Особенности защиты персональных данных в организациях малого и среднего бизнеса Марков Алексей Сергеевич, к. т. н. , с. н. с. , CISSP, SBCI, Генеральный директор ЗАО «НПО «Эшелон»
Российский бизнес: Актуальные вопросы § Выполнять или не выполнять требования? § Если выполнять, то как минимизировать расходы? § Если выполнять, то когда? 2
Малый и средний бизнес § К малому и среднему бизнесу отнесены компании, где: • Средняя численность работников до 100 и до 250 чел. соответственно; • Выручка от реализации товаров (работ, услуг) без учета налога на добавленную стоимость или балансовая стоимость активов (остаточная стоимость основных средств и нематериальных активов) за предшествующий календарный год не должна превышать 400 млн. руб. и 1 млрд. руб. соответственно. ФЗ № 209 "О развитии малого и среднего предпринимательства в Российской Федерации", ст. 4. 3
Малый и средний бизнес Немного статистики Малый и средний бизнес – это: § 92 -96% всех субъектов хозяйственной деятельности § >56% ИТ- бюджета страны § более 8 млн. компаний 4
Малый и средний бизнес Неоднородность – нет единого похода Малый и средний бизнес неоднороден по многим показателям: § уровень образования и квалификация сотрудников § IT-уровень и уровень внутреннего менеджмента § ИБ-уровень, опыт защиты информации ограниченного доступа § степень обработки государственного информационного ресурса § значимость для компании обработки (информационных услуг) ПДн и категория обрабатываемых ПДн и др. 5
Малый и средний бизнес Проблемные сегменты МСБ Причины, по которым в компаниях МСБ затруднена защита ПДн § Дефицит бюджета § Дефицит ИБ-специалистов § Специализированные уникальные IT-решения § Непонимание или отсутствие опыта защиты информации ограниченного доступа и др. 6
Малый и средний бизнес Статистика (выборка из практики) 7
Защищать персональные данные? Аргументы «за» : Мы имеем: • Законодательство • Нормативно-методические требования • Уголовная, административная и иная ответственность • Проверки со стороны регуляторов • Судебная практика • Положительные примеры создания систем защиты ПДн 8
Анализ рисков: возможный ущерб от нарушений Что может быть в случае невыполнения требований: § Остановка деятельности § Прямой материальный ущерб § Косвенный материальный ущерб § Нематериальный ущерб (имидж) § Ущерб моральной концепции компании (коллектива) § Персональный ущерб (смена руководителя, его ответственность) 9
Анализ рисков: возможный ущерб от нарушений Вероятность проверок § Плановые проверки регуляторов § Внеплановые проверки регуляторов § Перекрестные и смежные проверки Инциденты, жалобы сотрудников и недобросовестная конкуренция Недобросовестные партнеры и соисполнители 10
Анализ рисков: возможный ущерб от нарушений Плановые проверки § Роскомнадзор – 3 829 проверок МСБ (план 2010) www. rsoc. ru/plan-and-reports/contolplan/ § ФСБ России § ФСТЭК России § Прокуратура: сводный план проверок 79. 125. 23. 79 § Другие … 11
План некоторых проверок на 2010 год 1 2 3 ! Утверждён план проверок Роскомнадзора субъектов предпринимательства на 2010 год по выполнению требований 152 -ФЗ. 12
Текущее состояние процесс защиты ПДн Отношение СМБ пока настороженное § Число субъектов СМБ – более 8 000 § Число зарегистрированных операторов ПДн (Роскомнадзор) – 82 105 § Число лицензиатов ФСТЭК России (ТЗКИ) – 863 13
С чего начать? Два пути организации защиты ПДн 1. Организация защиты персональных данных как продолжение защиты информации ограниченного доступа (конфиденциальной информации) 2. Организация защиты информации с «нуля» ? 14
Общность организации защиты информации ограниченного доступа и защиты ПДн Традиционные требования по защите конфиденциальной информации (СТР-К) ЧТЗ, ТП, модель нарушителя, модель угроз Лицензии по ТЗКИ Сертифицированные СЗИ Аттестованные объекты информатизации Организационно-распорядительная и эксплуатационная документация на АСЗИ Наличие квалифицированных специалистов Дополнительные требования (мет. документы по ПДн) Идентификация и классификация ИСПДн Частная модель угроз – оптимизация системы ЗИ Доп. организационно-распорядительная документация Возможна модернизация СЗИ (ИСПДн К 1), а также доп. СЗИ 15
