Защита персональных данных. Требования к антивирусному комплексу Лафицкий Алексей группа консалтинга и предпродажной поддержки Alexey.Lafitsky@kaspersky.com Немного предыстории 1981 г. Совет Европы принял Конвенцию «О защите личности в связи с автоматической об работкой персональных данных» 25.11.2005г. Государственная Дума ратифицировала данную Конвенцию ФЗ от 19.12.2005г. № 160ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных») o На Российскую Федерацию были возложены обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн ФЗ от 27.07.2006г. № 152ФЗ«О персональных данных» Закон вступил в силу в январе 2007 г. Нормативная база по вопросам ПДн Федеральные законы Постановления Правительства Российской Федерации ФЗ от 27.07.2006г. № 152ФЗ «О персональных данных» Постановление Правительства РФ от 17.11.2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" Документы уполномоченных федеральных органов ФСБ, ФСТЭК (ПП № 781) Федеральный закон № 152-ФЗ «О персональных данных» Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст.3.) Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки (ст.3.) Федеральный закон № 152-ФЗ «О персональных данных» Операторами … должна обеспечиваться конфиденциальность персональных данных, за исключением случаев, обезличенных и общедоступных персональных данных (ст. 7) Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий (ст. 19, ч. 1) Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке (ст. 19, ч. 2) Требования должны быть выполнены до 01.01.2010 г. Федеральные органы в области обеспечения безопасности и ПД ИТР и ТЗИ (ФСБ России и ФСТЭК России) осуществляют контроль и надзор Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством РФ ответственность Кратко об ответственности Статья Кодекс О чем статья? Максимальное наказание 13.11 КоАП Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) 10 000 руб. 13.12 КоАП Нарушение правил защиты информации, а также Использование несертифицированных средств защиты информации, если они подлежат обязательной сертификации, а также Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации 20 000 руб. + конфискация несертифицированных средств + приостановление деятельности на срок до 90 суток 19.4 КоАП Невыполнение законных требований должностного лица органа, уполномоченного в области экспортного контроля, а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей 10 000 руб. 19.5 КоАП Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства, а также Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля 500 000 руб. + дисквалификация должностного лица до 3-х лет 137 УК Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия 300 000 руб. + исправительные работы на срок до 240 часов + арест до 6-ти месяцев 90 ТК Нарушение норм, регулирующих получение, обработку и защиту персональных данных работника увольнение А что в жизни? 432 проверки (284 плановые и 148 внеплановые) 557 предписаний об устранении нарушений 54 протокола об административных правонарушениях (ст. 19.7 КоАП) 84 материала проверок направлено в прокуратуру (ст. 13.11 КоАП) Общая сумма штрафов 20 600р. Источник: Доклад Л.Васильевой Роскомнадзор 2010 Постановление Правительства РФ от 17.11.2007 г. № 781 Безопасность ПД направлена на исключение несанкционированного доступа к ним в результате которого возможно их уничтожение, изменение, блокирование, копирование и распространение Положение об обеспечении безопасности ПДн при их обработке в ИСПДн возлагает на ФСТЭК России и ФСБ России разработку методов и способов защиты ПД в информационных системах возлагает на оператора ПД задачу обеспечения безопасности ПД и обязанность классификации ИС устанавливает, что работы по обеспечению безопасности ПД являются неотъемлемой частью работ по созданию ИС ПД устанавливает, что средства защиты ПД должны пройти оценку соответствия (в ФСТЭК России и ФСБ России) определяет, что достаточность принятых мер по обеспечению безопасности ПД оценивается при проведении государственного контроля и надзора Документы ФСТЭК России (до 05.03.2010) «Порядок проведения классификации информационных систем ПД» Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Базовая модель угроз безопасности ПД при их обработке в ИС ПД» «Методика определения угроз безопасности ПД при их обработке в ИС ПД» «Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИС ПД» «Рекомендации по обеспечению безопасности ПД при их обработке в ИС ПД» Утверждены заместителем директора ФСТЭК России 14 - 15 февраля 2008 г. Ситуация после 5 февраля 2010г «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Приказ ФСТЭК России от 5 февраля 2010 г. № 58 Решение ФСТЭК России от 5 марта 2010 г. Утверждено первым заместителем директора ФСТЭК России «В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 … не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России: o Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.; o Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. Документы ФСТЭК России (после 15.03.2010) «Порядок проведения классификации информационных систем ПД» Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Базовая модель угроз безопасности ПД при их обработке в ИС ПД» «Методика определения угроз безопасности ПД при их обработке в ИС ПД» «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Приказ ФСТЭК