Vertical approaches for personal data standartization

1/42© 2008 Cisco Systems, Inc. All rights reserved.Personal Data

Опыт создания отраслевых стандартов по защите персональных данных

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 2/42

О нужности и допустимости отраслевых стандартов

Как надо и не надо делать? 4 набора отраслевых требований

Как создать свой отраслевой стандарт?

О чем пойдет речь?


О допустимости отраслевых стандартов


Нужны ли отраслевые стандарты?

Может ли головной регулятор в области ИБ учесть в своих нормативах специфику отраслей экономики РФ?

Мобильные устройства

Тонкие клиенты

ПО, которое не может быть сертифицировано по причине отсутствия специалистов

Виртуализация

Высокие скорости передачи данных (10 Гбит/сек и выше)

«Нестандартные» протоколы (iSCSI, Fiber Channel и т.п.)

Неизменяемое ПО/оборудование

Интернет-сервисы


Законны ли отраслевые стандарты?

Согласно законодательству о техническом регулировании все требования делятся на

Обязательные – технические регламенты

Добровольные (рекомендательные) – стандарты

Стандарты делятся на

Национальные стандарты

Правила стандартизации, нормы и рекомендации по стандартизации

Стандарты организаций

Своды правил

Отраслевых стандартов по закону не существует

Но любое предприятие может принять (присоединиться) стандарт организации, разработанные головной организацией


Варианты создания отраслевых рекомендаций

Документы ФСТЭК без изменений, но применительно к нуждам отрасли

Полная переработка в соответствие с потребностями

отрасли

Рособразование

Минсоцздравразвитие

Финансы

Операторы связи


Регулирование отрасли образования


Рособразование наводит… порядок?

ФАО-6748/52/17-02-09/72 от 28.04.2008

Указание о классификации ИСПДн в соответствии с «Приказом трех»

№17-02-09/185 от 03.09.2008

Указание об уведомлений РКН об обработке ПДн

№17-110 от 29.07.2009

Рекомендации по заполнению письменного согласия абитуриента, учащегося или сотрудника учреждения Рособразования на обработку их ПДн

№17-187 от 22.10.2009

Дополнение к письму №17-110. В качестве приложений включает 40-страничные рекомендации по защите ПДн и подготовке необходимых документов


Рособразование наводит… порядок?

№17-50 от 15.02.2010

Дополнение к письму №17-187 о переносе сроков ФЗ-152 на 1 год и о выполнении рекомендаций ФСТЭК, выложенных на сайте

Круг замкнулся?..


Резюме по рекомендациям Рособразования

Переложение ДСПшных (на момент публикации) «четверокнижия» ФСТЭК

Отсутствие учета отраслевой специфики

Из «интересного»

Ориентация на защиту ПДн (без защиты прав субъектов ПДн)

Сегментация ИСПДн

Отключение ИСПДн от Интернет

Обезличивание в виде использования личных кодов упоминаемых категорий субъектов ПДн

Заставляют школы, институты и т.п. проходить аттестацию, лицензирование и другие прелести

Через 2.5 месяца отказ от этого по причине изменения требований ФСТЭК


Регулирование отрасли здравоохранения


Минздрав предупреждает?..

Модель угроз типовой медицинской информационной системы (МИС) типового лечебно-профилактического учреждения (ЛПУ)

Методические рекомендации для организации защиты информации при обработке ПДн в учреждениях здравоохранения, социальной сферы, труда и занятости

Методические рекомендации по составлению Частной модели угроз безопасности ПДн при их обработке в ИСПДн учреждений здравоохранения, социальной сферы труда и занятости

Шаблоны документов (26 штук)


Спорные вопросы на текущий момент

Статус – рекомендации или требования?

