Работа с перс. данными на примере облачного ПО для банковского и страхового сектора

Работа с перс. данными на
примере облачного ПО
для банковского и страхового
сектора
Макеева Анна, ООО «КроСистем»
anna@crosys.ru
www.crosys.ru
Кто имеет отношение к персональным данным
Оператор персональных
данных
(банк, бюро кредитных историй,
поставщики баз данных)
Субъект
персональных
данных
НЕСЕТ ВСЮ
ПОЛНОТУ
ОТВЕТСТВЕННОСТИ!
Персональные
данные
Разработчик
автоматизированных
систем обработки
данных
В ЗАКОНЕ НЕ
ОБОЗНАЧЕН!
International Association of Microsoft Certified Partners (IAMCP)
Федеральный закон №152-ФЗ
«О персональных данных»
Требование
Ст. 5 п. 1. Соответствие
принципам, установленным в
законе
Ст. 5 п. 2. Требование об
уничтожении персональных
данных по достижению цели их
обработки
Ст. 6 п. 1. Наличие письменного
согласия субъекта
персональных данных на их
обработку
Ст. 9 п. 3. Обязанность
предоставить доказательство
получения согласия
Кто отвечает
Способы обеспечения соответствия требованию
Оператор
1. Создание локального нормативного акта (далее - ЛНА), регулирующего
обработку персональных данных в процессе кредитования
Оператор
1. Определение целей обработки персональных данных и сроков их
хранения с целью достижения указанных целей в ЛНА.
Разработчик
(предусмотреть такую
возможность в системе)
2. Обеспечение возможности уничтожения персональных
достижении условий, обозначенных в ЛНА Оператора.
данных
по
1. Подписание согласия на обработку
Субъект
Оператор
2. Создание унифицированной формы согласия субъекта персональных
данных, обеспечение ее подписания субъектом и хранение в течение
установленного ЛНА срока.
Оператор
1. Описание в ЛНА системы мер по обеспечению конфиденциальности
информации (организационных, технических и т.д.)
Ст. 9. П. 4. Соблюдение формата
предоставления согласия
Ст. 7. П. 1 Обеспечение
конфиденциальности
полученных сведений
Разработчик
(предусмотреть такую
возможность в системе)
2. Приведение программных средств в соответствие с ЛНА Заказчика
(включая интеграцию криптографических и шифровальных средств)
International Association of Microsoft Certified Partners (IAMCP)
Федеральный закон №152-ФЗ
«О персональных данных»
Требование
Ст. 16 п. 1. Запрет на принятие
решений,
имеющих
юридические
последствия,
только
на
основании
автоматической
обработки
данных
Ст. 19 п. 1. Защита
персональных данных «от
неправомерного или
случайного доступа к ним,
уничтожения, изменения,
блокирования, копирования,
распространения персональных
данных, а также от иных
неправомерных действий»
Ст. 21 пп. 1-2 Блокировка ПД в
случае обнаружения их
недостоверности
Кто отвечает
Оператор
Оператор
Разработчик
(предусмотреть такую
возможность в системе)
Оператор
Разработчик
(предусмотреть такую
возможность в системе)
Способы обеспечения соответствия требованию
1. Приведение процесса выдачи кредита в соответствие с данным
требованием (окончательное утверждение решения сотрудником), и
описание данного процесса в ЛНА.
1. Описание в ЛНА системы мер по обеспечению защиты персональных
данных.
2. Приведение программных средств в соответствие с ЛНА.
1. Описание в ЛНА процесса уточнение у субъекта ПД его данных и снятие
блокировки. Определение лиц, ответственных за этот процесс.
2. Предоставление технических средств для блокировки обработки ПД в
случае подтверждения их недостоверности.
International Association of Microsoft Certified Partners (IAMCP)
Положение об обеспечении безопасности
персональных данных
при их обработке в информационных системах перс. данных
Требование
П. 2 абзац 2. Осуществление
защиты ПД с помощью системы
мер (организационных и
технических)
Кто отвечает
Оператор
Разработчик
(предусмотреть такую
возможность в системе)
П. 5. Прохождение процедуры
оценки соответствия
Не указан
П. 7. Защита каналов связи, по
которым проходит обмен ПД
Оператор
П. 10. Обеспечение
безопасности ПД при их
обработке в ИС
Оператор
(или уполномоченное
лицо)
Оператор
П. 11а. Несанкционированный
доступ
П. 12. Система мер по
обеспечению ПД
Разработчик
(предусмотреть такую
возможность в системе)
Оператор
Способы обеспечения соответствия требованию
1. Описание системы мер, применяемых Оператором для защиты ПД, в
ЛНА.
