четверг, 20 марта 2014 г.

СЗПДн. Семинар “Защита персональных данных по новым требованиям”

За последний год существенно обновилось законодательство РФ в области защиты ПДн. Возник новый виток интереса Заказчиков к этой теме. Многие задают вопросы и размораживают проекты по защите ПДн.  

Компания Микротест проводит 27 марта для клиентов в Москве семинар по посвященный организации защиты персональных данных по новым требованиям, вступившим в силу в 2013 и 2014 году.

Сотрудники Микротеста поделятся информацией о правильном подходе к выполнению этих требований, решением интересных задач из  реализованных проектов.

Меня также пригласили выступить на семинаре. Буду рассказывать про “новые” требования ПП №1119 (кратко), приказа №21 ФСТЭК Р (подробнее), проекта приказа ФСБ по защите персональных данных. Разберу интересные темы из информационных сообщений ФСТЭК Р и Методического документа ФСТЭК Р. Рассмотрю как на защиту ПДн сказываются документы Роскомнадзора – приказ и методические указания по обезличиванию ПДн и публичные разъяснения по биометрическим ПДн.

Расскажу про порядок выполнения мероприятий по защите ПДн, каким его видит компания Микротест, в соответствии с требованиями законодательства. (про это я уже писал краткую статью, но на семинаре обсудить будет куда интереснее), про изменения по сравнению со старыми требованиями.

Поделюсь кейсами из проектов, в которых довелось поучаствовать – как удавалось оптимизировать ИСПДн, типизировать ИСПДн, выбирать нестандартные решения  для оптимизации затрат, как правильнее всего выбирать меры защиты с участием заказчика.

Также на семинаре будет выступать представитель Роскомнадзора, который расскажет про практику проведения проверок. Я думаю, будет очень интересно послушать – позволит компаниям избежать досадных ошибок и готовится к проверке заранее.

Регистрация на семинар ещё открыта, но количество мест ограничено – успевайте записаться.


понедельник, 17 марта 2014 г.

СЗПДн. Анализ. Нужно моделирование угроз обработчика ПДн!!


Продолжу предыдущую статью об обязанностях обработчика и необходимости оператором  выполнения ряда мероприятий за обработчика. Рассмотрим два типа обработки ПДн по поручению:
1.      широкий круг Обработчиков выполняет схожий набор действий с ПДн (обработку)
2.      только один Обработчик выполняет для данного Оператора определенный набор действий ПДн (обработку)
Примерами первого типа являются:
·        оператор сотовой связи и дилеры (собирает данные клиентов для заключения договора)
·        банк и платежные агенты (собирают данные для платежей)
·        банк и коллекторские агенства (используют данные для связи с клиентом)
·        банк и организации - клиенты по зарплатному проекту (передают данные для платежей)
·        организации и курьерские компании, доставляющие что-либо клиентам (используют данные для доставки)
·        страховая компания и страховые агенты (собирает данные клиентов для заключения договора)
·        авиа/жд/авто транспортные компании и агенты (собирает данные для оформления билета)
·        Министерство обороны Российской Федерации и организации (собирают и передают данные сотрудников для воинского учета)
·        ФОМС и организации (собирают и передают данные сотрудников для медицинского страхования)
·        ПФР и организации (собирают и передают данные сотрудников для пенсионного страхования)
·        Росстат и организации (собирают и передают данные сотрудников для статистического учета)
·        ФНС и организации (собирают и передают данные сотрудников для налогового учета)
·        ФМС и организации (собирают и передают данные сотрудников для миграционного учета)
·        Росминтруд, Роструд  и организации (собирают и передают данные сотрудников для социальной защиты)
·        Рособразования и школы (собирают и передают данные учащихся) и т.п.

В варианте первого типа обработки ПДн Оператору хорошо известно, какие действия выполняет обработчик с ПДн, как взаимодействует Обработчик с ИС, скорее всего такая деятельность хорошо регламентирована самим Оператором (договор, приказ, правила, порядки, инструкции)  и скорее всего применяется автоматизация обработки – Обработчик использует ИС Оператора.