По тексту – то «рекомендации», то «обязаны»

Жесткая ориентация на требования четверокнижия

Аттестация, ПЭМИН, виброакустика, сертификация…

Документы до сих пор не обновлены

Подписаны 23.12.09, а час Х указан 01.01.10 (8 дней на реализацию)

Рекомендовано через 6 месяцев все пересмотреть ввиду изменения ФЗ и требований регуляторов

Прямая рекомендация продуктов некоторых производителей (МСЭ и антивирусы)


Интересные особенности

Документы согласованы с ФСТЭК

Наличие шаблонов документов и рекомендаций по их составлению и заполнению

Все мероприятия делятся на минимально обязательные и расширенные (при выделении финансирования)

Дано определение ПДн, позволяющих идентифицировать личность

Т.е. дано описание разницы между 2-й и 3-ей категорией ПДн Приказа трех

Различные рекомендации по снижению класса ИСПДн



Описаны некоторые механизмы обратимого обезличивания

Рекомендации по написанию моделей угроз (215 стр.)

Если соблюдаются меры пожарной безопасности, то все стихийные бедствия (видимо наводнения тоже) считаются маловероятными

Если сотрудники подписали договор о неразглашении, то вероятность утечки – низкая

Если ПДн не передаются через Интернет, то DoS-атаки и спам маловероятны

Примеры моделей угроз для различных видов ИСПДн медучреждений


Резюме по рекомендациям Минздравсоцразвития

Переложение «четверокнижия» ФСТЭК

С попыткой учета отраслевой специфики, но без проверки применимости (например, ПЭМИН в рентгенографическом кабинете)


Ориентация на защиту ПДн (без защиты прав субъектов ПДн)

Большое количество рекомендаций по снижению затрат

Наличие шаблонов документов и моделей угроз

Наличие рекомендаций по созданию моделей угроз и заполнению документов

Согласование документов в ФСТЭК

Часть мероприятий реализуется только при наличии финансирования!


Регулирование финансовой отрасли


Комплекс стандартов ИБ

СТО

Общие положения

1.0

Аудит ИБ1.1

Методика оценки

соответствия1.2

РС

Рекомендации по

документации в области ИБ

2.0

Руководство по самооценке соответствия

ИБ2.1

Методика оценки рисков

2.2

Требования по ИБ ПДн

2.3

Отраслевая частная

модель угроз безопасности

ПДн2.4

СТО – стандарт организации

РС – рекомендации по стандартизации


Регулирование ИБ в финансовой отрасли

В планах (возможно) отдельные стандарты и рекомендации (или добавление в СТО 1.0) по безопасности для участников национальной платежной системы и т.д.

Классификатор0.0

Термины и определения

0.1

Рекомендации по выполнению законодательных требований при

обработке ПДн


3 новых документа

Отраслевая частная модель угроз

Требования по безопасности ПДн

Рекомендации по выполнению законодательных требований

Также созданы новые пп.7.10-7.11 в СТО БР ИББС-1.0


Рекомендации

Программа действий по приведению в соответствие с ФЗ-152

14 шагов

Рекомендации по классификации ИСПДн

8 алгоритмов обезличивания ПДн

Перечень из 38-ми требуемых документов

Предлагаются типовые шаблоны документов

Имеется план приведения в соответствия из 49 пунктов

Типовой перечень ПДн с указанием целей обработки

Перечень из 20 типовых ошибок при реализации требований законодательства о ПДн


Требования по обеспечению ИБ ПДн

Общий подход к определению требований

Общие требования по безопасности ПДн в ИСПДн любого класса

Требования по безопасности общедоступных и обезличенных ПДн

Требования по безопасности небиометрических, неспециальных категорий, необщедоступных и необезличенных ПДн

Требования по безопасности биометрических ПДн

Требования по безопасности специальных категорий ПДн



Своя классификация ИСПДн и ПДн

Отличная от «Приказа трех»

Все ИСПДн специальные

При условии принятия СТО требования регуляторов не применяются

Т.к. уже учтены и согласованы в СТО

В противном случае применяются требования всех трех регуляторов

Лицензирование, аттестация не требуются

Сертифицированными должны быть только СКЗИ

Остальные СЗИ на усмотрение руководства организации


Резюме по рекомендациям Банка России и АРБ

Требования по защите ПДн увязаны с уже существующими требованиями по защите банковской тайны и иной банковской информации