России от 5 февраля 2010 г. № 58 Приказ ФСТЭК № 58 Приказ издан с соблюдением всех процессуальных норм (в отличии от предыдущих нелегитимных) опубликована в открытой печатип зарегистрирована в МинЮсте подписан руководителем ФСТЭК Приложение к приказу описывает основные требования ФСТЭК к защите ИСПДн «Положение о методах и способах защиты информации в информационных системах персональных данных» o Призван заменить 2 отмененных документа Структура стала более четкой, формулировки содержат меньше противоречий Несколько снижен уровень требований (2 класс ИСПДн переведен в 3) Организационные моменты отсутствуют требования по обязательной аттестации и декларированию информационных систем персональных данных o Оценка на соответствие все равно требуется (п 2.1), но критерии заданы только для класса 1 ИСПДн отсутствуют требования по лицензированию операторов o Согласно ФЗ -128 (ст. 17) «О лицензирование отдельных видов деятельности» деятельность по технической защите конфиденциальной информации лицензируется Порядок проведения классификации ИСПДн Установлены следующие категории ПД категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1 категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД категория 4 - обезличенные и (или) общедоступные ПД. Пункт 6 Приказа №55/86/20 Порядок проведения классификации ИСПДн ИС, обрабатывающие ПД, делятся по объему ПД на: ИС, обрабатывающие ПД менее чем о 1000 субъектах ПД; ИС, обрабатывающие ПД о 1000 – 100 000 субъектах ПД; ИС, обрабатывающие ПД более чем о 100 000 субъектах ПД. Пункт 7 Приказа №55/86/20 Порядок проведения классификации ИСПДн ИС, обрабатывающие ПД, делятся на типовые и специальные: Типовые ИС - информационные системы, в которых требуется обеспечение только конфиденциальности ПД; Специальные ИС - системы, в которых вне зависимости от необходимости обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну из характеристик безопасности ПД, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий) Пункт 8 Приказа №55/86/20 Построение системы защиты ИСПДн Для специальных ИС «Базовая модель угроз безопасности ПД при их обработке в ИС ПД» «Методика определения угроз безопасности ПД при их обработке в ИС ПД» Для типовых ИС, согласно классу (К1-К4) Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Приказ ФСТЭК России от 5 февраля 2010 г. № 58 Порядок проведения классификации ИСПДн В зависимости от последствий нарушений заданной характеристики безопасности ПД, типовой ИС присваивается один из классов: класс 1 (К1) - ИС, для которых нарушения могу привести к значительным негативным последствиям для субъектов ПД; класс 2 (К2) - ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД; класс 3 (К3) - ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД; класс 4 (К4) - ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД. Пункт 14 Приказа №55/86/20 Порядок проведения классификации ИСПДн Класс типовой ИС выбирается по таблице: Пункт 15 Приказа №55/86/20 Классификация по уровню контроля отсутствия недекларированных возможностей 1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа. 1.2. Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований. … 1.5 Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации. Руководящий документ Гостехкомиссии №114 от 4.06.99 г. Сертификат сертификату – рознь!!! Сертификаты ЛК Выборка из госреестра сертифицированных СЗИ (21.09.2009) Государственные структуры Для средств защиты от вредоносного ПО, относимых, согласно системе сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России (№ РОСС RU.0001.01БИ00) к средствам защиты от НСД, требуется сертификат, подтверждающий уровень контроля отсутствия недекларированных возможностей не ниже 4-го для всех информационных систем обработки персональных данных, кроме систем класса К4 Приказ Минкомсвязи РФ №104 от 25.08.2009 Настоящие требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети Интернет, утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 г. N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" (Собрание законодательства Российской Федерации, 2003, N 7, ст. 658; 2008, N 48, ст. 5627) (далее информационные системы общего пользования). 10. При создании и эксплуатации информационной системы общего пользования класса I: К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам. К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением перечисленных в подпункте 9.1. используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным Федеральной службой безопасности Российской Федерации; 11. При создании и эксплуатации информационной системы общего пользования класса II: используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным их производителем; Что есть сертифицированные продукты Было: Kaspersky OpenSpace Security Media Pack C августа 2009: Kaspersky WorkSpace Security Certified Media Pack Kaspersky BusinessSpace Security Certified Media Pack Kaspersky EnterpriseSpace Security Certified Media Pack Kaspersky Open Space Security Certified Media Pack Customized Важно: cертифицируются не лицензии, сертифицируются дистрибутивы!!! Что внутри … Дистрибутив с сертифицированной версией Формуляр Голограмма ФСТЭК Заверенная копия сертификата Благодарю за внимание! Алексей Лафицкий группа консалтинга и предпродажной поддержки Alexey.Lafitsky@kaspersky.com