Учитывая это, у Оператора есть вся необходимая информация, чтобы разработать высокоуровневую модель угроз , выбрать перечень мер ОБПДн (дополненный уточненный адаптированный базовый набор мер) и даже определить конкретные способы реализации мер (если обработчик использует ИС Оператора).

В то же время у Обработчика первого типа нет полной картины процессов обработки (обработчику поручили какой-то кусок операций, для чего они выполняются он может и не знать), нет информации для оценки возможного вреда и соответственно для построения адекватной модели угроз.

Ещё один аргумент – экономический. Оператор один, а Обработчиков у него может быть десятки/сотни/тысячи. Разработка модели угроз для охватывающей как Оператора так и Обработчиков повлечет, в худшем случае, двойные трудозатраты, но приведет к экономии в десятки/сотни/тысячи раз для множества этих компаний.

Если отдать выбор мер защиты полностью на усмотрение Обработчику, то возможны следующие проблемы:
·        применение несовместимых мер защиты Обработчиком и Оператором (например, обработчик решит, что необходима сертифицированная криптография, а оператор что криптография не требуется и будет использовать западные средства защиты, или Оператор определит что для управления доступом будут использоваться наложенные СЗИ, а Обработчик решит что нужно применять возможности самой ИС и сертифицировать её)
·        применение дублирующих мер защиты
·        применение сильно различающихся по составу наборов мер защиты; это позволит злоумышленнику для атаки на систему в целом использовать самого слабозащищенного Обработчика.

Все несовместимости, избыточности и слабости децентрализованного подхода по выбору мер защиты в итоге выражаются в дополнительных затратах по сравнению с централизованным, для обеспечения аналогичного уровня защищенности для тех же процессов обработки ПДн.

Рассмотрим обработчиков второго типа. Примеры:
·        компания и внешняя бухгалтерия
·        компания и ЧОП
·        компания и аутсорсер какого-либо бизнес-процесса
·        компания и хостинг (в случае оказания, каких либо доп. услуг)
·        компания и облачные сервисы (в случае оказания, каких либо доп. услуг)

При таком типе  обработки ПДн, Оператор, скорее всего, не может регламентировать все процессы Обработчика, но Оператору всё равно должны быть известны и понятны действия, выполняемые Обработчиком с ПДн (152-ФЗ это явно требует).

Так-же обычной практикой является уточнение состава мер защиты, применяемых Обработчиком, оценка возможного ущерба и даже моделирование угроз (как Алексей Волков делает это). Отдавать, защищаемую законом информацию в неизвестность никто не захочет. Ведь ответственность перед Субъектами  ПДн несет Оператор.


Выводы.
Если вы Оператор или выполняете работы по защите ПДн Оператора:
·        при анализе характеристик и описании ИС обязательно учитывайте процессы обработки ПДн выполняемые Обработчиками
·        при анализе возможного ущерба, включите анализу возможного ущерба в Обработчике (наверняка он будет меньше, так как обработчик задействован только для некоторых процессов и части данных)
·        при моделировании угроз учитывайте Обработчика ПДн (либо включаем его в ИС, либо выделяем отдельную типовую ИС Обработчика)
·        при выборе перечня мер ОБПДн (дополненный уточненный адаптированный базовый набор мер) готовим аналогичный или отдельный для Обработчика
·        при проектировании и выборе конкретных способов реализации мер крайне рекомендую учитывать и Обработчика. Можно не ограничивать его конкретными моделями/версиями/производителями средств защиты. Но включать в требования типы средств защиты можно и нужно. Например “межсетевой экран, сертифицированный ФСТЭК Р по 4-ому классу МЭ” “защищенные носители ключей электронной подписи в виде USB-ключа или смарт-карты”
·        в поручении Обработчику указывать кроме того что требуется законом (см. предыдущую статью), ещё и информацию о возможном вреде и результаты моделирования угроз обработчика - перечень актуальных угроз, для нейтрализации которых были выбраны меры. Если Обработчик посчитает что какие-либо угрозы избыточны для его процессов и аргументирует это, то Оператор может изменить требования.