Банк либо принимает комплекс стандартов либо уходит под требования регуляторов


ПДн не выделяются, как особая категория защищаемой информации (в отличие от защиты прав субъектов ПДн)

Защита не только ПДн, но и прав субъектов


Наличие шаблонов документов и модели угроз

Наличие рекомендаций по заполнению документов

Согласование документов в ФСТЭК, ФСБ и Роскомнадзоре


Регулирование отрасли связи


НИР Тритон

Принципы защиты ПДн оператора связи

Экономическая обоснованность рекомендаций (требований) исходя из ущерба субъектам и операторам ПДн

Соответствие уровня рекомендаций (требований) по защите ПДн имеющемуся уровню развития информационных технологий с постепенным его повышением по мере готовности операторов ПДн, информационных и защитных технологий, международного и национального законодательства

Учет специфики операторов связи

Применение одних и тех же систем, средств и методов защиты информации для обеспечения безопасности ПДн, КТ и иной конфиденциальной информации

Использование для защиты ПДн систем и средств защиты, которые уже эксплуатируются операторами связи в составе ИСПДн или инфраструктуры безопасности


НИР Тритон

Наиболее полный набор документов по защите ПДн

18 иерархически выстроенных документов


Концепция

Рекомендации

По формированию целей обработки ПДн

По определению категорий субъектов ПДн и самих ПДн

По формированию модели угроз

Описывает 16 принципов защиты ПДн

Законность, непрерывность, адекватность, гибкость и т.п.

Реверанс в сторону нормативных документов ФСТЭК и ФСБ

Оставлена суть; ненужные или избыточные детали убраны

Описание информационных систем операторов связи

Требуется контроль эффективности

В форме аттестации, декларирования соответствия или внешнего государственного контроля


Информационная модель

<<include>><<include>>

<<include>>

<<include>>

<<include>>

Отчет для ПФР

+

+

+

+

Номер пенс. страхования

Фамилия

Имя

Отчество

Отчет для ФМС

+

+

+

+

+

+

+

+

+

+

Фамилия

Имя

Отчество

Пол

Дата рождения

Место рождения

Гражданство

Удостоверяющий документ

Квалификация

Должность

Отчет для ФНС

+

+

+

+

+

+

ИНН

Фамилия

Имя

Отчество

Документ

Адрес регистрации

Отчет для ФОМС

+

+

+

+

Фамилия

Имя

Отчетство

Адрес регистрации

Справочник работников

+

+

+

+

+

+

+

Фамилия

Имя

Отчество

Должность

Подразделение

Внутренний контакт

Фотография

Работник : 2

+

+

+

+

+

+

+

+

+

+

+

+

+

Табельный номер

Фамилия

Имя

Отчество

Должность

Подразделение

ИНН

Пенс.страхование

Семейное положение

Воинская обязанность

Фотография

Гражданство

Бизнес-аттрибуты

Государственный орган

Орган, осуществляющий

оперативно-розыскную

деятельность

Пенсионный фонд

Фонд обязательного

медицинского

страхования

Федеральная

миграционная служба

Федеральная налогвая

служба

Государственный орган,

получающий данные по

персоналу Военно-учетный стол

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<1>>

Работа с абонентами

<<1.1>>

Управление

продажами : 1

<<1.3>>

Расчеты с абонентами :

1

Деятельность

оператора связи

<<2>>


организацией связи

<<2.1>>

Управление персоналом : 1

<<2.2.>>


безопасностью : 1

<<1.2>>


взаимоотношенияи с

абонентами : 1


Классификатор ИСПДн

Выделены внешние и внутренние ИСПДн

Всего 17 типов разных ИСПДн

Биллинг

Борьба с мошенничеством

CRM

АРМ пользователей

СОРМ

И т.п.

