!
Алексей Лафицкий
группа консалтинга и предпродажной поддержки
Alexey.Lafitsky@kaspersky.com