Если вы Обработчик или выполняете работы по защите ПДн Обработчика:
·        определите все процессы для которых вы являетесь не Оператором, а обработчиком
·        не спешите проводить мероприятий по защите ПДн в данных процессах. Требования по защите ПДн вам должен предъявить оператор.  Если не предъявил – запрашивайте. Не дает – защищайте так, как принято для другой корпоративной информации, в соответствии с внутренними политиками
·        не проводите анализ возможного вреда (это обязанность Оператора), только если от вас явно не потребует это Оператор
·        не проводите моделирование угроз (это обязанность Оператора), только если от вас явно не потребует это Оператор
·        не проводите выбор мер защиты (это обязанность Оператора), только если от вас явно не потребует это Оператор
·        сохраняйте свидетельства выполнения тех требований, которые Оператор всё таки предъявил, так как в обязанность оператора входит оценка эффективности принимаемых мер – рано или поздно он запросит у вас эту информацию


PS: Пример поручения от Департамента образования (с моей точки зрения не корректен - нет четких требований по защите, нет требований по моделированию и выбору мер. фраза о необходимости соблюдения требований законодательства по защите - равносильна пустому множеству. нет других обязательных разделов)

PS: Пример поручения от Туроператора (с точки зрения защиты ПДн - корректен. вопросы обработки ПДн не описаны, но возможно это отдельный документ)

PS: Похожий пример от другого Туроператора (а тут уже с нарушением, конкретные меры по защите ПДн не предъявлены)

PS: Пример поручения от ФОМС (вроде все выполнено - но сгрузили все мероприятия на Обработчика, в том числе моделирование угроз и выбор мер защиты. я бы не советовал так делать)



СЗПДн. Анализ. Обязанности обработчика ПДн

К одной из недавних статей состоялось обсуждение в комментариях необходимости учета в модели угроз обработчика (лицо, осуществляющее обработку персональных данных по поручению оператора). Как и обещал, подробности представляю в виде отдельной статьи.
Для начала посмотрим на требования законодательства РФ. Обязанности по моделированию угроз, выбору мер защиты, необходимых для нейтрализации угроз,   лежат на операторе. Обработчик обязан соблюдать требования по защите ПДн, предъявляемые оператором. (Далее привожу обновленную табличку сравнения обязанностей, первую версию которой уже публиковал в одной из предыдущих статей)