Построение системы защиты ПДн Основные этапы § Обследование информационной системы и объекта информатизации § Проектирование системы защиты персональных данных § Макетирование системы защиты персональных данных § Реализация системы защиты персональных данных § Сертификация СЗИ, проверка СЗИ и ПО на отсутствие недекларированных возможностей (при необходимости) § Аттестация (декларация) ИСПДн по требованиям безопасности § Обучение персонала § Подготовка к получению лицензии ФСТЭК России на ТЗКИ § Сопровождение системы защиты персональных данных 16
Построение системы защиты ПДн Ключевые требования по защите ПДн § Должны быть выполнены необходимые организационные и технические мероприятия в зависимости от класса ИСПДн § Средства защиты информации должны быть сертифицированы § Программное обеспечение должно пройти отсутствие недекларированных возможностей проверку на § ИСПДн К 1, К 2 (К 3) должны быть аттестованы по требованиям безопасности информации 17
Построение системы защиты ПДн Проблемные вопросы практической реализации § Лицензирование деятельности по ТЗИ. § Дополнительные требования к составу и возможностям СЗИ § Необходимость сертификации СЗИ при отсутствии соответствующего сертификата. § Предоставление разработчиками исходных кодов для проведения процедуры сертификации ПО на отсутствие НДВ § Аттестация и декларация ИСПДн § Ограниченные сроки – уже до 01. 11! § Необходимость дополнительных инвестиций 18
Построение системы защиты ПДн Перечень применяемых СЗИ в ИСПДн • средства предотвращения несанкционированного доступа • антивирусные средства • средства защиты информации при межсетевом взаимодействии • средства анализа защищенности • средства обнаружения вторжений • криптографические средства защиты информации • средства от утечки за счет ПЭМИН (для 1 -2 класса ИСПДн К 1, 2)
Средства защиты информации Сертифицированы в ФСТЭК России § СЗИ для ИСПДн К 1 – 47 § СЗИ для ИСПДн К 2 – 201 § СЗИ для ИСПДн К 3 – 204 20
Построение системы защиты ПДн Как оптимизировать бюджет? Минимизация масштабов ИСПДн Унификация решений Аутсорсинг ИБ
Построение системы защиты ПДн Как оптимизировать бюджет? • Оптимизация состава обрабатываемых ПДн. • Обоснованная классификация ИСПДн. • Правильное моделирование угроз безопасности ПДн. • Оптимизация структуры ИСПДн и процессов обработки ПДн. В том числе локализация ПДн в защищённом сегменте ИСПДн, разделение ИСПДн на сегменты разных классов. • Оптимизация состава применяемых организационных и технических мер обеспечения безопасности ПДн. • Унификация состава применяемых СЗИ. ! Привлечение специализированных организаций, имеющих лицензии на право деятельности в области защиты информации конфиденциального характера. 22
Сроки по технической защите персональных данных Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года (ст. 25 ФЗ-152) 23
Возможные сроки по защите персональных данных МСБ Обследование – 2 мес. Проектирование – 1 мес. Поставка – 2 мес. Реализация – 2 мес. Сертификация – 5 мес. Аттестация – 1 мес. Обучение – 0. 5 мес. 24
Заключение Позитивные моменты: - повышение общего уровня осведомленности МСБ в области защиты информации ограниченного доступа и осознание ответственности за нарушения, а также понимание прав субъектов персональных данных - внедрением взвешенного организационно-технического подхода к защите информации, основанного на разработке модели угроз и связанных с ней оптимальных технических решений, а также оценке их соответствия. В то же время, очевидны направления доработки методических документов, связанных с исключением противоречий, касающихся самих документов, соотношения с требованиями к защите разного рода тайн, а также гармонизации с современными стандартами. 25
Спасибо за внимание! Марков Алексей Сергеевич ЗАО «НПО «Эшелон» Тел. /факс: +7 (495) 645 -38 -09 +7 (495) 645 -38 -10 Эл. почта: mail@npo-echelon. ru Сайт: www. npo-echelon. ru Информационная поддержка: www. ispdn. ru 26
Скачать презентацию Особенности защиты персональных данных в организациях малого и
10_Markov особ защ инф в орг мал биз.ppt