2. Обеспечение
соответствия
программных
средств
требованиям
законодательства РФ и Федеральной службы по техническому и
экспортному контролю и Федеральной службы безопасности РФ.
Приведение программных средств в соответствие с требованиями ЛНА
Заказчика.
1. Оператор несет полную ответственность по обеспечению безопасности
ПД при их обработке
1. Определение в ЛНА списка лиц, имеющих доступ к ПД, процедуры
допуска, а так же прав указанных лиц при обработке ПД.
2. Приведение программных средств в соответствие с ЛНА
1. Все меры, указанные в данном пункте, Оператор должен описать в ЛНА,
внедрить и контролировать.
International Association of Microsoft Certified Partners (IAMCP)
Положение об обеспечении безопасности
персональных данных
при их обработке в информационных системах перс. данных
Требование
Кто отвечает
Оператор
П. 15. Фиксация запросов к ИС в
журнале обращений
П. 16. Контроль за нарушениями
порядка работы с ПД и
создание системы работы со
случаями нарушений
Пп. 17-21. Обеспечение защиты
информации в средствах
защиты информации
Разработчик
(предусмотреть такую
возможность в системе)
Оператор
Разработчик
(предусмотреть такую
возможность в системе)
Способы обеспечения соответствия требованию
1. Определение формата фиксации информации о запросах и формата
хранения журнала обращений, а также установление периодичности
контроля журнала и ответственных лиц.
2. Обеспечение технической возможности ведения журнала обращений, а
также его соответствие требованиям Заказчика.
1. Определение регламента работы с ПД с использованием
информационных систем в ЛНА.
2. Обеспечение соответствия ПО требованиям НПА и ЛНА Заказчиков
Оператор
Разработчик
(предусмотреть такую
возможность в системе)
1. Примечание: на разработчиков средств защиты информации, а не самих
информационных систем
International Association of Microsoft Certified Partners (IAMCP)
Порядок проведения классификации
информационных систем персональных данных
(утв. Приказом Федеральной службы по техническому и экспортному контролю, ФСБ РФ и
Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20)
Требование
П. 2. Субъект, ответственный за
классификацию и исполнение
необходимых требований
Кто отвечает
Оператор
Способы обеспечения соответствия требованию
Данная обязанность, в соответствии с Приказом, возлагается
исключительно на Оператора, т.к. классификация ИС ПД во многом зависит
от конкретных условий ее использования, определяемых в ЛНА или
системе ЛНА Оператора.
International Association of Microsoft Certified Partners (IAMCP)
Следствия для разработчика
Требование закона «О персональных данных»
Следствие для разработчика
Запрещается принятие на основании исключительно автоматизированной
обработки персональных данных решений, порождающих юридические
последствия в отношении субъекта персональных данных или иным
образом затрагивающих его права и законные интересы, за исключением
случаев, предусмотренных частью 2 настоящей статьи
В системе не должно быть
автоматического принятия
окончательного решения, может
быть только рекомендация системы
В случае достижения цели обработки персональных данных оператор
обязан незамедлительно прекратить обработку персональных данных и
уничтожить соответствующие персональные данные в срок, не
превышающий трех рабочих дней с даты достижения цели обработки
персональных данных, если иное не предусмотрено федеральными
законами, и уведомить об этом субъекта персональных данных или его
законного представителя, а в случае, если обращение или запрос были
направлены уполномоченным органом по защите прав субъектов
персональных данных, также указанный орган.
Система должна обеспечивать
возможность оперативного и
полного удаления данных
Информационные системы персональных данных, созданные до дня
вступления в силу настоящего Федерального закона, должны быть
приведены в соответствие с требованиями настоящего Федерального
закона не позднее 1 января 2010 года.
Требуется доработка ранее
разработанных систем и их
приведение к соответствию с законом.
International Association of Microsoft Certified Partners (IAMCP)
Критерии классификации систем
Категория
обрабатываемых
данных
Объем
обрабатываемых
данных
Классификация осуществляется в соответствии с приказом ФСТЭК, ФСБ и Мининформсвязи от
13 февраля 2008 г. N 55/86/20 "Об утверждении порядка проведения классификации
информационных систем персональных данных".