Обязанности и ответственность Оператора
Обязанности и ответственность Обработчика
151-ФЗ. Общие
1.            
Соблюдение принципов обработки ПДн, определенных в статье 5
Соблюдение принципов обработки ПДн, определенных в статье 5
2.            
Ответственность перед субъектом ПДн за действия Обработчиков, которым поручал
Ответственность перед Оператором, который поручил обработку
3.            
Назначать ответственного за организацию обработки ПДн
-
152-ФЗ. При взаимодействии с Субъектом
4.            
Соблюдение условий обработки ПДн, определенных в части 1 статьи 6, в том числе получение согласия на обработку ПДн в случаях, не попадающих под исключения.
-
5.            
Предоставлять доказательства получения согласия
-
6.            
Вести перечень Обработчиков, которым поручил и включать этот перечень в согласие
-
7.            
Вести перечень действий с ПДн выполняемых как Оператором так и Обработчиком, которым поручил и включать этот перечень в согласие
-
8.            
Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн
Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн
9.            
При получении ПДн от третьих лиц  соблюдать условия в части 8 статьи 9 (требовать подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11)
Получение ПДн от третьих лиц должно быть разрешено в поручении Оператора
10.         
Разъяснять субъекту ПДн порядки, условия,  правила
-
11.         
Рассматривать возражения субъекта ПДн в ряде случаев
-
12.         
Предоставлять субъекту информацию об обработке в ряде случаев
-
13.         
Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн (в том числе обрабатываемыми Обработчиком по поручению)
Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн, по требованию Оператора, поручившего обработку
14.         
Давать мотивированные ответы субъекту в ряде случаев
-
15.         
Блокировать обработку ПДн в ряде случаев или обеспечить блокирование Обработчиком
Блокировать обработку ПДн по запросу Оператора, поручившего обработку
16.         
Уточнять ПДн в ряде случаев или обеспечить уточнение Обработчиком
Уточнять ПДн по запросу Оператора, поручившего обработку
17.         
Прекратить обработку ПДн в ряде случаев или обеспечить прекращение Обработчиком
Прекратить обработку ПДн по запросу Оператора, поручившего обработку
18.         
Уничтожить ПДн в ряде случаев или обеспечить уничтожение Обработчиком
Уничтожить ПДн по запросу Оператора, поручившего обработку
19.         
Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных 152-ФЗ и подзаконными актами
Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных 152-ФЗ и поручение оператора
20.         
Опубликовать политику обработки ПДн
-
152-ФЗ. При взаимодействии с Регуляторами
21.         
Предоставить Роскомнадзору набор внутренних нормативных актов по запросу
-
22.         
Предоставить Роскомнадзору информацию по запросу
-
23.         
Уведомить Роскомнадзор об обработке ПДн (в том числе перечень Обработчиков и перечень действий с ПДн, выполняемых обработчиками)
-
152-ФЗ. По защите ПДн
24.         
Убедится в адекватности защиты  ПДн иностранным государством при трансграничной передаче
Трансграничная передача должна быть разрешено в поручении Оператора
25.         
Принимать необходимые меры ОБ ПДн или обеспечивать их принятие Обработчиком
Принимать меры защиты ПДн требуемые поручение Оператора
26.         
В поручении Обработчику определять:
·     перечень действий c ПДн
·     цели обработки ПДн
·     ответственность по обеспечению конфиденциальности ПД
·     ответственность по обеспечению безопасности при обработке
·     ответственность за действия с ПДн
·     требования по защите ПДн
·     порядок взаимодействия Оператора и Обработчика при необходимости изменений перечня действий с ПДн
·     порядок взаимодействия Оператора и Обработчика при ознакомлении Субъекта с ПДн
·     порядок взаимодействия Оператора и Обработчика по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
-
ПП 1119
27.         
Обеспечивать безопасность персональных данных при их обработке в ИС
Обеспечивать безопасность персональных данных при их обработке в ИС
28.         
Осуществлять выбор средств защиты в соответствии с документами ФСБ Р и ФСТЭК Р
-
29.         
Определять тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда
-
30.         
Организовать режим обеспечения безопасности помещений ИСПДн
Организовать режим обеспечения безопасности помещений ИСПДн
31.         
Обеспечивать сохранность носителей персональных данных
Обеспечивать сохранность носителей персональных данных
32.         
Утверждение перечня лиц, допущенных к обработке ПДн в ИС
-
33.         
Назначение ответственного за ОБПДн в ИС
Назначение ответственного за ОБПДн в ИС
34.         
Организовать и проводить  контроль за выполнением требований ПП 1119
Организовать и проводить  контроль за выполнением требований ПП 1119
Приказ №21 ФСТЭК Р
35.         
Обеспечивать безопасность персональных данных при их обработке в ИС
Обеспечивать безопасность персональных данных при их обработке в ИС
36.         
Выбирать меры ОБПДн
-
37.         
При использовании сертифицированных СЗИ применять требуемые классы СЗИ
При использовании сертифицированных СЗИ применять требуемые классы СЗИ
38.         
Проводить оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных
-
Проект Приказа ФСБ Р
39.         
Обеспечивать применение организационных и технических мер, определенных в приказе
-
ПП 221 (перечень мер ОБПДн для государственных и муниципальных органов)
40.         
Назначать ответственного за организацию обработки персональных данных
-
41.         
Утверждать ОРД по обработке ПДн (правила, перечни, инструкции, обязательства, формы, порядки)
-
42.         
Принимать правовые, организационные и технические меры по ОБПДн из ПП 1119
-
43.         
При обработке ПДн, осуществляемой без использования средств автоматизации, выполнять требования ПП 687
-
44.         
Организовывать проведение периодических проверок условий обработки персональных данных
-
45.         
Осуществлять ознакомление служащих, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о ПДн и с ОРД по ПДн
-
46.         
Уведомлять РКН об обработке ПДн
-
47.         
Осуществлять обезличивание ПДн в ИСПДн
-

Конечно, оператор может поручить обработчику разработать ещё и модель угроз и самостоятельно выбрать контрмеры. Но стоит ли это делать?

Кроме требований законодательства, подключим холодный расчет.  Но об этом в следующей статье.