Описаны особенности каждого типа ИСПДн с учетом требований по защите


Анализ рисков

Методики высокоуровневой и низкоуровневой оценки рисков безопасности ПДн

Также включает оценку потенциального ущерба для субъектов и операторов ПДн

Учитываются юридические и финансовые риски

Высокоуровневый анализ рисков проводится в целях определения возможного ущерба с учетом всех внешних факторов, без учета влияния ИТ

Низкоуровневый анализ рисков основан на экспертной оценке размера ущерба, вероятности реализации угроз безопасности ПДн и уровня уязвимости ИСПДн

Также содержит описание каналов реализации угроз и систематизированный перечень угроз с оценкой вероятности их реализации


Методика минимизации требований

Снижение категории и объема ПДн

Обезличивание ПДн

Логическое структурирование ИСПДн и инфраструктуры

Классификация ИСПДн как специальных

С разработкой для них своего перечня требований

Анализ необходимости применения СКЗИ

Разделение зон ответственности между оператором связи и внешней организацией


ТЭО средств защиты ПДн

Обоснование оптимального набора средств защиты ПДн

Оценка годового ущерба до и после внедрения средств защиты ПДн

Оценка эффективности средств защиты ПДн


Резюме по рекомендациям НИР Тритон

Документы согласованы с ФСТЭК, ФСБ и Минкомсвязью

Как минимум Концепция

Разработано 3 модели угроз и 3 профиля защиты от них


Учитывается отраслевая специфика

ПДн не выделяются, как особая категория защищаемой информации

Фокусировка только на защите ПДн (в отличии от защиты прав субъектов ПДн)



Как разработать свой отраслевой стандарт?


Как разработать свой стандарт?

Общие ГОСТы по разработке стандартов

ГОСТ Р 1.0-2004 Стандартизация в РФ. Стандарты национальные РФ. Основные положения

ГОСТ Р 1.2-2004 Стандартизация в РФ. Стандарты национальные РФ. Правила разработки, утверждения, обновления и отмены

ГОСТ Р 1.4-2004 Стандартизация в РФ. Стандарты национальные РФ. Стандарты организаций. Общие положения

ГОСТ Р 1.5-2004 Стандартизация в РФ. Стандарты национальные РФ. Правила построения, изложения, оформления и обозначения

ГОСТ Р 1.10-2004 Стандартизация в РФ. Правила стандартизации и рекомендации по стандартизации. Порядок разработки, утверждения, изменения, пересмотра и отмены

ГОСТ Р 1.12-2004. Стандартизация в РФ. Термины и определения


Как разработать свой стандарт?

Общие ГОСТы по защите информации и менеджменту риска

ГОСТ Р 50922-2006 Национальный стандарт РФ. Защита информации. Термины и определения

ГОСТ Р 51275-2006 Национальный стандарт РФ. Защита информации. Объект информатизации. Факторы, воздействующие на информацию

ГОСТ Р 51897-2002 Государственный стандарт РФ. Менеджмент риска. Термины и определения

ГОСТ Р 51898-2002 Государственный стандарт РФ. Аспекты безопасности. Правила включения в стандарты

ГОСТ Р 52069.0-2003 Государственный стандарт РФ. Защита информации. Система стандартов. Основные положения


Заключение


Заключение

Сегодня в России накоплен опыт разработки и согласования отраслевых стандартов по защите ПДн

Большинство из документов опубликованы в Интернете

Существуют рекомендации Ростехрегулирования о создании собственных стандартов

Регуляторы и законодатели признают важность отраслевого регулирования

Президент РФ законодательно закрепил возможность признания и заимствования лучших мировых стандартов в целях их применения в РФ

ISO 29100 «Information technology -- Security techniques --Privacy framework» (статус – голосование закрыто, принимаются комментарии) – публикация в ноябре 2010 г.


Как разработать свой отраслевой стандарт?


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410


Date post:	17-Jan-2015
Category:	Self Improvement
Upload:	alexey-lukatsky
View:	2,445 times
Download:	0 times

Vertical approaches for personal data standartization

Self Improvement