International Association of Microsoft Certified Partners (IAMCP)
Категории персональных данных
Категория 1
Категория 2
Персональные данные, касающиеся расовой принадлежности,
политических взглядов, религиозных философских убеждений,
состояния здоровья
Персональные данные, позволяющие идентифицировать субъекта
персональных данных и получить о нем дополнительную
информацию, за исключением персональных данных, относящихся к
категории 1
Категория 3
Персональные данные, позволяющие идентифицировать субъекта
персональных данных
Категория 4
Обезличенные персональные данные
International Association of Microsoft Certified Partners (IAMCP)
Объем обрабатываемых данных
Категория 1
В информационной системе одновременно обрабатываются
персональные данные о более 100 000 субъектов
Категория 2
В информационной системе одновременно обрабатываются
персональные данные от 1000 до 100 000 субъектов
Категория 3
В информационной системе одновременно обрабатываются
персональные данные менее, чем 1000 субъектов
International Association of Microsoft Certified Partners (IAMCP)
4 класс информационной системы
Информационные системы, для которых нарушение заданной характеристики
безопасности персональных данных, обрабатываемых в них, не приводит к
негативным последствиям для субъектов персональных данных.
Следствие для разработчика:
относительно стандартные приемы разработки без специальных
условий.
International Association of Microsoft Certified Partners (IAMCP)
3 класс информационной системы
Информационные системы, для которых нарушение заданной характеристики
безопасности персональных данных, обрабатываемых в них, может привести к
незначительным негативным последствиям для субъектов персональных
данных.
Следствие для разработчика:
Управление доступом
- идентификация и проверка подлинности пользователя при входе в по паролю
условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Регистрация и учет пользователей - регистрация входа (выхода) пользователя в систему (из системы).
Обеспечение целостности
- контроль целостности своей программной и информационной части.
Целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов)
компонентов системы защиты персональных данных, целостность программной среды обеспечивается
отсутствием в информационной системе средств разработки и отладки программ.
Периодическое тестирование функций системы
защиты персональных данных при изменении
программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки
несанкционированного доступа.
Наличие
средств
восстановления
системы
предусматривающих ведение двух копий программных
периодическое обновление и контроль работоспособности.
защиты
компонентов
персональных
средств
International Association of Microsoft Certified Partners (IAMCP)
защиты
данных,
информации,
их
2 класс информационной системы
Информационные системы, для которых нарушение заданной характеристики
безопасности персональных данных, обрабатываемых в них, может привести к
негативным последствиям для субъектов персональных данных.
Следствие для разработчика:
Требования к системам 3 класса
+
Применение средств межсетевого экранирования при использовании
подключения к Internet.
International Association of Microsoft Certified Partners (IAMCP)
1 класс информационной системы
информационные системы, для которых нарушение заданной характеристики
безопасности персональных данных, обрабатываемых в них, может привести к
значительным негативным последствиям для субъектов персональных данных.
Следствие для разработчика:
Требования к системам 2 класса
+
Регистрация выдачи печатных (графических) документов на бумажный носитель - дата и время выдачи (обращения к
подсистеме вывода), краткое содержание документа (наименование, вид, код), спецификация устройства выдачи (логическое
имя (номер) внешнего устройства).
Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета.
Дублирующий учет защищаемых носителей информации.
Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и
внешних носителей информации;
Регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки
персональных данных - дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор
пользователя, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный).
Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор
пользователя, спецификация защищаемого файла.
Регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам,
техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам,
записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с
указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта
(логическое имя (номер)).
International Association of Microsoft Certified Partners (IAMCP)
International Association of Microsoft Certified Partners (IAMCP)
Суммарные требования к классам систем
Требование к системе
1 Класс
2 Класс
Управление доступом
Регистрация и учет пользователе
Обеспечение целостности
Периодическое тестирование функций системы
Наличие средств восстановления системы защиты
персональных данных
Применение средств межсетевого экранирования
Регистрация выдачи печатных (графических) документов на
бумажный носитель
Учет всех защищаемых носителей информации
Дублирующий учет
Очистка (обнуление, обезличивание) освобождаемых
областей оперативной памяти
Регистрация запуска (завершения) программ и процессов
Регистрация попыток доступа программных средств
Регистрация попыток доступа программных средств к
дополнительным защищаемым объектам доступа
International Association of Microsoft Certified Partners (IAMCP)
3 Класс
4 Класс
Последствия законодательства для облака
?
Система
обработки
данных
?
Не очевидно как и где
хранятся и
обрабатываются
данные, кто несет
ответственность.
По законодательству ответственность будет нести
организация, предоставляющая хостинг для системы (хранящая у
себя информацию)
Системы в облаке без
специальной регистрации
могут обрабатывать
информацию, не
относящуюся к
персональной (например, о
юридических лицах)
Организация, предоставляющая
хостинг, получает статус
оператора персональных
данных
International Association of Microsoft Certified Partners (IAMCP)
Использование системы в
частном облаке между
организациями кредитнофинансового сектора, где одна
из организация (или все)
сертифицировали систему
должным образом и имеют
необходимые статусы