пятница, 24 декабря 2010 г.

СЗПДн. Анализ. Основания и сроки обработки ПДн

Одни из наиболее частых вопросов, возникающих при обработке ПДн - это как определить сроки обработки ПДн и что делать если субъект ПДн отозвал согласие на обработку ПДн.

В принципе ничего сложного в этих вопросах нет. Надо для каждой цели обработки ПДн и для каждого типа субъектов ПДн, определить основания для обработки ПДн (не считая согласия) и сроки обработки ПДн установленные в различных нормативных документах.

Как видно из приведенной ниже таблицы, в большинстве случаев при отзыве согласия или прекращении действия договора не требуется немедленное уничтожение ПДн.

Результатом анализа будет например следующая таблица:
Наименование ИСПДн
Правовое основание для обработки ПДн(законодательный акт/статья, другие юридические документы)
Сроки и основание для хранения ПДн
ИСПДн обработки клиентских данных
1) Договор с клиентом
2) ГК РФ
1) До окончания срока договора
2) 3 года после окончания договора, для исков - Статья 196. ГК РФ
3) 5 лет после окончания договора - Пункт 220, 436 Перечня утвержденного приказом инистерство культуры российской федерации от 25 августа 2010 г. № 558
4) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки ПДн для пропуска посетителей
Согласие на обработку
1) архивное хранение - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки данных покупателей оборудования
Договор с покупателем
1) 5 лет после окончания договора - Пункт 220, 436 Перечня утвержденного приказом инистерство культуры российской федерации от 25 августа 2010 г. № 558
2) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки бухгалтерских данных сотрудников
1) Договор с сотрудником
2) Федеральный закон №213-ФЗ от 24.07.09 "О страховых взносах в ПФ РФ, ФСС, ФФОМС и ТФОМС.
3) Налоговый кодекс РФ
4)Гражданский кодекс
1) До окончания срока договора с сотрудником
2) Не менее пяти лет после года, в котором они использовались для составления бухгалтерской отчетности в последний раз - ст. 17 ФЗ-129 "О бухгалтерском учете" от 21.11.1996
3) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182

четверг, 16 декабря 2010 г.

Обучение. Вебинар Информзащиты - особенности обеспечение безопасности ПДн Медицинских учреждений

Сегодня участвовал в этом вебинаре.
Ключевые моменты:
  • ЛПУ - это операторы ПДн
  • Есть примеры что ЛПУ проверяет Роскомнадзор. Возбуждены дела об административном нарушении.
  • Чаще всего в ЛПУ обрабатываются специальные категории ПДн. Следовательно на любые действия с ПДн необходимо письменное согласие субъекта ПДн. В том числе становится проблематичным использование сторонних ЦОД, сервисов и обслуживающих организаций. В то же время ЛПУ обязаны передавать информацию в ФОМС, страховые компании и т.п.
  • Методрекомендации Минздравсцразвития имеют существенные недостатки. Не учитывают приказа 58, противоречат ПП и т.п.
  • Дальше пошло описание подхода Информзащиты к защите ПДн без всякой привязки к медицинским учреждениям.
  • Необходимо получение лицензии для всех ЛПУ. Рекомендуют использовать услуги лицензиатов. Спорное утверждение что эксплуатация СЗПДн не относится к технической защите.
  • Далее было краткое описание СЗИ Кода безопасности без какой-либо привязки к медицинским учреждениям
В части вопросы-ответы было интереснее:
1) Необходимость передачи ПДн специальной категории по телефону при вызове скорой помощи - можно использовать робота-автоотвечик, предупреждающего позвонившего. Придется ставить Call-центр.
2) При передаче данных в ОМС, согласие не требуется, так как необходимость определена законом. Но при этот 44 статья определяет максимальный перечень передаваемых ПДн. Если он будет большим - то требуется согласие.
3) Методические рекомендации - потому и рекомендации что их не обязательно выполнять, но при желании можно руководствоваться.
4) При работе с тонких клиентов - достаточно обеспечить невозможность несанкционированного личного доступа к терминалу и этого достаточно (момент спорный, зависит от того насколько тонкий клиент)
5) Передача ФИО - это передача обезличенных данных (спорный момент, в ряде случаев по ФИО можно однозначно определить субъекта)
6) Передача номера паспорта - это передача обезличенных данных
7) В терминальных решениях - мы ставим на сервер терминалов и на серверах приложений - клиентов СЗИ.
8) ФИО + дата рождения + мед данные - это необезличенные данные 1-ой категории.
9) Внеплановые проверки по ПДн по жалобам субъектов теперь исключены. Но сотрудник может пожаловаться на несоблюдение трудового кодекса и к вам придет совместная проверка Роскомнадзора и Роструда


Удивила фраза Михаила Емельянникова "я не работаю с МИАЦ и не работаю с поликлиниками, я не могу сказать как у них делается подключение".



вторник, 14 декабря 2010 г.

СОИБ. Проектирование. Разработка регламентов по безопасности



При разработке регламентов по информационной безопасности возникла необходимость в стандартизации. Для планирования регламента для конкретного заказчика очень удобным получилась методология EPC (Event-driven process chain - событийная цепочка процессов)




Диаграмма, описанная в нотации EPC, представляет собой упорядоченную комбинацию событий и функций. Для каждой функции могут быть определены начальные и конечные события, участники, исполнители и документальные потоки, сопровождающие её.

Для разработки есть бесплатная утилита Aris Express http://www.ariscommunity.com/aris-express, в которой можно выполнить планирование и экспортировать результаты для того чтобы продолжить оформление регламента в Microsoft Word.


среда, 1 декабря 2010 г.

СЗПДн. Анализ. Косить с КС2

Давно занимает дилема с моделью нарушителя безопасности ПДн.

В соответствии с методическими документами ФСБ России, если мы определяем что для нас актуальным является внутренний нарушитель - то есть сотрудник имеющий доступ к штатным средствам обработки информации - то мы приходим к нарушителю Н2 и соответственно к уровню криптографической защиты КС2.

Но уровень КС2 очень не удобен, когда речь идет о защите VPN для удаленных пользователей. Ведь тогда придется использовать электронные замки. Соответственно решение по удаленному доступу сразу теряет половину своих преимуществ (придется для каждого ноутбука подбирать индивидуальное средство).

Если мы объявляем и обосновываем, что внутренний нарушитель у нас не актуален и все сотрудники доверенные лица, можно использовать КС1. Но мы начинаем противоречить факту, что 80% наиболее опасных нарушений ИБ выполняется именно внутренними нарушителями.